Bienvenidos una vez más a Código Seguro. Hoy abordamos los ataques a la cadena de suministro. En un mundo cada vez más interconectado, la seguridad de la cadena de suministros se ha convertido en un tema crítico. Recientes ataques cibernéticos han puesto de manifiesto la vulnerabilidad de estos sistemas, afectando a empresas y Gobiernos por igual.
Los ataques a la cadena de suministros ocurren cuando los ciberdelincuentes se infiltran en los sistemas mediante proveedores externos. Un ejemplo notable es el ataque a la empresa estadounidense SolarWinds en 2020, cuando los atacantes insertaron código malicioso en una actualización de software, afectando a miles de clientes, incluidos organismos gubernamentales y grandes corporaciones.
Estos ataques pueden tener consecuencias devastadoras. No solo se trata del robo de datos confidenciales, sino también del potencial acceso no autorizado a sistemas críticos. En algunos casos, los atacantes pueden tomar el control remoto de dispositivos, un riesgo significativo para la seguridad nacional.
Las organizaciones siempre han estado preocupadas por los riesgos asociados a los productos y servicios que pueden contener funcionalidades maliciosas, ser falsificaciones o ser vulnerables debido a malas prácticas de fabricación y desarrollo dentro de la cadena de suministro.
Estos riesgos están asociados a una menor visibilidad y comprensión por parte de las empresas de cómo se desarrolla, integra e implanta la tecnología que adquieren o de los procesos, procedimientos, normas y prácticas utilizados para garantizar la seguridad, resistencia, fiabilidad, seguridad, integridad y calidad de los productos y servicios.
La cadena de suministro de tecnologías de la información y las comunicaciones (TIC) se define en el documento NIST SP 800-161 como un “conjunto vinculado de recursos y procesos entre adquirentes, integradores y proveedores que comienza con el diseño de productos y servicios de TIC y se extiende a través del desarrollo, el abastecimiento, la fabricación, la manipulación y la entrega de productos y servicios de TIC al adquirente”.
Esta cadena de suministro puede incluir vendedores, instalaciones de fabricación, proveedores logísticos, centros de distribución, distribuidores, mayoristas y otras organizaciones implicadas en la fabricación, procesamiento, diseño y desarrollo, manipulación y entrega de los productos, o proveedores de servicios implicados en la operación, gestión y entrega de los servicios.
Formalmente, un ataque a la cadena de suministro se define como una acción maliciosa intencionada (por ejemplo, inserción, sustitución o modificación) llevada a cabo para crear y, en última instancia, explotar una vulnerabilidad en las TIC (hardware, software, firmware) en cualquier punto dentro de la cadena de suministro con el objetivo principal de interrumpir o vigilar una misión utilizando recursos cibernéticos.
Este se produce cuando los hackers manipulan el código de componentes de software de terceros para comprometer las aplicaciones “descendentes” que los utilizan.
En este caso, los atacantes consiguen comprometer la integridad del código fuente de un software ampliamente utilizado en la industria, para insertar puertas traseras o código malicioso “malware” que les permiten llegar a las corporaciones y usuarios que adquieren esas tecnologías a través del citado proveedor.
De ahí que estos ataques se denominen de cadena de suministro: no van directamente contra la última organización comprometida, sino que llegan a través de los proveedores de software como vectores de ataque.
Como parte de estos ataques, un adversario quiere lograr el éxito en:
1. Insertar malware, hardware contaminado o información falsa en la cadena de suministro,
2. sustituir un componente malo o corrupto por uno bueno, o
3. modificar un componente existente para afectar negativamente a su rendimiento (por ejemplo, degradarlo, negarlo, hacerlo poco fiable o provocar un mal funcionamiento perjudicial).
Lamentablemente, el atacante puede sabotear, introducir maliciosamente una función no deseada o subvertir de otro modo el diseño, la integridad, la fabricación, la producción, la distribución, la instalación, el funcionamiento o el mantenimiento de un sistema para vigilar, denegar, interrumpir o degradar de otro modo la función, el uso o el funcionamiento de dicho sistema.
Los ataques a la cadena de suministro de software se han vuelto cada vez más recurrentes en los últimos años y por eso se consideran el renacimiento de los ataques a gran escala.
Según la literatura científica, entre el 85% y el 97% del código fuente de las aplicaciones o herramientas de los proveedores de software no está escrito originalmente por ellos, sino que procede de la reutilización de marcos de trabajo, repositorios de software y diversas API de código abierto de terceros.
Lo anterior hace que sea complejo examinar las librerías, el código y todo lo relacionado con los procesos de compilación de las aplicaciones, lo que da lugar a soluciones de software sobre las que no se tiene pleno conocimiento ni control del código, lo que abre la posibilidad de introducir código malicioso conocido como malware.
El efecto de estos ataques es amplio y variado. Las empresas pueden enfrentar pérdidas financieras significativas, daños a su reputación y la interrupción de sus operaciones. Los Gobiernos pueden ver comprometida la seguridad de sus infraestructuras críticas, lo que podría tener repercusiones a nivel nacional e internacional.
Para mitigar estos riesgos, es esencial que las organizaciones implementen medidas de seguridad robustas. Esto incluye auditorías de seguridad regulares, el uso de herramientas de monitoreo continuo y la formación en ciberseguridad de los empleados. Además, es crucial establecer políticas de seguridad estrictas para los proveedores y subcontratistas.
La protección de la cadena de suministros es una tarea compleja pero imprescindible en la era digital. Con la implementación de medidas de seguridad adecuadas, las organizaciones pueden reducir significativamente el riesgo de ser víctimas de estos ataques y proteger sus activos más valiosos.
Aunque evitar este tipo de ataques es todo un reto, porque el software moderno se construye en gran medida a partir de la reutilización de código preconstruido y software de terceros, los Gobiernos y todos los actores de la cadena de suministro deben trabajar juntos en una serie de requisitos estandarizados para el desarrollo y gestión de aplicaciones, y también estar alineados con las buenas prácticas con un enfoque de defensa por capas como Zero Trust para proteger sus activos.
Por hoy nos despedimos, invitándolos a que nos acompañen todos en la III Jornada Nacional de Ciberseguridad, que se estará desarrollando desde hoy y hasta el 30 de noviembre, Día Internacional de la Seguridad de la Información.
De esta forma, pretendemos ampliar esta cultura en la nación y resaltar la importancia de la especialidad que transversaliza y asegura la transformación digital, el desarrollo del país y su seguridad. Hasta la próxima semana.
Últimas noticias
-
Brigadas Técnicas Juveniles: Ni ausencias ni olvidos | Generales
Viernes, 6 de diciembre del 2024
-
Instan a actualizar campo académico de la Comunicación | Ciencias Sociales y Humanísticas
Jueves, 5 de diciembre del 2024
-
Prevén la caída de un pequeño meteorito en la región de Yakutia, Rusia. | Ciencias Naturales y Ambientales
Jueves, 5 de diciembre del 2024
-
Reportan la presencia de varias especies de gusanos (planarians) de agua dulce en Cuba | Ciencias Naturales y Ambientales
Jueves, 5 de diciembre del 2024
-
De «buhardilla» a empresa de alta tecnología | Biotecnología
Jueves, 5 de diciembre del 2024