Obtenga información sobre las amenazas críticas que pueden afectar a su organización y a los malos actores detrás de ellas de la mano de los expertos en amenazas de Cybersixgill. Cada historia arroja luz sobre las actividades clandestinas, los actores de amenazas involucrados y por qué debería importarle, junto con lo que puede hacer para mitigar el riesgo.
En un mundo cada vez más interconectado, ataques a la cadena de suministro han surgido como una amenaza formidable, que compromete no solo a las organizaciones individuales sino al ecosistema digital más amplio. La red de interdependencias entre empresas, especialmente para los proveedores de software y TI, proporciona un terreno fértil para que los ciberdelincuentes exploten las vulnerabilidades. Al apuntar a un eslabón débil de la cadena de suministro, los actores de amenazas pueden obtener acceso no autorizado a información confidencial y llevar a cabo actividades maliciosas con graves consecuencias en múltiples organizaciones, desde violaciones de datos y pérdidas financieras hasta interrupciones generalizadas y daños a la reputación.
Comprender la naturaleza, el impacto y las estrategias de mitigación de los ataques a la cadena de suministro es fundamental para reforzar las defensas de ciberseguridad y garantizar la seguridad y resiliencia de todo el ecosistema de terceros.
El creciente riesgo de ataques a la cadena de suministro
Los ataques a la cadena de suministro tienen como objetivo las redes, los sistemas y los procesos de los vendedores y proveedores externos de una organización, lo que permite que actores maliciosos se infiltren y comprometan la infraestructura de la víctima final. Una vez «dentro» de un sistema, los actores de amenazas pueden inyectar código malicioso, robar información confidencial o interrumpir operaciones, provocando efectos en cascada en toda la cadena de suministro. Una violación de una organización o eslabón de la cadena de suministro puede tener consecuencias de gran alcance y comprometer la seguridad de numerosas entidades. Sabiendo esto, los atacantes apuntan cada vez más a la cadena de suministro para afianzarse y penetrar los sistemas de las organizaciones.
Según una investigación de Capterra, el 61% de las empresas estadounidenses se vieron directamente afectadas por un ataque a la cadena de suministro de software en los 12 meses anteriores a abril de 2023. Nuestra propia investigación indica que el número de publicaciones clandestinas de los ciberdelincuentes que anuncian el acceso a redes de proveedores de servicios (incluidos los de TI) servicios, servicios en la nube, soluciones de recursos humanos y otros servicios) ha aumentado constantemente en los últimos años. En 2023, hubo aproximadamente 245.000 ataques a la cadena de suministro de software, lo que costó a las empresas 46.000 millones de dólares. Se prevé que esta cifra aumentará a 60 mil millones de dólares para 2025, a medida que los actores de amenazas apuntan cada vez más a explotar a los proveedores de servicios, sus clientes y terceros afiliados.
Objetivos y motivaciones del atacante
Las motivaciones detrás de estos ataques son diversas. El objetivo principal es el acceso no autorizado a sistemas o redes específicos, en los que es más fácil infiltrarse si se apunta a la cadena de suministro. Estos ataques también permiten a los actores de amenazas obtener mayores beneficios, ya que pueden afectar la propiedad intelectual, los datos financieros, la información de los clientes y otros datos confidenciales de múltiples organizaciones, que pueden explotarse para obtener ganancias financieras o utilizarse para obtener una ventaja competitiva.
Si bien las ganancias financieras son un motivador clave para muchos ciberdelincuentes, sus objetivos también pueden incluir el ciberespionaje, agendas políticas o el robo de secretos comerciales y propiedad intelectual. Los actores patrocinados por el Estado pueden intentar acceder a información clasificada o secretos de seguridad nacional, mientras que las industrias competitivas pueden enfrentar amenazas dirigidas a investigaciones e invenciones patentadas.
Técnicas de infiltración
Los atacantes utilizan varios métodos para lanzar ataques a la cadena de suministro, como se describe a continuación.
Cuentas comprometidas
Los actores maliciosos a menudo explotan las credenciales de proveedores confiables para acceder a los sistemas interconectados de las organizaciones objetivo, aprovechando la confianza establecida para eludir las medidas de seguridad tradicionales. Estas credenciales se pueden adquirir mediante diversas técnicas o comprarse en foros de la web oscura. Por ejemplo, Cybersixgill observó una publicación en la que un actor de amenazas vendía acceso a las redes de un importante proveedor de nube chino, lo que afectó a clientes como Ferrari y Audi.
Estas infracciones pueden provocar robo de datos, fraude, propagación de malware y ataques de ransomware. Además, los proveedores comprometidos pueden entregar software manipulado a los clientes, lo que resulta en daños a la reputación, pérdidas financieras, problemas legales e interrupciones operativas.
Inyección de malware
Los atacantes también inyectan código malicioso o malware en componentes legítimos para provocar una cadena de infección generalizada. Por ejemplo, en abril de 2024, se descubrió una puerta trasera en la utilidad de compresión de datos XZ Utils, que permitía a los atacantes obtener acceso no autorizado y ejecución remota de código. Este código malicioso afectó a varias distribuciones de Linux ampliamente utilizadas, incluidas Kali Linux, Fedora, Debian y Arch Linux. La puerta trasera fue insertada intencionalmente por un individuo que se había ganado la confianza de los encargados del proyecto XZ Utils durante dos años y provocó daños generalizados.
Explotación de vulnerabilidades
Explotar vulnerabilidades en software, hardware o procesos también es un medio eficaz para lanzar ataques a la cadena de suministro y obtener acceso no autorizado, comprometer sistemas y propagar actividades maliciosas. En junio de 2023, se descubrieron tres vulnerabilidades críticas de inyección SQL en la plataforma MOVEit Transfer de Progress Software, que afectaron a unas 1700 organizaciones. La banda de ransomware Cl0p aprovechó estas vulnerabilidades en un ataque generalizado dirigido a empresas como Zellis, British Airways, la BBC y el Departamento de Educación de Minnesota. Esto resultó en un acceso no autorizado a información confidencial, incluidos datos personales y financieros.
Lecciones de incidentes pasados
Los ataques notables a la cadena de suministro, como los de SolarWinds, Kaseya y NotPetya, resaltan el potencial devastador de estas violaciones. El ataque a SolarWinds implicó insertar una puerta trasera en las actualizaciones de software, que luego se distribuyó a miles de clientes, incluidas agencias gubernamentales y grandes corporaciones. Este incidente subrayó la importancia de medidas de seguridad rigurosas para las cadenas de suministro de software y la necesidad de una vigilancia constante y capacidades de respuesta rápida.
Estrategias de mitigación
Dadas las graves implicaciones de los ataques a la cadena de suministro, los equipos de búsqueda de amenazas y SOC de las organizaciones deben adoptar medidas proactivas para mitigar los riesgos. Las herramientas, la inteligencia y el contexto adecuados ayudan a los equipos a comprender las amenazas específicas a su organización.
El módulo de inteligencia de terceros de Cybersixgill ofrece inteligencia mejorada sobre amenazas cibernéticas de diversas fuentes, brindando a las organizaciones información crítica sobre las brechas de ciberseguridad de sus proveedores. Esto permite a los equipos de seguridad:
- Anticiparse a las amenazas a la cadena de suministro
- Evaluar continuamente la postura de seguridad de terceros para minimizar el riesgo.
- Informar amenazas y ofrecer acciones correctivas recomendadas a los proveedores afectados.
- Realizar investigaciones sobre fusiones y adquisiciones antes de finalizar los contratos.
Conclusión
En el cambiante panorama de las amenazas cibernéticas, mantener una cadena de suministro segura no es solo una prioridad estratégica sino una necesidad fundamental para garantizar la integridad y confiabilidad de las operaciones digitales.
La creciente amenaza de ataques a la cadena de suministro exige una mayor conciencia y estrategias de seguridad sólidas por parte de todas las partes interesadas. A medida que los ecosistemas empresariales se vuelven más interconectados, las vulnerabilidades dentro de las cadenas de suministro se vuelven más evidentes y explotables. Las organizaciones deben implementar medidas de seguridad integrales, evaluar continuamente sus relaciones con terceros y mantenerse actualizadas sobre las últimas amenazas para salvaguardar sus ecosistemas digitales.
Para obtener más información sobre los ataques a la cadena de suministro y la inteligencia de terceros de Cybersixgill, descargue Cadenas rotas: comprensión de las ciberamenazas de terceroso contáctenos para programar una demostración.