Los ciberataques a cadenas de suministro representan una amenaza creciente para las empresas u organizaciones de diferente índole, pudiendo tener impactos significativos en sus operaciones y finanzas.
Este tipo de ataque cibernético buscan aprovechar las relaciones o conexiones de confianza establecidas entre una entidad y sus colaboradores externos, entre una empresa y sus proveedores, para lograr a través de un tercero como un proveedor de software o equipos virtuales, ingresar a la red de la entidad objetivo, para implantar algún malware o simplemente robar dinero o información.
Uno de los casos más famosos de este tipo de ataques, por su sofisticación y alcance, es el ocurrido el año 2020 a SolarWinds, una empresa de softwares de gestión de redes, en donde los ciberdelincuentes comprometieron su infraestructura insertando una puerta trasera (backdoor) en su software Orion, que luego se distribuyó a los clientes a través de actualizaciones de software regulares. De esta manera, los clientes que ejecutaron la actualización que contenía el backdoor, sufrieron violaciones de datos y otros incidentes de seguridad.
Ejemplos como el anterior, hay varios en los que a través de un proveedor se accede a una organización. Por lo mismo, “es importante considerar este tipo de amenaza y sus consecuencias en todo tipo de empresa, con el fin de prevenir una afectación a la cadena de suministros. No importa si es una organización grande, mediana o pyme, o si es una institución pública o privada, estos ataques no hacen ningún tipo de distinción”, señala Carlos Silva, encargado del CSIRT de Gobierno, con quien ahondamos en este tipo de ciberataques.
¿Algún caso a destacar para este tipo de ataques?
En septiembre y octubre de 2023, se registraron en Chile dos casos en los que empresas de servicios tecnológicos y de telecomunicaciones se vieron afectadas por ataques a su infraestructura tecnológica, impactando tanto en instituciones públicas como privadas.
Probablemente, muchos recordarán el ransomware que afectó a IFX Networks, empresa colombiana, proveedora de servicios digitales; y al Grupo GTD también proveedor de servicios digitales e internet.
En ambos casos, estos incidentes tuvieron un gran alcance y afectaron no solo a las empresas, sino que también a clientes directos de la empresa y ciudadanía, y debido al efecto dominó o reacción en cadena, impactaron a otras empresas e instituciones públicas. La interconexión de sistemas y servicios hace que los efectos de un ciberataque se propaguen más allá de las organizaciones afectadas.
¿Para este tipo de ciberataques, se utiliza algún malware en particular o son los mismos que se utilizan para otras formas de amenazas?
Los atacantes utilizan varios métodos para infectar a una institución. Las técnicas más utilizadas son campañas de phishing, explotación de vulnerabilidades de sistemas y robo de credenciales. Luego de ingresar a la infraestructura, el delincuente utiliza otras técnicas para poder llegar a su objetivo, apoyándose con un malware o herramientas legitimas.
En el caso de IFX y GTD la afectación final consistió en la encriptación de los sistemas que soportaban los servicios de sus clientes. En general, para afectar la cadena de suministro no necesariamente puede ser un ransomware, también podría ser, por ejemplo, una infección con un software utilizado por muchas empresas o ciudadanía que pudiera comprometer una gran cantidad de usuarios.
¿Cómo una empresa puede identificar que fue afectada a través de un proveedor?
Lo importante es la revisión continua y poder anticiparse ante este tipo de incidentes, evaluando correctamente los riesgos, estableciendo un sistema de monitoreo constante en los activos, generando auditorias regulares y realizando análisis preventivos de amenazas, además de mantener una comunicación abierta y constante con los proveedores.
¿Qué medidas deben tomar las organizaciones para evitar ser víctima de este tipo de ciberataques a través de sus proveedores?
Dependiendo en qué eslabón de la cadena de suministro se encuentre el proveedor o colaborador, se podrían tomar medidas tecnológicas. Es fundamental que las organizaciones cuiden su propia infraestructura tecnológica y estén atentos a las organizaciones que interactúan directa o indirectamente con ellos. Para esto, es importante crear planes de contingencia, realizar evaluaciones de seguridad y estar preparados para un incidente que intente afectar a la cadena de suministro.
Además, las organizaciones e instituciones deben contemplar en sus proyectos tecnológicos la continuidad operativa. Esto implica que los respaldo y los sitios de contingencia deben estar ubicados física y lógicamente con otro proveedor, evitando depender exclusivamente de uno solo.
Otro punto importante es la gestión de los contratos. Se deben mejorar los acuerdos legales con los proveedores, promover la transparencia de lo que está sucediendo en el momento de la indisponibilidad, ser más colaborativos entre las partes, responder más rápido a un incidente y cumplir con los tiempos acordados ante caídas o fallas.
¿Qué medidas deben tomar los proveedores para no ser utilizados como un vector de ataque por los ciberdelincuentes?
Los proveedores deben adoptar una serie de medidas esenciales para proteger los activos que involucran procedimientos y tecnología. Algunas de ellas son generar una matriz de riesgos, implementar múltiples capas de seguridad en la infraestructura, mantener procesos de actualización de aplicaciones que mantienen la infraestructura y sistemas operativos, gestionar los accesos con el mínimo privilegio, mantener buenas prácticas de seguridad, mantener un monitoreo constante y adecuado, y contar con auditorías de seguridad.
Esto quiere decir que las medidas son un conjunto de acciones que buscan minimizar el impacto en caso de un ataque de cadena de suministro.