¿Qué es un ataque a la cadena de suministro y cómo puedes mantenerte a salvo?
¿No puedes atravesar la puerta principal? En su lugar, debes atacar la red de la cadena de suministro. Así es como funcionan estos ataques.
Cuando piensas en un ataque de ciberseguridad, te viene a la mente la imagen de un ciberdelincuente que investiga una red en busca de vulnerabilidades. O un ataque de phishing que roba las credenciales de inicio de sesión de un empleado o el malware instalado en una computadora.
Todos estos son métodos de ataque válidos y comunes. Pero, ¿y si hubiera otra forma de infiltrarse en una red que no implicara atacar directamente al objetivo?
Un ataque a la cadena de suministro hace precisamente esto, explota las organizaciones vinculadas al objetivo y ataca la cadena de suministro del objetivo. Entonces, ¿qué son los ataques a la cadena de suministro y cómo funcionan?
¿Qué es un ataque a la cadena de suministro?
Un ataque a la cadena de suministro busca dañar o infiltrarse en una organización al identificar las partes vulnerables de su red de suministro. Atacar una cadena de suministro presenta múltiples oportunidades para una infiltración exitosa. Más aún cuando se ataca a una organización con una red de cadena de suministro complicada o intrincada.
En casi todos los ataques a la cadena de suministro, la víctima inicial no es el único objetivo del atacante. Más bien, el elemento de la cadena de suministro es un trampolín hacia un pez más grande. El atacante explota las vulnerabilidades en el objetivo más fácil y las aprovecha para avanzar hacia el objetivo final.
Aunque los ataques a la cadena de suministro parecen raros, esto no es así. Un estudio de junio de 2020 de Opinion Matters para BlueVoyant revela datos interesantes. Este encontró que el 80 por ciento de las organizaciones “han sufrido una infracción relacionada con terceros en los últimos 12 meses”. Además, el 77% de los encuestados tiene “visibilidad limitada alrededor de sus proveedores externos”.
Con cifras como esta, verás por qué los ataques a la cadena de suministro no solo son populares. Estos ataques también cómo logran pasar del objetivo inicial a la organización principal.
Es extremadamente difícil para una empresa detectar un ataque a la cadena de suministro de software de terceros. La propia naturaleza del ataque significa que los archivos maliciosos están ocultos no solo del objetivo principal. Estos también están ocultos del eslabón vulnerable en la cadena de suministro. La computadora ni siquiera tiene que estar en línea para que el ataque funcione.
La organización objetivo solo puede darse cuenta de que hay un problema cuando sus datos comienzan a aparecer a la venta en otro lugar. También un incidente similar puede activar la señal de alarma. Con un acceso tan profundo a la red interna, es posible moverse libremente dentro de la organización, incluso eliminando los signos reveladores de un intruso.
Tipos de ataques a la cadena de suministro
Los ataques a la cadena de suministro no son iguales para todos. La cadena de suministro de una organización importante puede comprender múltiples partes móviles diferentes. Un atacante debe pensar en qué tipo de ataque a la cadena de suministro utilizar contra un objetivo.
Aquí hay tres ataques notables a la cadena de suministro que debes considerar.
1. Target
En 2013, el minorista estadounidense Target fue objeto de un gran ataque. El ataque resultó en la pérdida de información sobre 110 millones de tarjetas de crédito y débito utilizadas en sus tiendas.
Los atacantes identificaron varios proveedores externos en la red corporativa de Target. Si bien se desconoce el número final de intentos de explotación, el negocio vulnerable era Fazio Mechanical, un contratista de refrigeración.
Una vez que el contratista se vio comprometido, los atacantes esperaron dentro de la red de la empresa. Esperaron hasta que fue posible escalar a un sistema Target utilizando credenciales robadas. Finalmente, los atacantes obtuvieron acceso a los servidores de Target, buscando otros sistemas vulnerables dentro de la red de la empresa.
Desde aquí, los atacantes explotaron el sistema de punto de venta (POS) de Target, robando la información de la tarjeta de millones de clientes.
2. SolarWinds
Un ejemplo principal de un ataque a la cadena de suministro de software de terceros es SolarWinds. El software de administración remota Orion de SolarWinds se vio comprometido en 2020. Los atacantes insertaron una puerta trasera maliciosa en el proceso de actualización del software.
Cuando la actualización se envió a los cientos de miles de clientes de SolarWinds, el malware del atacante se fue con ella. Como la actualización se firmó digitalmente como de costumbre, todo apareció como de costumbre.
Después de activar el software como parte del proceso de actualización normal, los atacantes obtuvieron acceso a una gran cantidad de objetivos críticos. Entre los afectados está incluido el Departamento del Tesoro de los Estados Unidos, los Departamentos de Seguridad Nacional, Comercio, Estado, Defensa y Energía, y la Administración Nacional de Seguridad Nuclear.
El ataque SolarWinds es uno de los ataques a la cadena de suministro más grandes y exitosos jamás realizados.
3. Stuxnet
¿Sabías que uno de los ataques más infames de todos los tiempos fue un ataque a la cadena de suministro?
Stuxnet es un gusano informático con un objetivo extremadamente específico. Atacaba sistemas que ejecutaban un tipo de software particular, de un fabricante específico, que se encontraba en las plantas de energía nuclear iraníes. El malware Stuxnet hizo que las centrifugadoras aumentaran drásticamente la velocidad, destruyendo el material en la centrifugadora y la propia infraestructura en el proceso.
Se cree que el gusano altamente dirigido e increíblemente sofisticado fue el trabajo de los gobiernos de Estados Unidos e Israel. Supuestamente trabajaron juntos para eliminar una aparente amenaza nuclear iraní.
Stuxnet se introdujo en la cadena de suministro de la planta de energía nuclear iraní utilizando una unidad flash USB infectada. Una vez instalado en una computadora, Stuxnet se movió lateralmente a través de la red, buscando el sistema de control correcto antes de ejecutarse.
Debido a que Stuxnet tiene un objetivo preciso, no llamaba la atención sobre sí mismo. Este solo se activaba cuando llegaba a una computadora que cumplía con las especificaciones.
Cómo mantenerse seguro en la era de los ataques a la cadena de suministro
Las cadenas de suministro son difíciles de gestionar en el mejor de los casos. Muchas empresas utilizan soluciones de software de terceros para gestionar aspectos de su negocio. Estos incluyen herramientas de administración remota o software de contabilidad, o incluso plataformas como Microsoft Office 365.
Las empresas simplemente no pueden reunir todos los aspectos de su negocio bajo un mismo techo. Tampoco deberían tener que hacerlo. Confiar en un desarrollador de software o proveedor de servicios en la nube es lo común en esta época. Esto no debería aumentar drásticamente las posibilidades de que tú o tu empresa sean víctimas de un ataque.
El aumento de la seguridad para las empresas y los consumidores también impulsa los ataques a la cadena de suministro. Si los atacantes no pueden encontrar una forma de entrar en la organización, atacar al siguiente nivel es la forma más económica y pragmática de obtener acceso. También es menos probable que los sistemas de seguridad empresarial lo detecten.
En muchos casos, los ataques a la cadena de suministro son operaciones extensas, bien investigadas y bien financiadas.
Por ejemplo, SolarWinds es el trabajo de un equipo de hacking de un estado-nación. Este ha tenido meses para trabajar y enviar el ataque a la cadena de suministro. De manera similar, Stuxnet combinó varios ataques de día cero (zero-day) en un solo paquete para atacar las plantas de energía nuclear iraníes. Y, el ataque a la cadena de suministro de Target tardó en realizarse.