El mundo se basa en cadenas de suministro. Redes de empresas superpuestas e interrelacionadas que involucran al suministro de software y servicios digitales, y que exponen a las compañías a riesgos potenciales de interrupciones y compromisos de ciberseguridad.
Desde ESET advierten que los riesgos de seguridad en las cadenas de suministro pueden manifestarse de diversas formas, desde ransomware y robo de datos hasta ataques de denegación de servicio (DDoS) y fraude. “Estos riesgos pueden afectar tanto a proveedores tradicionales, como empresas de servicios profesionales -por ejemplo, abogados y contables- y a proveedores de software empresarial”, asegura Josep Albors, director de investigación y concienciación de ESET España. Añade el directivo que los ciberdelincuentes también pueden dirigirse a los proveedores de servicios gestionados (MSP), ya que, al comprometer a una sola empresa de este tipo, podrían obtener acceso a un número significativo de negocios de clientes finales. De hecho, según una investigación reciente, el 90 % de los MSP han experimentado algún tipo de ciberataque en los últimos 18 meses.
ESET señala algunos de los principales ciberataques que frecuentemente afectan a la cadena de suministro:
- Software propietario comprometido: Los ciberdelincuentes están incrementando su audacia, llegando incluso a comprometer software propietario. En algunos casos, logran infiltrarse en los desarrolladores de software y colocar malware en el código distribuido a los clientes. Un ejemplo notable de esto le ocurrió al popular software de transferencia de archivos MOVEit, que recientemente fue afectado por una vulnerabilidad de día cero, resultando en el robo de datos de cientos de usuarios corporativos y afectando a millones de clientes.
- Ataques a las cadenas de suministro de código abierto: La mayoría de los desarrolladores recurren a componentes de código abierto para agilizar el desarrollo de sus proyectos de software. Sin embargo, los ciberdelincuentes están aprovechando esta práctica y han comenzado a insertar malware en estos componentes, distribuyéndolos a través de repositorios populares.
- Suplantación de proveedores para cometer fraudes: Los ataques conocidos como Business Email Compromise (BEC), implican a menudo a estafadores que se hacen pasar por proveedores para engañar a los clientes y lograr transferencias de dinero ilícitas. Habitualmente, el ciberdelincuente toma el control de una cuenta de correo electrónico perteneciente a una de las partes involucradas y vigila los flujos de correo electrónico hasta que considera el momento oportuno para intervenir.
- Robo de credenciales: El robo de credenciales es una táctica común donde los atacantes buscan obtener acceso a las cuentas de proveedores con el fin de comprometer tanto al proveedor como a sus clientes, a cuyas redes pueden acceder remotamente. Un ejemplo destacado de esto le ocurrió a la cadena de tiendas Target en 2013, cuando los ciberdelincuentes lograron hacerse con las credenciales de uno de los proveedores de sistemas de climatización del minorista.
- Robo de datos: El robo de datos es una gran preocupación para muchos proveedores que almacenan información confidencial de sus clientes. Más incluso en áreas como la de los bufetes de abogados donde se manejan secretos corporativos delicados. Esto los convierte en objetivos de gran atractivo para los ciberdelincuentes, ya que buscan obtener información que puedan aprovechar para extorsionar o acometer otro tipo de delitos.
Asegurando que es viable mitigar estos riesgos mediante la implementación de algunas prácticas, ESET propone ocho recomendaciones:
- Realizar una investigación exhaustiva de cualquier nuevo proveedor
- Gestionar los riesgos de código abierto
- Realizar una revisión de riesgos de todos los proveedores
- Mantener un listado de todos los proveedores
- Establecer una política formal para los proveedores
- Gestionar los riesgos de acceso de los proveedores
- Desarrollar un plan de respuesta a incidentes
- Explorar la viabilidad de adoptar estándares de la industria
Y es que, independientemente del tipo específico de riesgo en la cadena de suministro, el desenlace puede ser similar: pérdidas financieras, deterioro de la reputación y la posibilidad de enfrentarse a demandas legales, interrupciones operativas, disminución de ventas y clientes insatisfechos.
