El mundo se basa en las cadenas de suministro. Son el tejido conectivo que facilita el comercio mundial y la prosperidad. Pero estas redes de empresas superpuestas e interrelacionadas son cada vez más complejas y opacas. La mayoría se dedican al suministro de software y servicios digitales, o al menos dependen de algún modo de las interacciones en línea.
Es posible que las PyME en particular no busquen proactivamente, o no tengan los recursos necesarios, para gestionar la seguridad en sus cadenas de suministro. Pero confiar ciegamente en la postura de ciberseguridad de sus socios y proveedores no es sostenible en el clima actual. De hecho, ya es hora (pasada) de tomarse en serio la gestión del riesgo de la cadena de suministro.
¿Qué es el riesgo en la cadena de suministro?
Los riesgos de la cadena de suministro pueden adoptar muchas formas, desde el ransomware y el robo de datos hasta la denegación de servicio (DDoS) y el fraude. Pueden afectar a proveedores tradicionales, como empresas de servicios profesionales (abogados, contables, etc.) o proveedores de software empresarial. Los atacantes también pueden atacar a los proveedores de servicios gestionados (MSP), ya que al comprometer a una sola empresa de esta manera, podrían obtener acceso a un número potencialmente grande de empresas clientes. Un estudio del año pasado reveló que el 90% de los proveedores de servicios gestionados sufrieron un ciberataque en los 18 meses anteriores.
He aquí algunos de los principales tipos de ciberataques a la cadena de suministro y cómo se producen:
- Software propietario comprometido: Los ciberdelincuentes son cada vez más audaces y, en algunos casos, fueron capaces de encontrar la forma de comprometer a los desarrolladores de software e insertar malware en el código que posteriormente se entrega a los clientes intermedios. Esto es lo que ocurrió en la campaña del ransomware de Kaseya. En un caso más reciente, el popular software de transferencia de archivos MOVEit se vio comprometido por una vulnerabilidad de día cero y los datos robados de cientos de usuarios corporativos, afectando a millones de sus clientes. Por su parte, el ataque al software de comunicaciones 3CX pasó a la historia como el primer incidente documentado públicamente en el que un ataque a la cadena de suministro llevó a otro.
- Ataques a cadenas de suministro de código abierto: La mayoría de los desarrolladores utilizan componentes de código abierto para acelerar la comercialización de sus proyectos de software. Los cibercriminales lo saben y han empezado a insertar programas maliciosos en los componentes y a ponerlos a disposición de los usuarios en repositorios populares. Un informe afirma que se produjo un aumento interanual del 633% en este tipo de ataques. Los cibercriminales también explotan vulnerabilidades del código fuente abierto antes de que algunos usuarios lo parcheen. Esto es lo que ocurrió cuando se encontró un fallo crítico en una herramienta casi omnipresente conocida como Log4j.
- Suplantación de proveedores para cometer fraudes: Los sofisticados ataques conocidos como "business email compromise" (BEC) implican a veces a estafadores que se hacen pasar por proveedores para engañar a un cliente y que este les transfiera dinero. El atacante suele secuestrar una cuenta de correo electrónico perteneciente a una u otra parte, supervisando los flujos de correo electrónico hasta que llega el momento oportuno para intervenir y enviar una factura falsa con datos bancarios alterados.
- Robo de credenciales: Los atacantes roban los nombres de usuario de los proveedores en un intento de violar su identidad o la de sus clientes (a cuyas redes pueden tener acceso). Esto es lo que ocurrió en la brecha masiva de Target de 2013, cuando los hackers robaron las credenciales de uno de sus proveedores de sistemas de climatización de ambientes.
- Robo de datos: Muchos proveedores almacenan datos sensibles sobre sus clientes, especialmente empresas como bufetes de abogados que están al tanto de secretos corporativos íntimos. Representan un objetivo atractivo para los actores de amenazas que buscan información que puedan monetizar a través de la extorsión u otros medios.
¿Cómo evaluar y mitigar el riesgo de los proveedores?
Sea cual sea el tipo de riesgo específico de la cadena de suministro, el resultado final puede ser el mismo: daños financieros y de reputación y riesgo de demandas judiciales, interrupciones operativas, pérdida de ventas y clientes enojados. Sin embargo, es posible gestionar estos riesgos siguiendo algunas de las mejores prácticas del sector. He aquí ocho ideas:
- Realizar la diligencia debida con cualquier nuevo proveedor. Esto significa comprobar que sus programas de seguridad se ajusta a las expectativas y que dispone de medidas básicas de protección, detección y respuesta ante amenazas. En el caso de los proveedores de software, también hay que comprobar si cuentan con un programa de gestión de vulnerabilidades y cuál es su reputación en cuanto a la calidad de sus productos.
- Gestionar los riesgos del código abierto. Esto podría significar el uso de herramientas de análisis de composición de software (SCA) para obtener visibilidad de los componentes de software, junto con el escaneado continuo de vulnerabilidades y malware, y la rápida aplicación de parches a cualquier error. También asegurarse de que los equipos de desarrollo comprenden la importancia de la seguridad por diseño a la hora de desarrollar productos.
- Hacer una revisión de riesgos de todos los proveedores. Comenzando por saber quiénes son los proveedores y comprobar si cuentan con medidas de seguridad básicas —extendiendo el análisis a la cadena de suministro del propio proveedor. Realizar auditorías con frecuencia y comprobar si cumplen las normas y reglamentos del sector.
- Mantener una lista de todos proveedores homologados y actualizarla periódicamente en función de los resultados de las auditorías. La auditoría y actualización periódicas de la lista de proveedores permitirá a las organizaciones realizar evaluaciones de riesgos exhaustivas, identificar posibles vulnerabilidades y garantizar que los proveedores cumplen las normas de ciberseguridad.
- Establecer una política formal para los proveedores, donde se describan los requisitos para mitigar el riesgo de los proveedores, incluidos los acuerdos de nivel de servicio que deben cumplirse. Como tal, sirve como documento fundacional que describe las expectativas, normas y procedimientos que los proveedores deben cumplir para garantizar la seguridad de toda la cadena de suministro.
- Gestionar los riesgos de acceso de los proveedores. Aplicando el principio de mínimo privilegio entre los proveedores cuando necesitan acceder a la red corporativa. Esto podría aplicarse como parte de un enfoque de confianza cero, en el que todos los usuarios y dispositivos no son de confianza hasta que se verifican, con autenticación continua y supervisión de la red que añaden una capa adicional de mitigación de riesgos.
- Desarrollar un plan de respuesta a incidentes. En el peor de los casos, hay que asegurarse de contar con un plan bien ensayado para contener la amenaza antes de que tenga la oportunidad de afectar a la organización.
- Considerar la posibilidad de aplicar las normas del sector. ISO 27001 e ISO 28000 tienen muchas formas útiles de lograr algunos de los pasos enumerados anteriormente para minimizar el riesgo de los proveedores.
En Estados Unidos, el año pasado se produjeron un 40% más de ataques a la cadena de suministro que de ataques basados en malware, según un informe. El resultado fueron infracciones que afectaron a más de 10 millones de personas. Es hora de recuperar el control mediante una gestión más eficaz del riesgo de los proveedores.
LECTURA RELACIONADA: Ataques a la cadena de suministro: Cuando la confianza falla, ¿probar la esperanza?