Los hackers son famosos por su pereza, a pesar de lo que se pueda pensar. Les gusta conseguir grandes ganancias con el mínimo esfuerzo. Y el secreto está en los objetivos que eligen. El modelo de ransomware como servicio (RaaS) es un ejemplo clásico de cómo logran la máxima eficiencia en los delitos cibernéticos. Los ataques a la cadena de suministro se inventaron poco después y crecieron hasta el punto de paralizar infraestructuras en todo el mundo. Incluso el expresidente de los Estados Unidos, Joe Biden, se sorprendió y terminó emitiendo una orden ejecutiva a las entidades gubernamentales, ordenando una reforma de las normas de ciberseguridad de la cadena de suministro en todo el país.
Pero basta ya de eso. ¿Qué tienen de especial los ataques a la cadena de suministro? ¿Por qué son tan peligrosos? ¿Por qué debería preocuparle? ¿Cómo se pueden prevenir los ataques a la cadena de suministro? Si aún no puede responder a estas preguntas, siga leyendo. Se lo contaremos en breve. 
¿Qué es un ataque a la cadena de suministro?
Un ataque a la cadena de suministro es un ataque de ciberseguridad que busca puntos débiles en su cadena de suministro. Una cadena de suministro combina tecnologías, personas, recursos, productos, usuarios y actividades organizativas. Mantiene unida a su organización, y estos componentes hacen que su empresa siga funcionando.
Cuando se producen interrupciones repentinas en los flujos de trabajo existentes o algo daña su negocio, puede tratarse de una amenaza para la cadena de suministro. Los ataques a la cadena de suministro buscan vulnerabilidades en su cadena de suministro y buscan oportunidades en los proveedores para explotar las debilidades de seguridad. Los proveedores trabajan con datos compartidos, por lo que, si se produce una violación de la seguridad, los usuarios y todas las personas relacionadas con ellos también se ven afectados.
Cuando su cadena de suministro crece, su red se expande. Por lo tanto, si se produce un ataque, se crean y comprometen múltiples objetivos.
¿Cómo funcionan los ataques a la cadena de suministro?
Los ataques a la cadena de suministro funcionan rompiendo las relaciones de confianza. En lugar de dirigirse directamente a la propia empresa, se dirigen a los proveedores y distribuidores con los que trabaja una organización. Los ataques a la cadena de suministro basados en software pueden inyectar código malicioso en las últimas bibliotecas, actualizaciones y componentes para comprometer los certificados de seguridad y las herramientas de construcción.
Los ataques a la cadena de suministro basados en hardware pueden interrumpir los procesos de fabricación y distribución mediante la inyección de malware o componentes de espionaje. Algunos ataques a la cadena de suministro pueden aprovechar vulnerabilidades como debilidades en los procesos de compilación, tokens de acceso y secretos codificados. Pueden escalar privilegios e intentar provocar movimientos laterales a través de las redes.
El ataque a la cadena de suministro de SolarWinds es un ejemplo clásico de cómo funcionan estas amenazas. Los atacantes obtuvieron acceso a los servidores de compilación de una empresa e inyectaron una puerta trasera en sus actualizaciones. Otro caso fue el de unos atacantes que comprometieron a un proveedor de servicios gestionados e infectaron a varias organizaciones con ransomware.
¿Cómo detectar los ataques a la cadena de suministro?
No se pueden detectar los ataques a la cadena de suministro utilizando un solo método o tecnología. Las organizaciones tendrán que combinar diferentes enfoques y utilizar las últimas técnicas de detección de amenazas basadas en inteligencia artificial para mejorar con éxito su capacidad de detectar y mitigar este tipo de amenazas.
Deben utilizar la supervisión continua, la inteligencia global sobre amenazas y una postura de seguridad proactiva, todos ellos elementos críticos para defenderse de los ataques a la cadena de suministro.
Es fundamental obtener visibilidad en tiempo real de las redes, supervisar continuamente el tráfico de red y dotar a los equipos de seguridad de los medios necesarios para responder con rapidez a estos incidentes y a cualquier otra actividad sospechosa. A continuación se indican algunas formas de detectar los ataques a la cadena de suministro: Algunos ataques pueden aprovechar fallos en la gestión de dependencias. Los atacantes pueden registrar paquetes con nombres idénticos o similares a los módulos internos, pero con números de versión más altos. Cuando los desarrolladores descargan estos paquetes externos sin saberlo, el código malicioso se introduce en el software. Incluso la gestión rutinaria de paquetes puede ser un eslabón débil si los repositorios externos no se controlan y supervisan cuidadosamente.Los atacantes pueden obtener claves privadas utilizadas para la firma de código. Podrían firmar digitalmente software malicioso con estas claves, haciéndolo parecer fiable. Esto erosiona la garantía que proporcionan los certificados de firma tradicionales. Los mecanismos de confianza, como los certificados de firma de código, solo son tan seguros como los procesos que protegen sus claves privadas.
Los modernos sistemas de detección y respuesta de red (NDR) pueden supervisar las desviaciones del comportamiento normal. Los modelos de aprendizaje automático pueden aprender los flujos de datos típicos de su red. Los cambios repentinos, incluso si el tráfico está cifrado, deben activar alertas. Puede utilizar módulos de seguridad de hardware (HSM) o soluciones similares para proteger las claves privadas. Además de esto, comience a realizar revisiones y auditorías de seguridad periódicas. Realice simulacros que simulen ataques a la cadena de suministro y asegúrese de que su equipo pueda responder rápidamente y detectar este tipo de incidentes.
Mejore su inteligencia sobre amenazas
Descubra cómo WatchTower, el servicio de caza de amenazas de SentinelOne, puede proporcionarle más información y ayudarle a superar los ataques.
Más informaciónMejores prácticas para prevenir ataques a la cadena de suministro
Puede dominar cómo prevenir los ataques a la cadena de suministro implementando las siguientes tácticas:
Comience a utilizar tokens de miel
Funcionan como cables trampa y alertan a las organizaciones de cualquier actividad sospechosa en las redes. Los tokens Honey son recursos falsos que contienen datos confidenciales. Los atacantes pueden pensar que son objetivos reales e interactuar con ellos. Cada vez que ocurre algo, el token Honey activa alertas sobre un posible intento de ataque. Advierte a las organizaciones de las violaciones de datos y les revela los detalles de estos atacantes y sus métodos de violación.
Gestión segura del acceso privilegiado
Los ciberatacantes tienden a moverse lateralmente por las redes después de obtener acceso privilegiado a sus cuentas. Intentarán escalar privilegios y obtener acceso a recursos más sensibles. Esta vía de ataque también se conoce como vía privilegiada. Es una trayectoria de ataque típica. Puede utilizar un marco de gestión de acceso privilegiado para interrumpir este patrón de ataque y mitigar las posibilidades de otra amenaza. Puede ayudar a proteger tanto sus defensas internas como externas. Aplique políticas de control de acceso granulares y ponga a prueba al proveedor con el que trabaja. Actualice el inventario, las prácticas y las políticas de gestión de activos de su empresa, y realice actualizaciones y mejoras de seguridad.
Forme a su personal
Los empleados y el personal de su organización son los principales objetivos cuando se trata de amenazas a la cadena de suministro. Deben saber cómo funcionan las inyecciones de código malicioso y desconfiar de los últimos correos electrónicos fraudulentos y los intentos de phishing. Los autores de las amenazas les enviarán correos electrónicos que parecen provenir de colegas de confianza y les pedirán que activen código malicioso o intentarán robarles sus identificaciones de inicio de sesión internas. Si los miembros del personal reciben formación sobre los métodos de ataque habituales, incluidas las técnicas de ingeniería social, podrán identificar y denunciar con éxito estas infracciones. No caerán en la trampa y sabrán exactamente cómo actuar o hacer frente a estas amenazas.
Utilice una solución de gestión de identidades y accesos (IAM)
Debe cifrar todos los datos internos y utilizar estándares como el algoritmo Advanced Encryption Standard para dificultar que los delincuentes creen puertas traseras para extraer datos durante los ataques a la cadena de suministro. El Gobierno de los Estados Unidos también utiliza la técnica de cifrado AES para protegerse. También debe centrarse en implementar una arquitectura de confianza cero y asumir que todas las actividades de la red son maliciosas por defecto. No confíe en nadie, verifique a todo el mundo. Todas las solicitudes de conexión deben pasar por una lista de políticas estrictas. Y su motor de políticas debe decidir si se permite el paso del tráfico de red. Debe hacer que pase por todas las reglas que establece el algoritmo de confianza. Y el administrador de políticas será responsable de comunicar sus decisiones y cambios.
Adoptar una mentalidad de "asumir la violación" de forma natural también es igualmente importante. En este caso, pensará que se ha producido una infracción y actuará en consecuencia. Le ayudará a implementar estrategias de ciberdefensa activas en todos los vectores de ataque vulnerables. Las tres superficies de ataque con mayor riesgo de compromiso son los procesos, las personas y las tecnologías. Una buena formación en materia de ciberconcienciación es uno de los pilares fundamentales para proteger y luchar contra los ataques a la cadena de suministro.
Ejemplos reales de ataques a la cadena de suministro
A continuación se presentan algunos ejemplos reales de ataques a la cadena de suministro de los que se puede aprender:
1. Violación de datos de Target
¿Recuerda la cadena de supermercados estadounidense Target? Los datos de las tarjetas de crédito de los clientes fueron robados durante una filtración de datos alrededor de 2013. Aunque fue hace mucho tiempo, Target se convirtió en uno de los ejemplos más notorios del mundo de ataques a la cadena de suministro.
¿Qué ocurrió? Se implantó malware en los sistemas de Target.
¿Cómo entró? A través de su proveedor de sistemas de climatización, Fazio Mechanical Services.
¿El resultado? 18,5 millones de dólares en indemnizaciones, robo de 40 millones de datos de tarjetas de crédito y débito, y daños sustanciales a la reputación.
2. El hackeo de CCleaner en 2017
Los hackers fueron directamente a sus servidores y sustituyeron el software original por copias maliciosas. El código se distribuyó a 2,3 millones de usuarios que descargaron e instalaron las actualizaciones de los archivos. Ellos no lo sabían y resultaron gravemente infectados.
¿Qué se podría haber hecho? CCleaner podría haber evitado que el problema se agravara simplemente lanzando un parche antes de que esto ocurriera. Un incidente similar ocurrió con el ransomware WannaCry, donde se lanzó un parche antes del ataque, pero no se aplicó a todos los usuarios finales a tiempo.
Conclusión
Los ataques a la cadena de suministro se encuentran entre las amenazas de seguridad más importantes que las organizaciones no pueden pasar por alto. Siguiendo los pasos descritos en este artículo, desde la implementación de tokens de miel y el refuerzo del acceso privilegiado hasta la formación de los empleados y la arquitectura de confianza cero, puede minimizar su exposición a estos ataques avanzados.
La seguridad de la cadena de suministro debe ser proactiva, ya que los atacantes idean constantemente nuevos métodos. El análisis periódico de toda la cadena de suministro en busca de vulnerabilidades, con controles de seguridad actualizados y nuevas soluciones de seguridad como SentinelOne, evitará que su empresa sea la próxima víctima de una violación de seguridad que acapare los titulares.
"FAQs
Los ataques a la cadena de suministro pueden ser de infinitos tipos diferentes. Los ataques basados en software introducen código malicioso en actualizaciones o software legítimos. Los ataques basados en hardware aprovechan el hardware durante la producción. Los ataques de terceros se dirigen a proveedores que tienen acceso a sus sistemas. Los ataques de firma de código utilizan firmas digitales falsificadas para que el malware parezca legítimo. Cada uno de ellos aprovecha diferentes vulnerabilidades de su cadena de suministro y requiere diferentes medidas de seguridad para solucionarlas.
Los atacantes encuentran el eslabón más débil de su cadena de suministro, a menudo proveedores más pequeños que son menos seguros. Atacan a estos proveedores y luego aprovechan su acceso legítimo para acceder a los objetivos principales. Pueden interferir en las actualizaciones de software, insertar puertas traseras en los entornos de desarrollo o robar las credenciales de los proveedores de servicios externos. Una vez dentro, comienzan a moverse lateralmente, elevando los privilegios al nivel de activos valiosos o desplegando ransomware.
Realice un seguimiento del tráfico de red en busca de patrones sospechosos. Implemente análisis de comportamiento para detectar patrones sospechosos en operaciones típicas. Audite periódicamente los procesos de seguridad de los proveedores e incorpore requisitos de seguridad explícitos. Implemente software avanzado de detección de puntos finales en su red. Utilice sistemas de inteligencia artificial para buscar amenazas potenciales en tiempo real. Compruebe la integridad de las actualizaciones de software antes de instalarlas. Implemente un centro de operaciones de seguridad con supervisión las 24 horas del día, los 7 días de la semana.
Aísle inmediatamente los sistemas comprometidos para evitar movimientos laterales. Active su equipo de respuesta a incidentes para identificar el alcance de la infracción. Identifique el vector de ataque y el componente de la cadena de suministro afectado. Notifique a los proveedores y clientes afectados según lo exijan las normativas. Conserve las pruebas forenses para su análisis. Aplique contramedidas para detener ataques similares. Restaure los sistemas a partir de copias de seguridad limpias conocidas. Actualice y ajuste las políticas de seguridad basándose en las lecciones aprendidas.
En primer lugar, ponga en cuarentena la brecha aislando los sistemas afectados. Localice el punto de compromiso dentro de su cadena de suministro. Trabaje con expertos en seguridad para eliminar el código malicioso. Notifique a las partes interesadas de acuerdo con los requisitos de cumplimiento. Restaure los sistemas en línea a partir de copias de seguridad limpias. Documente el incidente en detalle. Implemente procedimientos de verificación más sustanciales para los proveedores. Considere la posibilidad de implementar calificaciones de seguridad para los proveedores. Revise los contratos para añadir requisitos de seguridad más sustanciales.
Los ataques a la cadena de suministro se aprovechan de las relaciones de confianza entre las partes y son difíciles de detectar. Pueden afectar a miles de empresas con una sola infracción. Eluden los controles de seguridad normales al entrar por vías de confianza. Tienen un tiempo de permanencia elevado antes de ser detectados. La complejidad de las cadenas de suministro actuales proporciona a los atacantes muchos puntos de entrada potenciales. Los atacantes acceden a múltiples víctimas mediante una única incursión exitosa, con el máximo daño y el mínimo esfuerzo.
