868 300 513 / [email protected]

WE WORK

AS ONE

Contamos con los mejores

Ciberamenazas a la cadena de suministro

Ciberamenazas a la cadena de suministro

En un texto realizado por Javier Medina, publicado en abril 2023, abordamos las consecuencias devastadoras que pueden tener los ciberataques a las cadenas de suministro, al hilo de lo que había ocurrido con 3CX ,uno de proveedores líderes a nivel global en tecnología VoIP, cuya aplicación DesktopApp fue ‘troyanizada’ a consecuencia de un ataque sofisticado, desarrollado en varias fases (multi-staging attack), para lograr implantar herramientas de robo de información en los equipos de los clientes que usaban esta solución.

Potencialmente, estaban comprometidos endpoints tanto de sistemas Windows como MacOS de más de 600.000 clientes empresariales (de compañías como American Express, Air France, McDonald’s Coca-Cola, IKEA, BMW, Mercedes-Benz o Toyota), y unos 12 millones de usuarios que utilizan las soluciones de escritorio de 3CX para sus llamadas y videollamadas.

Pese a la importancia que tuvo el ciberataque, atribuido al grupo Lazarus norcoreano, otro incidente más reciente en la cadena de suministro ha copado la máxima atención que por su gravedad y ‘visibilidad’.

El incidente con CrowdStrike

Hablamos de lo ocurrido con CrowdStrike, que si bien no se debió a un ataque sino a un problema de actualización defectuosa de su software Falcon Sensor, y en último término a un fallo humano o a varios de ellos en cadena, lo cierto es que ha reflejado bien a las claras las vulnerabilidades existentes en las supply chain de proveedores tecnológicos, y cómo cualquier incidente puede tener repercusiones devastadoras, en este caso con 8 millones de equipos dando pantallazos azules a nivel mundial, muchos de ellos encomendados a funciones críticas (por eso tenían instalado el software de un proveedor líder en soluciones de ciberseguridad), que por ejemplo abarcan la gestión desde  de servicios financieros y sanitarios hasta la del tráfico aéreo, cuya disfunción ha resultado la derivada más mediática del caso, en volandas, nunca mejor dicho, de los 5.000 vuelos cancelados en todo el mundo.

En este texto, no vamos a entrar en detalle sobre el incidente con CrowdStrike (para una explicación técnica os emplazamos a nuestro post de Linkedin, donde fuimos haciendo un seguimiento de la incidencia), ni tampoco abordaremos las soluciones que se están planteando para evitar que se repita en el futuro un incidente similar a este.

Si queremos llamar la atención sobre las amenazas derivadas de la existencia de cadenas de suministro de proveedores tecnológicos, en las que al igual que ocurre con las marítimas, un problema en uno de los eslabones acaba teniendo repercusiones globales, produciéndose un efecto similar si uno de los nodos de la red de provisión de software o hardware sufre un fallo o un ataque, a cuando un barco se atranca en el Canal de Suez por el motivo que sea.

En un contexto de dependencia de una interconexión que resulta bastante lábil, una cadena es tan fuerte como su eslabón más débil, y es indiferente en cuanto a los efectos que ese eslabón deje de engarzar correctamente porque falle o lo rompan, con la salvedad de que el conocimiento de su debilidad y de lo vulnerable que es toda la cadena suponen el cebo perfecto para los ciberataques, cuya ingeniería social también se aprovecha de flaquezas humanas, como la tendencia a no comprobar adecuadamente el código de una actualización por el tedio rutinario que implica hacer siempre lo mismo.

En las siguientes líneas, abordaremos qué es exactamente un ataque de tipo supply chain, por qué puede resultar tan peligroso, qué es posible que pase a futuro con ellos así como las mejores vías de protección y mitigación frente a la amenaza que entrañan.

Vamos allá con todo ello.

¿Qué son exactamente los ataques a la cadena de suministro y por qué son tan peligrosos?

Podemos definir un ataque supply chain como un ciberataque indirecto, que busca comprometer a una o varias organizaciones a través de los servicios, soluciones, productos o tecnologías que le proporcionan sus proveedores; en vez de atacar directamente sus sistemas de información, redes o usuarios.

Así, vemos que un primer riesgo inherente a estos ataques es que trascienden el control que pueda tener una organización sobre su ciberseguridad, por muy buenas que sean sus políticas, estrategias y medidas en este ámbito, al explotarse las brechas que pueda ofrecer un proveedor.

Además, y aquí estriba otro de los peligros de los ataques de supply chain, no tiene por qué tratarse de un proveedor débil en materia de ciberseguridad, ya que estas amenazas pueden y de hecho suelen enfocarse en proveedores que nutren a muchas organizaciones, como es el caso de 3CX con su tecnología VoIP.

De este modo, se trata de ciberataques difíciles de detectar, al desplegarse a partir de vulnerabilidades que se sitúan fuera del perímetro propio a proteger, y que encima pueden explotar brechas de seguridad en proveedores con un capital de confiabilidad tan alto como el que se le presupone a compañías tecnológicas líder a nivel global, cuyos softwares y hardwares que siempre han sido de toda confianza quedan comprometidos, y además de manera inadvertida, lo que retrasa la detección y la respuesta hasta que el ciberataque ya campa a sus anchas.

En este sentido, resulta bastante ilustrativo el ejemplo que ponía Javier Medina en la publicación que hemos aludido de abril de 2023: «¿Quién puede pensar que el fabricante de su software de contabilidad va a pasar, de la noche a la mañana, de ser un socio a un vector de ataque porque su nueva versión del producto contiene una librería maliciosa que roba información?»

¿Hacia dónde se pueden enfocar los ciberataques de la cadena de suministro en el futuro?

Este tipo de ciberataques tienen en su contra la complejidad y dificultad de orquestación, al tratarse de multi-staging attacks que han de desplegarse en varias fases. Una dificultad que aumenta cuando el objetivo que se pone en la diana es, pongamos por caso, un gran proveedor de soluciones en la nube que almacene y respalde en sus servidores información crítica de grandes compañías o gobiernos.

Pero asumir el reto que supone la realización de ciberataques a la cadena de suministro de esta envergadura tampoco es tan descabellado, dado el papel de las intrusiones cibernéticas en las nuevas concepciones de guerra híbrida y operaciones en la zona gris que se están desarrollando en el actual escenario internacional, plagado además de tensiones geopolíticas, como bien sabemos.

Además, como también resaltaba Javier Medina: «…hasta ahora, los ataques se han centrado en el software de PC… pero debemos esperar y estar preparados para que el vector se desplace al hardware. Es muy razonable pensar que asistiremos, por ejemplo, al compromiso de un firmware de electrónica de red, switches o puntos de acceso WIFI, e inevitablemente, también veremos compromisos de la cadena de suministro en dispositivos OT e IoT.»

Un nuevo enfoque a la ciberseguridad

Esta modalidad de ataques a la cadena de suministro del hardware o el software de las organizaciones requiere, primeramente, una toma de conciencia por su parte, ya que por mucho que la brecha de seguridad que se explote sea ajena las repercusiones las van a acabar pagando ellas, sus clientes y sus usuarios.

De ahí, que se haya de virar a la implementación de múltiples capas de seguridad, bajo un esquema Extended Detection and Response, XDR, que abarque desde el análisis del tráfico en busca de actividad sospechosa hasta la protección de los endpoints, pudiendo jugar en este contexto un papel esencial los modelos basados en Zero Trust y de autenticación en múltiples factores, para evitar que una vez estén comprometidos los equipos los asaltantes puedan servirse, por ejemplo, de sesiones iniciadas en el navegador para acceder a los sistemas de información de la empresa.

Por último, urge la adopción de planes de respuesta a incidentes que aborden los riesgos de compromiso a la cadena de suministro, para poder evaluar el grado de impacto del ataque o percance (recordemos que el problema puede venir de algo tan simple como una actualización defectuosa como en el caso de CrowdStrike), desplegar las medidas de contención y mitigación requeridas, efectuar un análisis técnico, y eliminar la amenaza o solucionar el problema, dependiendo de la naturaleza del incidente que nos haya afectado, sobrevenido de nuestro proveedor.

Facebook
Twitter
LinkedIn
Pinterest
WhatsApp