Llegamos a ustedes gracias a:



Reportajes y análisis

¿Qué es un ataque de cadena de suministro?

[04/05/2018] Un ataque de cadena de suministro, también llamado ataque de cadena de valor o de terceros, ocurre cuando alguien se infiltra en su sistema a través de un socio externo o proveedor con acceso a sus sistemas y datos. Esto ha cambiado drásticamente la superficie de ataque de la empresa típica en los últimos años, con más proveedores y proveedores de servicios tocando datos confidenciales que nunca antes.

Los riesgos asociados con un ataque a la cadena de suministro nunca han sido más altos, debido a los nuevos tipos de ataques, la creciente conciencia pública sobre las amenazas y una mayor supervisión de los reguladores. Mientras tanto, los atacantes tienen más recursos y herramientas a su disposición, creando una tormenta perfecta.

Ejemplos y alcance de los ataques a la cadena de suministro

Las principales brechas cibernéticas causadas por los proveedores no tienen fin. El incumplimiento del 2014 fue causado por la seguridad laxa en un proveedor de HVAC. Equifax culpó por su brecha gigante a un defecto en el software externo que estaba utilizando. Luego culpó a otro proveedor de un enlace de descarga malicioso en su sitio web.

Luego están los Paradise Papers, más de 13 millones de archivos que detallan la evasión de impuestos offshore por las principales corporaciones, políticos y celebridades. ¿La fuente? Al igual que los Papeles de Panamá del año pasado, era un bufete de abogados el que era el eslabón más débil.

Estos no son casos aislados. Según una encuesta realizada por el Ponemon Institute, el 56% de las organizaciones ha tenido una violación que fue causada por uno de sus proveedores. Mientras tanto, el número promedio de terceros con acceso a información confidencial en cada organización aumentó de 378 a 471. Ese número podría ser un poco bajo. Solo el 35% de las empresas tenía una lista de todos los terceros con los que compartían información confidencial.

Solo el 18% de las empresas dice que sabía si esos proveedores, a su vez, estaban compartiendo esa información con otros proveedores. Eso es un problema, porque a los clientes no les importa si fue el proveedor de la compañía el que perdió los datos, o la compañía misma.

El problema empeora cuando considera que los riesgos no terminan cuando finaliza la relación con el proveedor. Este otoño [septentrional], Domino's Australia tuvo una violación de seguridad y dice que el sistema de un antiguo proveedor había filtrado nombres de clientes y direcciones de correo electrónico. "La mayoría de los contratos que reviso, no incluyen los detalles adecuados para gestionar el complicado proceso de finalización del proveedor", señala Brad Keller, director senior de estrategia de terceros en Prevalent, Inc.

Además, los reguladores miran cada vez más los riesgos de terceros. El año pasado, los reguladores financieros del estado de Nueva York comenzaron a exigir a las firmas financieras con presencia en Nueva York que garantizaran que las protecciones de ciberseguridad de sus proveedores estuvieran a la altura.

Este año, Europa hará lo mismo, con su Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), que se aplica a todas las empresas que recopilan información personal de los europeos. Las multas de GDPR son abruptas, hasta el 4% de los ingresos globales totales.

Las regulaciones de riesgo de terceros todavía están en sus primeras etapas, y muchas compañías no tienen un buen manejo de estos riesgos, anota Peter Galvin, vicepresidente de estrategia y marketing de Thales e-Security. "Las firmas financieras están acostumbradas a esto y están mucho más preparadas", agregó. "Pero muchas empresas no comprenden los riesgos, y verá un aumento en las infracciones, y verá más acciones legales".

Los expertos esperan que más reguladores comiencen a exigir a las empresas que hagan más sobre el riesgo de terceros de lo que lo hacen hoy. "Ha sido una tendencia continua", señala Eric Dieterich, líder de práctica de privacidad de datos en Focal Point Data Risk, LLC.

Riesgos ocultos en la cadena de suministro de hardware y software

Casi todas las empresas usan software y hardware externos. Nadie construye toda su tecnología desde el principio, gracias a un auge en la economía de código abierto. Pero existe un riesgo considerable asociado a esta mentalidad. Cada dispositivo comprado, cada aplicación descargada necesita ser revisada y monitoreada por posibles riesgos de seguridad, y todos los parches deben estar actualizados.

En abril del año pasado, los investigadores de Flashpoint Intelligence dijeron que los delincuentes estaban intensificando los ataques contra la popular plataforma de comercio electrónico de código abierto, Magento, forzando las contraseñas con el fin de raspar los registros de tarjetas de crédito e instalar malware centrado en minería de cifrado.

Los investigadores descubrieron al menos mil paneles de administración de Magento comprometidos, y dijeron que el interés en la plataforma por la web profunda y la web oscura no ha disminuido desde el 2016. Además, también hay un interés notable en Powerfront CMS y OpenCart.

El año pasado, una vulnerabilidad CSRF en Magento Community Edition dejó expuestos a 200 mil minoristas en línea. Si se explotaba, la falla podría haber permitido un compromiso total del sistema, exponiendo bases de datos que contienen información sensible del cliente. Dado que la versión comercial de Magento comparte el mismo código subyacente, había una preocupación real que las operaciones de la empresa también se vieran afectadas.

No solo los datos de una empresa están en riesgo, sino que, si el componente defectuoso del software o hardware está incrustado en un producto, puede causar más problemas de seguridad en el futuro. Un chip de computadora infectado con una puerta trasera de seguridad, una cámara sin autenticación fuerte o un componente de software incorrecto pueden causar daños generalizados. El error Heartbleed, por ejemplo, afectó a millones de sitios web y dispositivos móviles, así como a software de muchos proveedores importantes, incluidos Oracle, VMware y Cisco.

"Nos preocupa la manipulación, nos preocupa el espionaje, tanto a nivel nacional como industrial, y nos preocupa la interrupción", anotó Edna Conway, jefa de seguridad de la cadena de valor global de Cisco Systems, Inc. Por ejemplo, productos de hardware o software pueden haber sido manipulados deliberadamente en algún lugar de la cadena de suministro o reemplazados con falsificaciones.

Cisco también está preocupado por perder información confidencial o propiedad intelectual (IP, por sus siglas en inglés) sensible debido a una violación de terceros, anota Conway. "Nos comprometemos a ofrecer soluciones que operan de la manera en que están destinadas a funcionar", señala. "Si sus clientes no están satisfechos, si su reputación se daña, tiene un impacto en el resultado final. Ese elemento de confianza es absolutamente esencial, y la reputación es el lugar de negocios donde la confianza se manifiesta".

Muchas empresas tienen estándares de calidad que los proveedores deben cumplir. Cisco está utilizando el mismo enfoque para la seguridad. "El método que hemos estado implementando nos permite establecer niveles de tolerancia para los miembros del ecosistema de terceros que se adhieren a nuestros valores y objetivos, personalizados para la naturaleza única de los productos y servicios que el tercero nos brinda", indica Conway. "Una vez que tiene niveles de tolerancia, puede empezar a medir si está por encima o por debajo de los niveles de tolerancia. Si está fuera de tolerancia, nos sentamos juntos y decimos: '¿Cómo podemos trabajar juntos para abordar eso?'"

Riesgos de seguridad del proveedor de nube

La organización única y racionalizada ha sido reemplazada por un ecosistema digital donde todo, desde aplicaciones individuales hasta centros de datos completos, se han trasladado a proveedores de servicios en la nube. "Lo que tiene que proteger está muy lejos de su entorno", señala Fred Kneip, CEO de CyberGRX. "Y los hackers son inteligentes. Van por el camino que pone menor resistencia".

Incluso el hardware ahora viene en la nube, anota Kneip. "La configuración predeterminada para una herramienta de soldadura IoT para una línea automotriz, es enviar diagnósticos al fabricante para que puedan realizar el mantenimiento predictivo", señala. "Eso suena increíble, pero también puede ser un canal de vuelta a todo su entorno".

Las empresas de servicios profesionales pueden ser aún menos seguras

"La seguridad es realmente tan buena como el eslabón más débil", señala John Titmus, director de ingeniería de ventas de EMEA en CrowdStrike, Inc., un proveedor de seguridad. "Los ataques a la cadena de suministro se están generalizando y están creciendo en frecuencia y sofisticación. Debe comprender la naturaleza de los riesgos y desarrollar una hoja de ruta de seguridad a su alrededor".

Deep Root Analytics, una empresa de marketing utilizada por el Comité Nacional Republicano, filtró los datos personales de 200 millones de votantes. Esta es una empresa pequeña, que, de acuerdo con su perfil de LinkedIn, tiene menos de 50 empleados. Deep Root Analytics coloca accidentalmente los datos en un servidor de acceso público.

Las compañías de servicios más grandes también son vulnerables. La violación de Verizon, que involucró seis millones de registros de clientes, fue causada por Nice Systems, un proveedor de análisis de servicio al cliente. Nice puso seis meses de registros de llamadas de servicio al cliente, que incluían información personal y de cuentas, en un servidor de almacenamiento público de Amazon S3.

Nice informa que tiene 3.500 empleados y brinda servicios a más del 85% de los clientes de Fortune 100. Niza es pequeña en comparación con Deloitte, una firma de contabilidad con más de un cuarto de millón de empleados. En septiembre, Deloitte admitió que los piratas informáticos podían acceder a correos electrónicos y planes confidenciales de algunos de sus clientes de primer nivel. Según los informes, los atacantes obtuvieron acceso debido a los controles de acceso débiles en una cuenta de administrador.

"No nos sorprendería que viéramos más organizaciones del lado de la oferta atacadas por los atacantes para alcanzar su objetivo final", señala Kurt Baumgartner, investigador principal de seguridad de Kaspersky Lab.

Cómo gestionar el riesgo de terceros: Primeros pasos

La supervisión adecuada del riesgo de seguridad cibernética de terceros paga dividendos más allá de los beneficios de cumplimiento. En realidad, reduce la probabilidad de una infracción, según el informe Ponemon. "Puede reducir el incidente de una violación en 20 puntos porcentuales", señala Dov Goldman, vicepresidente de innovación y alianzas de Opus Global, Inc., la compañía que patrocinó el estudio.

Específicamente, si una compañía evalúa las políticas de seguridad y privacidad de todos sus proveedores, la probabilidad de una violación cae del 66% al 46%. Eso incluye a todos los proveedores, agrega Goldman.

"Las grandes relaciones pueden no ser el mayor riesgo", señala Goldman. Es probable que los principales proveedores cuenten con defensas de ciberseguridad elaboradas. "Pero si observamos organizaciones más pequeñas, no tienen el mismo nivel de control de seguridad cibernética", dice.

Una vez que una empresa comprende quiénes son todos los proveedores y cuáles de ellos tienen acceso a datos confidenciales, hay una variedad de herramientas disponibles para ayudar a evaluar el nivel de su seguridad. Por ejemplo, algunas compañías incluyen la seguridad en los acuerdos de nivel de servicio con sus proveedores, indica Tim Prendergast, CEO de Evident.io, una compañía de seguridad en la nube.

"Estamos viendo un movimiento para exigir un acuerdo del proveedor que demuestre su compromiso con la seguridad", anota. "Piden a esos proveedores que impongan controles similares a sus socios. Estamos viendo una cascada legal de estos contratos".

Se les puede pedir a los proveedores que realicen autoevaluaciones, permitan visitas y auditorías a los clientes, o adquieran un seguro cibernético. A veces, es necesaria una evaluación más exhaustiva. "Hemos visto a muchas compañías realizar auditorías a sus proveedores de servicios", señala Ryan Spanier, director de investigación de Kudelski Security. "Una gran institución financiera con la que trabajamos requiere auditorías, y llega al lugar y ejecuta sus propias pruebas de penetración para ver dónde están los datos y cómo están protegidos".

Los clientes más pequeños, sin embargo, pueden no tener ese tipo de influencia. "Simplemente requieren evidencia de auditorías de terceros, ven los resultados y los revisan", señala. "Luego ordenan que algunas de las cosas se arreglen antes de que continúen haciendo negocios con la compañía. También pueden limitarse a compañías que saben que están haciendo un buen trabajo con la seguridad, lo cual es difícil, porque no hay muchas de ellas en este momento".

Además, hay organizaciones que brindan puntajes de seguridad. Por ejemplo, BitSight Technologies y SecurityScorecard observan a los proveedores desde el exterior, calificando a las compañías de cuán seguras son sus redes para los ataques.

Para evaluaciones más profundas, al observar las políticas y procesos internos de los proveedores, Deloitte y CyberGRX se han unido para realizar las revisiones, así como las evaluaciones continuas, lo que evita que los proveedores respondan individualmente a cada uno de sus clientes. "Las empresas de hoy en día necesitan acercarse al riesgo cibernético de terceros como un riesgo comercial que necesita ser administrado continuamente", señala Jim Routh, CSO de Aetna. "El intercambio de CyberGRX permite a todas las empresas adoptar este enfoque".

Un par de grupos de la industria financiera están haciendo algo similar. En noviembre, American Express, Bank of America, JPMorgan y Wells Fargo se unieron para crear un servicio de evaluación de proveedores llamado TruSight. En junio, Barclays, Goldman Sachs, HSBC y Morgan Stanley anunciaron que estaban adquiriendo una participación accionaria en la solución de gestión de riesgos Know Your Third Party de IHS Markit.

En estos días, la gestión de riesgos de terceros requiere un nuevo enfoque, señala Routh. "Uno que permita a las empresas comprender dónde se encuentran los riesgos dentro de su ecosistema digital, adaptar sus controles de acuerdo con esos riesgos y colaborar con sus terceros para remediar y mitigar esos riesgos".