1 89 Table of Contents 91 116

Red Seguridad 102

90 red seguridad tercer trimestre 2023 opinión Iniciamos con esta una serie de co- lumnas sobre la ciberseguridad en la cadena de suministro y su impacto en las organizaciones. La motivación nace de la importancia que tiene este asunto en el negocio, ya que, en una sociedad hiperconectada como la nuestra, toda organización tiene una enorme depen- dencia de terceras partes. Y éstas, a su vez, dependen de sus propias cadenas, que son cuartas, quintas o incluso más allá partes para dicha organización. Esto nos lleva a que un incidente en una de estas terceras partes pueda im- pactar en el negocio de las organizacio- nes en aspectos tales como la exfiltra- ción de información sensible o la propia continuidad de la actividad. Los cibercri- minales saben que comprometiendo la seguridad de un proveedor pueden, a su vez, multiplicar el efecto vulnerando a múltiples clientes del mismo. O también que, para llegar a un objetivo concreto, en muchas ocasiones la vía más senci- lla es hacerlo a través de su cadena de suministro. En las respuestas a nuestro IV Estudio Empresas y Ciberseguridad , realizado en 2022, aproximadamente un 50 por ciento de las organizaciones, conscien- tes de haber sido afectadas por algún incidente, declaró que el mismo había tenido origen en alguno de sus pro- veedores (este porcentaje se mantiene bastante estable en numerosos análisis realizados en todo el mundo). De hecho, en el informe de la Agencia de la Unión Europea para la Ciberseguridad sobre las amenazas en la cadena de suminis- tro ( Threat Landscape for Supply Chain Attacks , July 2021 ), estos ataques se sitúan en la primera posición entre las amenazas actuales. Cuando hablamos de ciberataques y proveedores, siempre pensamos que éstos son empresas de servicios TIC con acceso a los sistemas de información de la organización. Pero el concepto de cadena de suministro es mucho más amplio. Y es precisamente esto lo que queremos poner de manifiesto en este artículo, con algunos ejemplos que ilus- tran que los riesgos pueden proceder de muy diferentes fuentes. Casos recientes Comencemos con un par de casos re- cientes, de los que podemos considerar más tecnológicos, como Solarwinds y Kaseya. En el primer caso, se había com- prometido su software Orion, instalado en sistemas de multitud de organizacio- nes para la monitorización y adminis- tración de redes, con lo que todas ellas (muchas de las mayores empresas del mundo y agencias gubernamentales) re- sultaron a su vez comprometidas. En el segundo, lo fue el software VSA, una plataforma cloud MSP, utilizado por múltiples proveedores de servicios de seguridad gestionada que se vieron afectados, así como sus clientes, por un ciberataque ransomware protagoni- zado por el grupo cibercriminal REvil/ Sodinokibi. Ambos son ejemplos claros del enor- me impacto que puede llegar a tener el ataque a un proveedor, por el efecto Ciberseguridad y gestión de riesgos de la cadena de suministro A lfonso P astor Director comercial de Leet Security Un 50% de las organizaciones afectadas por algún incidente afirma que éste había tenido origen en un proveedor

RkJQdWJsaXNoZXIy MTI4MzQz