Los ciberdelincuentes aprovechan las relaciones de confianza entre organizaciones
En los últimos años, la cadena de suministro es uno de los principales objetivos de los ciberdelincuentes.
Aunque este aumento puede tener muchos factores, uno de los más importantes es la ciberpandemia. Está claro que la COVID-19 ha transformado la empresa moderna, empujando a muchas hacia el trabajo remoto y a la adopción de la nube cuando quizá no estaban totalmente preparadas.
Como resultado, los equipos de seguridad - que a menudo carecen del personal necesario debido al déficit de perfiles de ciberseguridad - se ven abrumados e incapaces de seguir el ritmo. De hecho, según Check Point Software Technologies, un proveedor líder de soluciones de ciberseguridad a nivel mundial, en 2021, las organizaciones experimentaron un 50% más de ciberataques semanales que en 2020.
En ese año, un grupo de ciberdelincuentes accedió al entorno de producción de SolarWinds e incrustó un backdoor en las actualizaciones de su producto de monitorización de redes Orion. Sus clientes, que ejecutaban la actualización maliciosa, sufrieron robo de datos y otros incidentes de seguridad. La banda de ransomware REvil se aprovechó de Kaseya, una empresa de software que proporciona programas para proveedores de servicios gestionados (MSP), para infectar a más de 1.000 clientes con un ransomware. Los ciberdelincuentes llegaron a exigir un rescate de 70 millones de dólares para proporcionar claves de descifrado a todos los usuarios afectados.
Otro claro ejemplo sucedió en noviembre del mismo año, cuando Check Point Research descubrió una serie de vulnerabilidades que, combinadas, permitían obtener el control de una cuenta y de varias apps de Atlassian conectadas mediante SSO. Codecov es una organización de pruebas de software cuyo script Bash uploader (utilizado para enviar informes de cobertura de código a la empresa) sufrió una modificación por un atacante. Este exploit de la cadena de suministro permitió a los ciberdelincuentes redirigir la información sensible, como el código fuente, los detalles secretos, etc., de los clientes de CodeCov a sus propios servidores.
Cómo funciona un ataque a la cadena de suministro
Un ataque a la cadena de suministro se aprovecha de las relaciones de confianza entre distintas organizaciones. Es evidente que todas las empresas poseen un nivel de confianza implícito en otras compañías, ya que instalan y utilizan el software de éstas en sus redes o trabajan con ellas como proveedores. Este tipo de amenaza se dirige al eslabón más débil de una cadena de confianza. Si una organización tiene una ciberseguridad sólida, pero cuenta con un proveedor de confianza inseguro, los ciberdelincuentes apuntarán hacia él. Con un punto de apoyo en la red de dicho proveedor, los atacantes podrían pasar a la red más segura utilizando ese vínculo
Los ciberdelincuentes suelen aprovechar las vulnerabilidades de la cadena de suministro para distribuir malware
Un tipo común de ataque a la cadena de suministro son los proveedores de servicios gestionados (MSP). Estos disponen de un acceso amplio a las redes de sus clientes, lo cual es muy valioso para un atacante. Después de explotar el MSP, el agresor puede expandirse fácilmente a las redes de sus clientes. Al explotar sus vulnerabilidades, estos atacantes tienen un mayor impacto y pueden obtener acceso a zonas que serían mucho más difíciles si se hace de forma directa.
Asimismo, este tipo de ofensivas proporcionan a un atacante un nuevo método para vulnerar la protección de una empresa. De hecho, pueden utilizarse para realizar cualquier otro tipo de ciberataque:
• Filtración de datos: esta amenaza se usa comúnmente para realizar violaciones de datos. Por ejemplo, el hackeo de SolarWinds expuso los datos sensibles de múltiples organizaciones del sector público y privado.
• Ataques de malware: los ciberdelincuentes suelen aprovechar las vulnerabilidades de la cadena de suministro para distribuir malware en la empresa objetivo. SolarWinds incluyó la entrega de un backdoor malicioso, y el ataque a Kaseya dio lugar a un ransomware diseñado para aprovecharla.
Mejores técnicas para identificar y mitigar los ataques a la cadena de suministro
A pesar del peligro que supone esta amenaza, existen técnicas destinadas para proteger a una compañía:
1. Implantar una política de privilegio mínimo: muchas organizaciones asignan accesos y permisos excesivos a sus empleados, socios y software. Estas autorizaciones excesivas facilitan los ataques a la cadena de suministro. Por ello, es imprescindible implementar una política de privilegio mínimo y asignar a todas las personas que forman la empresa y al propio software sólo los permisos que necesitan para desarrollar su propio trabajo.
2. Realizar una segmentación de la red: el software de terceros y las organizaciones asociadas no necesitan un acceso ilimitado a todos los rincones de la red empresarial. Para evitar cualquier tipo de riesgo, se debe utilizar su segmentación para dividirla en zonas basadas en las distintas funciones empresariales. De esta manera, si un ataque a la cadena de suministro compromete parte de la red, el resto se mantendrá protegida.
3. Aplicar las prácticas de DevSecOps: al integrar la seguridad en el ciclo de vida del desarrollo, es posible detectar si el software, como las actualizaciones de Orion, ha sido modificado maliciosamente.
4. Prevención automatizada de amenazas y búsqueda de riesgos: los analistas de los Centros de Operaciones de Seguridad (SOC) deben proteger contra los ataques en todos los entornos de la organización, incluyendo los endpoints, la red, la nube y los dispositivos móviles.
“El famoso ataque de SolarWinds sentó las bases de un frenesí de numerosas y sofisticadas arremetidas a la cadena de suministro. Codecov en abril y el de Kaseya en julio de 2021, concluyeron con la vulnerabilidad de Log4j, expuesta en diciembre. El sorprendente impacto logrado por esta única vulnerabilidad en una biblioteca de código abierto demuestra el inmenso riesgo inherente a las cadenas de suministro de software”, destaca Eusebio Nieva, director técnico de Check Point Software para España y Portugal. “Todas las compañías sin excepción deben proteger sus sistemas y software para evitar cualquier tipo de ataque a su cadena de suministro, ya que de no hacer las consecuencias de este tipo de amenaza pueden ser incalculables”, concluye.
