Las pymes son el caballo de Troya de la era digital. Los grupos organizados de hackers saben bien que las grandes corporaciones están cada vez más preparadas para repeler sus ciberataques. Y, como cada vez les resulta más difícil superar sus barreras de seguridad, los cibercriminales optan por colarse en la cadena de suministro de las pymes, a la espera de la oportunidad de colarse, a través de ellas, en los sistemas del Nasdaq o del Ibex 35.
Pero, además de pacientes, los hackers son eficientes. Así, mientras esperan a que surja una puerta de entrada para robar datos o dinero en las grandes empresas, aprovechan para esquilmar a las pymes que utilizan como puerta de entrada.
“No solo es cuestión de grandes empresas, muchas pymes se ven envueltas en este tipo de ataques que sufren un verdadero destrozo al sustraer miles de datos de proveedores e incluso clientes” apunta Hervé Lambert, Global Consumer Operations Manager de Panda Security, a WatchGuard brand.
Índice de temas
¿En qué consiste ese tipo de ataques?
Un ataque a la cadena de suministro ocurre cuando los ciberdelincuentes comprometen el software, hardware o servicios que una empresa utiliza a través de la infiltración en sus proveedores. Estos ataques no buscan directamente vulnerar los sistemas de la empresa objetivo, sino que se centran en las empresas proveedoras, que, a menudo, tienen menos protecciones o brechas de seguridad más fáciles de explotar.
“Los cibercriminales insertan código malicioso en las actualizaciones de software o en los productos y servicios de los proveedores. Una vez que el cliente final, es decir, la empresa objetivo, instala el producto comprometido, el atacante obtiene acceso a sus sistemas” comenta Hervé Lambert.
SolarWinds, Codecov, Kaseya o Asus pueden dar buen fe de ello
Reiteramos. Este tipo de ataques no se dirige directamente a las empresas objetivo, sino que comprometen a sus proveedores de software, hardware o servicios, infiltrándose en productos o actualizaciones que las organizaciones utilizan habitualmente. A través de estas brechas, los atacantes logran acceso a redes críticas y datos confidenciales, poniendo en riesgo a miles de empresas a la vez. Casos como el de SolarWinds, Kaseya y CCleaner son claros ejemplos del inmenso impacto que pueden tener, causando daños multimillonarios y afectando a entidades tanto privadas como gubernamentales a nivel global.
Ataque a SolarWinds (2020)
Considerado uno de los ataques más devastadores de la historia reciente, los cibercriminales insertaron malware en el software de gestión de redes Orion de SolarWinds, utilizado por más de 18,000 organizaciones en todo el mundo. Entre las víctimas se encontraban agencias gubernamentales de EE. UU., empresas tecnológicas como Microsoft, y muchas organizaciones privadas.
Los atacantes tuvieron acceso a redes críticas durante meses, robando datos y espiando a las víctimas. El ataque fue atribuido a un grupo estatal vinculado a Rusia (APT29, también conocido como “Cozy Bear”).
Caso de Codecov (2021)
Una herramienta popular de análisis de código, fue comprometida cuando los atacantes alteraron un script de Bash que se ejecutaba durante los procesos de integración continua (CI) de sus clientes. Esto permitió a los atacantes acceder a información sensible como credenciales, tokens y claves privadas.
El ataque afectó a cientos de empresas, incluyendo firmas tecnológicas como Twilio, HashiCorp, y otras. Las implicaciones fueron graves, ya que los atacantes tuvieron acceso a los entornos de desarrollo de estas organizaciones, lo que les permitió lanzar ataques adicionales.
Ataque a Kaseya (2021)
Kaseya es una empresa que provee software de gestión de TI para proveedores de servicios administrados (MSPs). En julio de 2021, la compañía fue atacada por el grupo de ransomware REvil, quienes explotaron vulnerabilidades en su software para desplegar ransomware a través de las redes de los MSPs que utilizaban Kaseya.
El ataque afectó a miles de pequeñas y medianas empresas en todo el mundo que dependían de los MSPs para la gestión de su TI. Los atacantes pidieron un rescate de $70 millones en bitcoin para restaurar los datos cifrados.
Ataque a Asus Live Update (2019)
Los atacantes comprometieron el software de actualización automática de Asus, una de las compañías más grandes de hardware en el mundo, insertando un malware en el sistema Asus Live Update Utility. Los usuarios confiaban en este software para actualizar controladores y firmware.
El malware, apodado ShadowHammer, afectó a miles de dispositivos Asus en todo el mundo, aunque se cree que los atacantes solo estaban interesados en un pequeño subconjunto de los usuarios. Fue un claro ejemplo de cómo los ataques a la cadena de suministro pueden explotar actualizaciones de software legítimas.
¿Por qué son tan peligrosos?
Principalmente por tres motivos: el primero; son difíciles de detectar al provenir de fuentes confiables, los ataques a la cadena de suministro son extremadamente difíciles de detectar. “Las empresas suelen confiar en las actualizaciones de software y hardware de sus proveedores, lo que significa que un código malicioso puede integrarse en sus sistemas sin levantar sospechas” explica Lambert.
El segundo es debido a su amplio alcance ya que un ataque a un solo proveedor puede comprometer a múltiples organizaciones, multiplicando el impacto. “Una vulnerabilidad en una herramienta de software utilizada por cientos de empresas se convierte en un ataque masivo, como ocurrió en el caso de SolarWinds” comenta Hervé Lambert. Por último, su impacto es profundo. “Estos ataques no solo afectan la seguridad de la empresa atacada, sino que también pueden paralizar su operación, dañar su reputación y generar costos financieros significativos. En muchos casos, los atacantes tienen acceso durante largos períodos, lo que les permite robar información valiosa, espiar las actividades empresariales o preparar futuras incursiones” finaliza.
¿Y cómo las pequeñas y grandes empresas se pueden proteger?
Las empresas deben adoptar un enfoque integral para protegerse de los ataques a la cadena de suministro, que incluya tanto tecnología como buenas prácticas. Algunas de las medidas más efectivas son:
- Soluciones de seguridad robustas: las empresas deben contar con soluciones de seguridad de última generación que incluyan capacidades de detección de malware avanzado, análisis de comportamiento y gestión de parches.
- Verificación de proveedores: es fundamental evaluar rigurosamente a los proveedores y exigirles cumplir con altos estándares de seguridad. Las auditorías periódicas y la transparencia en las políticas de seguridad deben formar parte de cualquier acuerdo con proveedores.
- Monitorización continua: implementar sistemas avanzados de detección de intrusiones y monitoreo continuo puede ayudar a identificar comportamientos anómalos en la red, incluso si el ataque proviene de una fuente confiable.
- Zero Trust Architecture (Arquitectura de Confianza Cero): en lugar de asumir que las actualizaciones o los proveedores son inherentemente seguros, las empresas deben adoptar un enfoque de “confianza cero”, donde cada transacción y acceso sea validado rigurosamente.