Ataque a la cadena de suministro

¿Qué es un ataque a la cadena de suministro?

Un ataque a la cadena de suministro es un tipo de ciberataque en el que un pirata informático (“hacker“) penetra en los sistemas de un minorista, distribuidor o proveedor de software o servicios para acceder a los sistemas de sus clientes.

Por ejemplo, un pirata informático puede intentar atacar a un proveedor de software y enviar actualizaciones de software malicioso, incluido código y malware, a los clientes. Estas amenazas pueden dirigirse a cualquier segmento de la cadena de suministro de software.

Existen dos formas principales de ataque a la cadena de suministro:

  • Ataques a la cadena de suministro de hardware: Los agentes de la amenaza utilizarán componentes físicos de hardware como unidades USB y teléfonos para infectar otros dispositivos.
  • Ataques a la cadena de suministro de software: Los ciberdelincuentes se infiltrarán en el entorno o en el código fuente de un proveedor de software y realizarán cambios en él, para enviar código malicioso y actualizaciones a los clientes.

Tipos de ataques a la cadena de suministro de software

Los ataques a la cadena de suministro de software pueden tener muchas formas y tamaños diferentes. A continuación se enumeran algunos de los tipos más comunes.

  • Hackeo del entorno de desarrollo de software: Los ciberdelincuentes se introducen en el entorno de desarrollo de software de una organización para alterar el código fuente de una aplicación, desplegando actualizaciones de software que les permiten recopilar los datos de los clientes.
  • Robo de certificados: Los hackers pueden robar los certificados de firma de código de una organización para hacer que las herramientas maliciosas parezcan seguras y legítimas.
  • Despliegue de dispositivos comprometidos: Los agentes de la amenaza infectarán dispositivos de hardware como unidades USB, cámaras y teléfonos con malware para propagar código malicioso a otros dispositivos y redes.
  • Dirigirse al firmware: Algunas entidades tratarán de insertar malware en el firmware de un ordenador para que se ejecute cuando el usuario lo arranque.

Ejemplos de ataques a la cadena de suministro

En los últimos años, ha habido una serie de incidentes de alto perfil que han puesto en peligro la cadena de suministro de software.

Principales ataques a la cadena de suministro Qué, cuándo, quién
Ataque a la cadena de suministro de SolarWinds Uno de los principales ejemplos de un ataque a la cadena de suministro se produjo en diciembre de 2020, cuando un agente de amenazas logró inyectar código malicioso en el entorno de SolarWinds y creó una versión troyanizada de su plataforma Orion antes de desplegar actualizaciones maliciosas a 18.000 clientes intermedios.
Ataque a la cadena de suministro de 3CX A principios de 2023, el proveedor de sistemas telefónicos empresariales 3CX se vio comprometido cuando un empleado descargó una versión infectada con malware del software financiero X_Trader de Trading Technologies desde el sitio web de la empresa. A continuación, los agentes de la amenaza utilizaron su acceso a los sistemas de 3CX para introducir malware en las redes de sus clientes.
Ataque a la cadena de suministro de Kaseya En julio de 2021, los hackers pusieron en peligro el producto de supervisión remota de TI VSA de Kaseya, que utilizaron para acceder a los sistemas de más de 1.000 organizaciones y exigieron un rescate de 70 millones de dólares por una clave de descifrado universal.

¿Cómo de comunes son los ataques a la cadena de suministro?

Este tipo de ataques son extremadamente comunes porque los ciberdelincuentes saben que si pueden entrar en el entorno de un proveedor de alto valor, pueden obtener acceso a los sistemas internos de cientos o incluso miles de clientes intermedios.

De hecho, los datos muestran que en 2022, los ataques a la cadena de suministro superaron el número de ataques basados en malware en un 40%, con 1.743 ataques a la cadena de suministro que afectaron a más de 10 millones de personas, en comparación con 70 ataques basados en malware que afectaron a 4,3 millones de personas.

Simplemente atacando a un único proveedor, un ciberdelincuente motivado económicamente puede generar un importante retorno de la inversión al obtener acceso a los entornos internos de múltiples clientes.

Ante la elevada frecuencia de los ataques a la cadena de suministro, las organizaciones deben estar preparadas para evaluar de forma proactiva la preparación en materia de seguridad de los proveedores externos antes de contratar sus servicios.

Cómo prevenir los ataques a la cadena de suministro

Prevenir los ataques a la cadena de suministro es más difícil que los ciberataques tradicionales porque una organización no tiene control sobre las medidas y procedimientos de seguridad que utilizan los proveedores de servicios upstream para proteger sus datos.

En su lugar, las organizaciones tienen que llevar a cabo la diligencia debida sobre sus proveedores, tomando medidas tales como la realización de evaluaciones de riesgos en curso y la recopilación de información sobre las prácticas de seguridad y certificación para establecer si los proveedores de software están adecuadamente protegidos contra los agentes de amenazas.

Más concretamente, hay algunos pasos clave que las organizaciones pueden dar para gestionar el riesgo de terceros y prevenir las filtraciones de datos:

  • Llevar a cabo una evaluación de riesgos para identificar vulnerabilidades en la cadena de suministro de software;
  • Crear un programa formal de gestión de riesgos para evaluar continuamente el riesgo de la cadena de suministro;
  • Supervisar continuamente las prácticas de seguridad de  los proveedores de servicios externos a lo largo del ciclo de vida del contrato;
  • Preguntar a terceros si están implementando las mejores prácticas de seguridad, incluyendo el uso de prácticas seguras de desarrollo de software durante el desarrollo, el mantenimiento de un programa de divulgación de vulnerabilidades y respuesta, tener una estrategia de gestión de parches (“patch management“) y mantener una lista de proveedores aprobados y un inventario de componentes;
  • Crear un plan de respuesta bien definido ante incidentes para responder rápidamente a las filtraciones en caso de que se produzcan;
  • Implementar la gestión de identidad y acceso y la gestión de acceso privilegiado para dificultar que los piratas informáticos se muevan lateralmente dentro de su red;
  • Utilizar inteligencia sobre amenazas (“threat intelligence“) para identificar cuándo surgen nuevas amenazas en la cadena de suministro.

Proteger la cadena de suministro de software

Asegurar la cadena de suministro de software es algo que ninguna organización que dependa de proveedores externos puede pasar por alto.

Aunque el riesgo asociado a la cadena de suministro no puede eliminarse por completo, ser proactivo y trabajar únicamente con proveedores de servicios certificados con un historial de inversión en ciberseguridad puede contribuir en gran medida a limitar la exposición a los agentes de amenazas.

Temas relacionados

Tim Keary

Desde enero de 2017, Tim Keary ha sido un escritor y reportero de tecnología independiente que cubre tecnología empresarial y ciberseguridad.