En la actualidad, los ciberataques se dirigen a diferentes objetivos tanto en el ámbito empresarial como fuera de él. Uno de los que más está aumentando es el dirigido a la cadena de suministro, también conocido como ataque de cadena de valor o de terceros. Este tipo de ataque informático se suele llevar a cabo a través de software de terceras personas o entidades, y tiene como objetivo introducir un código malicioso en el proceso de desarrollo de software. Una vez que dicho código ha sido aplicado, este, a su vez, permite a los cibercriminales acceder a toda la información en la que estén interesados para robarla o utilizarla para múltiples fines.
Los riesgos que se asocian a una ofensiva a la cadena de suministro nunca habían sido tan altos dada la existencia de nuevos tipos de ataques, la creciente concienciación pública sobre las amenazas-y-vulnerabilidades y la mayor supervisión de los reguladores. Además, los atacantes tienen más herramientas y recursos a su disposición, creando una tormenta perfecta.
A diferencia de otros ataques a organizaciones mediante phishing o explotación de vulnerabilidades, los dirigidos a las cadenas de suministros comprometen directamente a los desarrolladores de software, lo cual permite evadir ciertos controles de prevención y detección.
Algunos ejemplos
En los últimos años han sido numerosas las empresas víctimas de este tipo de amenaza, como British Airways. En el caso de la aerolínea, el incidente tuvo lugar en septiembre de 2018, y a través de él consiguieron robar cerca de 380.000 transacciones de los clientes que habían hecho pagos a la compañía entre el 21 de agosto y el 5 de septiembre. Los cibercriminales consiguieron robar todos los datos de las tarjetas de crédito de los usuarios de British Airways, incluido el código de seguridad (CVV). Dicho ataque pudo llevarse a cabo porque alguien había modificado el script para que, en el momento del pago, se pudiera robar dicho código junto al resto de datos de la tarjeta. La consecuencia directa fue un robo de dimensiones globales y una grave crisis de reputación para la compañía.
Un riesgo asociado a las amenazas-y-vulnerabilidades a la cadena de suministro es la pérdida de información externa
Otro ejemplo grave de este tipo es el ataque de XcodeGhost, ocurrido en septiembre de 2015, en el que un atacante distribuyó una versión del software Xcode de Apple, utilizado para crear aplicaciones iOS y macOS, el cual inyectó un código adicional en las aplicaciones creadas con él. Las consecuencias del incidente se tradujeron en miles de aplicaciones comprometidas que fueron identificadas en la tienda de aplicaciones de Apple.
También está el caso de la web de entradas Ticketmaster, que fue muy similar al de British Airways: descubrieron un robo parecido que había afectado al 5 por ciento de sus clientes. La raíz del problema tuvo que ver con uno de sus proveedores externos, cuyo código había sido modificado para acceder a los datos económicos de sus clientes.
Por otra parte, en marzo de 2016, Transmission, el popular cliente de código abierto de BitTorrent, vio sus sistemas comprometidos al entrar ransomware macOS en su instalador. Esto provocó que los usuarios que descargaron e instalaron el programa se infectaran con este malware, con la consecuente extorsión a través de la demanda de un rescate para descifrar los archivos de sus ordenadores.
Pérdida de información
Dichos ataques conllevan grandes peligros para las empresas, tanto a corto como a medio y largo plazo. Uno de los riesgos asociados a estas amenazas-y-vulnerabilidades sobre la cadena de suministro es la pérdida de información externa. De esa forma los ciberdelincuentes conseguirán información o datos de los usuarios de una plataforma que inicialmente creían confiable, pero que definitivamente no es un ambiente seguro.
Además de la pérdida de información externa, estos ataques conllevan la pérdida de información interna. Este problema no solo afecta a los clientes o usuarios, sino también a la propia compañía, la cual verá muy afectada su ciberseguridad empresarial con la posibilidad de poder sufrir un robo de datos internos o de información confidencial que resulte imprescindible en su actividad diaria.
Los ataques a la cadena de suministro son una tendencia al alza que puede tener efectos muy dañinos para la integridad de la información o la reputación de la empresa que presta un servicio.
Cuando un ciberataque a la cadena de suministro se produce, otro de los grandes riesgos para las empresas es la pérdida de reputación. Es lógico pensar que si un usuario sufre el robo de sus propios datos en una plataforma externa difícilmente volverá a confiar en dicho portal. Esta ha sido una de las graves consecuencias a las que han debido enfrentarse las empresas víctimas de dichos ataques, como British Airways o Ticketmaster, entre otras.
Por otra parte, desde el pasado 25 de mayo de 2018, los órganos encargados de velar por el cumplimiento del Reglamento General de Protección de Datos vigilan muy de cerca a las empresas que lo infringen. Una de las consecuencias derivadas del robo de datos personales de los usuarios puede ser que la compañía afectada acabe incumpliendo la normativa europea, y todas aquellas que lo hagan podrían acabar enfrentándose a sanciones millonarias.
Tendencia al alza
Desde PandaLabs, en nuestro informe de 2018, indicamos que una de las tendencias para 2019 era el aumento de los casos de ciberataques a la cadena de suministro. Esta tendencia se explica teniendo en cuenta la efectividad que tienen, el impacto que producen al poder expandirse rápidamente a millones de sistemas y la confianza que los usuarios depositan en un software que inicialmente creían legítimo.
Las amenazas-y-vulnerabilidades avanzadas y de rápido movimiento como los ataques a la cadena de suministro requieren que las organizaciones adopten nuevas mejores prácticas en seguridad proactiva y respuesta a incidentes.
Este tipo de ataques a la cadena de suministro de software nos recuerdan lo importante que resulta contar con una red bien defendida con visibilidad en cada punto del ciclo de vida del ataque, así como la capacidad de identificar y detener la actividad que se ha desviado de la norma.
Por ello, desde Panda contamos con la protección idónea para luchar contra este tipo de ataques. Panda Adaptive Defense no solo monitoriza en tiempo real todos los procesos que se llevan a cabo en el sistema, sino que también se centra en todos los desarrollos de una compañía, asegurando la integridad y la confidencialidad de la cadena de suministro y garantizando la ciberseguridad empresarial.
A menudo, el mayor peligro que conllevan los ciberataques puede estar en las propias entrañas informáticas de la empresa, lo cual no solo afecta a su propia ciberseguridad, sino que también concierne a la información y los datos de terceras personas, usuarios, clientes, proveedores, etc. Por tanto, las empresas tendrán que vigilar atentamente que todo funcione correctamente en su cadena de suministro, ya que esta tendencia va en alza.