El mundo se basa en cadenas de suministro, que son el tejido conectivo que facilita el comercio y la prosperidad a nivel mundial. Sin embargo, estas redes de empresas superpuestas e interrelacionadas están volviéndose cada vez más complejas y opacas. La mayoría de ellas involucran al suministro de software y servicios digitales, o al menos dependen de alguna manera de las interacciones online. Esto, inherentemente expone a las compañías a riesgos potenciales de interrupciones y compromisos de ciberseguridad.
Los riesgos cibernéticos en las cadenas de suministro pueden manifestarse de diversas formas, desde ransomware y robo de datos hasta ataques de denegación de servicio (DDoS) y fraude. “Estos riesgos pueden afectar tanto a proveedores tradicionales, como empresas de servicios profesionales -por ejemplo, abogados y contables- y a proveedores de software empresarial. Además, los ciberdelincuentes también pueden dirigirse a los proveedores de servicios gestionados (MSP), ya que, al comprometer a una sola empresa de este tipo, podrían obtener acceso a un número significativo de negocios de clientes finales. De hecho, según una investigación reciente, el 90% de los MSP han experimentado algún tipo de ciberataque en los últimos 18 meses”, señala Josep Albors, director de investigación y concienciación de ESET España.
Para evitar caer en este tipo de ciberataques es importante contar con una solución que suponga una defensa contra amenazas avanzadas, evitando las de día cero, protegiendo contra ransomware y contra nuevos tipos de amenazas nunca antes vistos como la solución ESET Protect Elite y ESET Protect Complete, que utiliza un escaneado adaptativo e incorpora aprendizaje automático, sandboxing en la nube y análisis de comportamiento en profundidad. Tambiénes esencial saber reconocerl. En este sentido, desde ESET, compañía líder en ciberseguridad, señalamos algunos de los principales ciberataques que frecuentemente afectan a la cadena de suministro:
- Software propietario comprometido: Los ciberdelincuentes están incrementando su audacia, llegando incluso a comprometer software propietario. En algunos casos, logran infiltrarse en los desarrolladores de software y colocar malware en el código distribuido a los clientes. Un ejemplo notable de esto le ocurrió al popular software de transferencia de archivos MOVEit, que recientemente fue afectado por una vulnerabilidad de día cero, resultando en el robo de datos de cientos de usuarios corporativos y afectando a millones de clientes. En lo relativo a la cadena de suministro destaca el incidente de compromiso del software de comunicación 3CX, que se considera el primero documentado públicamente que desencadenó otra serie de incidentes.
- Ataques a las cadenas de suministro de código abierto: La mayoría de los desarrolladores recurren a componentes de código abierto para agilizar el desarrollo de sus proyectos de software. Sin embargo, los ciberdelincuentes están aprovechando esta práctica y han comenzado a insertar malware en estos componentes, distribuyéndolos a través de repositorios populares. Este tipo de ciberataques han registrado un aumento interanual del 633% según un informe reciente. Además, los ciberdelincuentes están explotando vulnerabilidades en el código fuente abierto, las cuales algunos usuarios pueden tardar en parchear. Este fue el caso de la herramienta Log4j sobre la que se descubrió un error crítico.
- Suplantación de proveedores para cometer fraudes: Los ataques conocidos como Business Email Compromise (BEC), implican a menudo a estafadores que se hacen pasar por proveedores para engañar a los clientes y lograr transferencias de dinero ilícitas. Habitualmente, el ciberdelincuente toma el control de una cuenta de correo electrónico perteneciente a una de las partes involucradas y vigila los flujos de correo electrónico hasta que considera el momento oportuno para intervenir. En ese momento, envían una factura falsa con detalles bancarios alterados, engañando así al destinatario para que realice una transferencia.
- Robo de credenciales: El robo de credenciales es una táctica común donde los atacantes buscan obtener acceso a las cuentas de proveedores con el fin de comprometer tanto al proveedor como a sus clientes, a cuyas redes pueden acceder remotamente. Un ejemplo destacado de esto le ocurrió a la cadena de tiendas Target en 2013, cuando los ciberdelincuentes lograron hacerse con las credenciales de uno de los proveedores de sistemas de climatización del minorista.
- Robo de datos: El robo de datos es una gran preocupación para muchos proveedores que almacenan información confidencial de sus clientes. Más incluso en áreas como la de los bufetes de abogados donde se manejan secretos corporativos delicados. Esto los convierte en objetivos de gran atractivo para los ciberdelincuentes, ya que buscan obtener información que puedan aprovechar para extorsionar o acometer otro tipo de delitos.
¿Cómo se evalúa y mitiga el riesgo en la relación con los proveedores?
Independientemente del tipo específico de riesgo en la cadena de suministro, el desenlace puede ser similar: pérdidas financieras, deterioro de la reputación y la posibilidad de enfrentarse a demandas legales, interrupciones operativas, disminución de ventas y clientes insatisfechos. No obstante, es viable mitigar estos riesgos mediante la implementación de algunas de las mejores prácticas de la industria. En este sentido, ESET presenta ocho recomendaciones clave para evaluar y mitigar los riesgos de ciberseguridad en la relación con los proveedores:
- Realizar una investigación exhaustiva de cualquier nuevo proveedor: Al evaluar nuevos proveedores, es esencial verificar su alineación con las expectativas de seguridad y su capacidad para gestionar amenazas. Esto incluye examinar la presencia de medidas de protección y la reputación en cuanto a la calidad de sus productos.
- Gestionar los riesgos de código abierto: Es importante utilizar herramientas como el Análisis de Composición de Software (SCA) para identificar los componentes, realizar escaneos regulares de vulnerabilidades y malware, y aplicar parches rápidamente. Además, es esencial que los equipos de desarrollo incorporen la seguridad desde el diseño en la creación de productos.
- Realizar una revisión de riesgos de todos los proveedores: Es crucial entender quiénes son sus proveedores y asegurarse de que tengan medidas de seguridad básicas, incluyendo la auditoría regular y la verificación de la acreditación según los estándares de la industria.
- Mantener un listado de todos los proveedores: Es fundamental mantener una lista actualizada de proveedores aprobados, basada en los resultados de auditorías periódicas. Esto facilita realizar evaluaciones exhaustivas de riesgos, identificar posibles vulnerabilidades y asegurar el cumplimiento de normas de ciberseguridad por parte de los proveedores.
- Establecer una política formal para los proveedores: Este documento debe detallar los requisitos para mitigar el riesgo de los proveedores, incluyendo los Acuerdos de Nivel de Servicio (SLA) que deben cumplirse. Sirve como un documento esencial que establece las expectativas, estándares y procedimientos para garantizar la seguridad.
- Gestionar los riesgos de acceso de los proveedores: Aplicar el principio de mínimo privilegio entre los proveedores que necesiten acceso a la red corporativa como parte de un enfoque Zero Trust que implica autenticación continua y monitoreo de red para mitigar riesgos adicionales.
- Desarrollar un plan de respuesta a incidentes: En situaciones críticas, es fundamental contar con un plan bien preparado para contener las ciberamenazas antes de que impacten en la organización, lo que implica establecer protocolos de comunicación efectivos con los equipos de los proveedores.
- Explorar la viabilidad de adoptar estándares de la industria: Estándares como ISO 27001 e ISO 28000 ofrecen herramientas valiosas para aplicar los pasos mencionados anteriormente y así reducir el riesgo asociado con los proveedores.