Cómo los ciberdelincuentes pueden iniciar un ataque a través de un socio de la cadena de suministro

Por su propia naturaleza, una cadena de suministro requiere una asociación colaborativa entre personas y organizaciones. Si bien esto puede ayudar a lograr un objetivo común y fomentar el crecimiento, también puede plantear una serie de problemas.

A través de estas relaciones simbióticas, las empresas han expuesto, sin saberlo, aspectos sensibles de su negocio. Sin embargo, esta debilidad pasada por alto ha abierto oportunidades para que los ciberdelincuentes establezcan un punto de apoyo en sus organizaciones objetivo.

Subrayando la prevalencia de tales ataques, un estudio de Opus and Ponemon Institute muestra que al menos el 59% de las organizaciones han sufrido ataques cibernéticos a través de empresas de terceros. Aún más preocupante es el hecho de que solo el 16% de las organizaciones en el estudio afirmaron mitigar de manera efectiva los riesgos de seguridad cibernética de terceros.

Es lógico que el primer paso para proteger a su empresa de tales riesgos sea identificarlos. A continuación, se muestran algunas formas en que los actores malintencionados pueden iniciar un ataque a través de un socio de la cadena de suministro, ilustradas con ejemplos de la vida real.

Casi todas las organizaciones utilizan hardware y software externos. Pocos quieren construir tecnología desde cero. Más bien, el auge en el campo del código abierto ha llevado a una ola masiva de subcontratación en casi todos los aspectos de las operaciones comerciales.

A pesar de su conveniencia, esta oportunidad conlleva un riesgo considerable. La infame violación de Equifax de 2018 se debió a una falla en el software a cargo de ejecutar las bases de datos en línea. Equifax también lo culpó a un enlace de descarga malicioso en su sitio, que provenía de otro proveedor.

Como resultado de estas debilidades en su cadena de suministro, los delincuentes se apoderaron de los datos personales de al menos 143 millones de personas.

Numerosas empresas utilizan sistemas de calefacción, ventilación y aire acondicionado (HVAC) que están conectados a Internet pero carecen de las medidas de seguridad adecuadas. Estos brindan a los piratas informáticos una puerta de entrada potencial a los sistemas corporativos, como fue el caso de la violación masiva de Target en 2014.

Los piratas informáticos obtuvieron acceso a las credenciales de inicio de sesión que pertenecían a la empresa que proporcionaba el sistema HVAC de Target. Luego iniciaron sesión y entraron en sus sistemas de pago, robando información perteneciente a aproximadamente 70 millones de personas. Incluía nombres, direcciones físicas, direcciones de correo electrónico y números de teléfono, entre otros datos confidenciales.

Otra forma de riesgo proviene de los proveedores de servicios en la nube que almacenan datos confidenciales de las empresas. Sin duda, estas entidades invierten significativamente en la seguridad de sus sistemas; su reputación depende de ello.

Pero como cualquier otro sistema organizacional, estos también son propensos a comprometerse. Ese fue el caso en el infame pirateo de Paradise Papers en 2018. Aproximadamente 13,4 millones de archivos confidenciales se filtraron que revelan transacciones financieras confidenciales de corporaciones globales e individuos súper ricos de todo el mundo. Al menos la mitad de estos archivos, alrededor de 6,8 millones, provienen de Appleby, un proveedor de servicios legales en el extranjero.

Un ataque similar tuvo lugar en el verano de 2018, cuando Deep Root Analytics filtró los datos personales de unos 200 millones de votantes. Deep Root es una empresa de marketing utilizada por los partidos republicano y demócrata. La violación se debió a que la empresa colocó accidentalmente los datos en un servidor que era de acceso público.

Si bien es una empresa relativamente pequeña con solo unos 50 empleados, se han producido incidentes similares en organizaciones más grandes. En el caso de la violación de Verizon, Nice Systems colocó 6 millones de registros de clientes en un servidor de almacenamiento público de Amazon S3. Los registros consistían en registros de llamadas de servicio al cliente de seis meses. Incluían información personal y de cuentas. Niza tiene más de 3500 empleados.

Deloitte, con más de 250.000 empleados, ha experimentado una filtración de datos similar. En septiembre de 2018, los piratas informáticos obtuvieron acceso a planes y correos electrónicos confidenciales de algunos de sus clientes de primera línea. La laguna jurídica, en este caso, fueron controles de acceso débiles en una de sus cuentas administrativas.

Para las grandes empresas, la seguridad puede ser internamente estanca. Sin embargo, esto podría no ser cierto incluso para los sistemas de TI de los proveedores. Eso parece ser lo que sucedió en Domino's Pizza en Australia el otoño pasado. Según los informes de la época, el incidente se debió a los débiles sistemas de ciberseguridad de un antiguo proveedor. Como resultado, el sistema filtró nombres de clientes y direcciones de correo electrónico. La violación solo salió a la luz cuando los clientes afectados comenzaron a recibir correos electrónicos no deseados personalizados. Aunque Domino's insistió en que no hubo piratería maliciosa de datos personales y que sus sistemas no tenían fallas, el daño ya estaba hecho.

Otra laguna que los ciberdelincuentes podrían aprovechar son los sensores de Internet de las cosas (IoT). Muchos operadores comerciales están alertas a los riesgos de seguridad de las computadoras, los teléfonos y las redes. Pero a menudo pasan por alto los dispositivos de IoT, lo que puede permitir a los atacantes saltar a los sistemas corporativos.

Estos dispositivos tienen sensores que los conectan a Internet con fines de comunicación. Son comunes en las cadenas de suministro, ya que pueden ayudar en la predicción de fallas de máquinas y la gestión de inventario, entre otras áreas. A pesar de su valor funcional, son un vector de ataque popular que puede dar a los atacantes acceso a datos confidenciales y facilitar el sabotaje y los ataques de botnets.

Un ejemplo de tal ataque utilizó una botnet conocida como Mirai para comprometer a Dyn, una compañía que brinda servicios de nombres de dominio a Reddit, Netflix y Github, entre otros. Mirai es una botnet específica de IoT diseñada para perpetrar ataques distribuidos de denegación de servicio (DDOS).

Los ejemplos anteriores dan crédito al hecho de que los atacantes pueden utilizar un eslabón débil en su cadena de suministro para obtener acceso a los sistemas. Desafortunadamente, no puede ejercer un control directo sobre las medidas de seguridad que implementan sus socios de la cadena de suministro. Pero al final del día, a los clientes no les importa cómo te comprometiste. Simplemente quieren saber que sus datos están seguros. Y esto pone la responsabilidad de garantizar una seguridad estricta en sus manos.

La debida diligencia en la evaluación de sistemas de seguridad de terceros y sus políticas de privacidad es esencial. Como hemos visto, las organizaciones grandes y pequeñas pueden ser víctimas de estas tácticas. Independientemente del tamaño de sus socios, es fundamental evaluar su compromiso con la seguridad.

Convierta en un objetivo principal evaluar dónde se encuentran sus debilidades y priorice el cierre de todas las lagunas.

Olivia Scott es directora de marketing en VPNpro.com.