Llegamos a ustedes gracias a:



Reportajes y análisis

¿Qué es un ataque a la cadena de abastecimiento?

Por qué debería desconfiar de los proveedores

[13/02/2019] Un ataque a la cadena de abastecimiento, también llamado ataque a la cadena de valor o de terceros, ocurre cuando alguien se infiltra en su sistema a través de un socio o proveedor externo que tiene acceso a sus sistemas y datos. Esto ha cambiado drásticamente la superficie de ataque de la empresa típica en los últimos años. Más que nunca, los abastecedores y proveedores de servicios se encuentran en contacto con datos confidenciales.

Los riesgos asociados con un ataque a la cadena de abastecimiento nunca han sido más altos, debido a los nuevos tipos de ataques, la creciente conciencia pública de las amenazas y el aumento de la supervisión de los reguladores. Mientras tanto, los atacantes tienen más recursos y herramientas que nunca a su disposición, creando una tormenta perfecta.

Ejemplos de ataque a la cadena de abastecimiento

No existe fin en los principales ciberataques causados por los proveedores. El ataque a Target en el 2014 fue causado por la laxa seguridad de un proveedor de HVAC. Este año, Equifax culpó de su infiltración gigante a una falla en el software externo que estaba usando. Después culpó a otro proveedor por un enlace de descarga malicioso en su página web.

Luego estaban los Paradise Papers, más de 13 millones de archivos que detallaban la evasión de impuestos en el extranjero por parte de grandes corporaciones, políticos y celebridades. ¿La fuente? Al igual que con los Panama Papers, una firma de abogados fue el eslabón más débil.

Alcance de los ataques a la cadena de abastecimiento

Éstos no son casos aislados. Según una encuesta realizada en el otoño [septentrional] del 2018 por el Ponemon Institute, el 56% de las organizaciones ha tenido una infiltración que fue causada por uno de sus proveedores. Mientras tanto, el número promedio de terceros con acceso a información confidencial en cada organización ha aumentado de 378 a 471. Ese número podría ser un poco bajo. Solo el 35% de las compañías tenía una lista de todos los proveedores de terceros con las que compartían información confidencial.

Solo el 18% de las compañías afirma que sabía si esos proveedores, a su vez, compartían esa información con otros proveedores. Eso es un problema, porque a los clientes no les importa si fue el proveedor de la compañía o la misma compañía la que perdió los datos.

Por estas razones, las empresas están prestando más atención al riesgo relacionado a los terceros. En diciembre del 2018, el Ponemon Institute Cyber Risk Report encontró que, entre los profesionales de TI, el uso indebido o el intercambio no autorizado de datos confidenciales por parte de terceros fue la segunda mayor preocupación de seguridad para el 2019, obteniendo el 64% del total. El 41% afirmó que había tenido incidentes relacionados con terceros en los últimos 24 meses.

El problema empeora al tomar en cuenta que los riesgos no terminan cuando se termina la relación con el proveedor. Este otoño [septentrional], Domino's Australia sufrió una filtración de datos y afirma que el sistema de un proveedor anterior filtró nombres de clientes y direcciones de correo electrónico. "La mayoría de los contratos que reviso no incluyen detalles adecuados para gestionar el difícil proceso de terminación de los proveedores, afirma Brad Keller, director senior de estrategia de terceros en Prevalent, Inc.

Además, los reguladores están considerando cada vez más los riesgos relacionados a terceros. El año pasado, los reguladores financieros del estado de Nueva York comenzaron a exigir a las empresas financieras con presencia en Nueva York que se aseguraran de que las protecciones de ciberseguridad de sus proveedores estuvieran a la par.

El año pasado, Europa hizo lo mismo, con su regulación general de protección de datos (GDPR), que se aplica a todas las empresas que recopilan información personal de los europeos. Las multas de la GDPR son excesivas: hasta el 4% de los ingresos globales totales.

Las regulaciones de riesgos de terceros todavía están en sus primeras etapas, y muchas compañías no tienen un buen control de estos riesgos, señala Peter Galvin, vicepresidente de estrategia y marketing en Thales e-Security. "Las firmas financieras están acostumbradas a esto y están mucho más preparadas, agregó. "Pero muchas compañías no entienden los riesgos y se verá un aumento en las filtraciones de datos, así como en las acciones legales.

Los expertos esperan que más reguladores comiencen a exigir a las empresas que tomen más medidas respecto al riesgo de terceros que las que existen en la actualidad. "Hemos visto una tendencia continua, afirma Eric Dieterich, líder de práctica de privacidad de datos en Focal Point Data Risk, LLC.

Riesgos escondidos en la cadena de abastecimiento de hardware y software

Casi todas las empresas utilizan software y hardware externos. Nadie construye toda su tecnología desde cero, gracias a un auge en la economía del código abierto. Pero existe un riesgo considerable asociado a esta mentalidad. Cada dispositivo comprado, cada aplicación descargada debe ser examinada y monitoreada para detectar posibles riesgos de seguridad, y deben estar al día con sus actualizaciones.

En abril, los investigadores de Flashpoint Intelligence afirmaron que los delincuentes estaban intensificando los ataques contra la popular plataforma de comercio electrónico de código abierto, Magento, atacando con fuerza bruta a las contraseñas para acceder a los registros de tarjetas de crédito e instalar malware centrado en la criptominería.

Los investigadores descubrieron al menos mil paneles de administración de Magento afectados y señalaron que el interés por la plataforma en la deep web y en la dark web no ha disminuido desde el 2016. Además, también existe un interés notable en Powerfront CMS y OpenCart.

El año pasado, una vulnerabilidad CSRF en Magento Community Edition dejó a 200 mil minoristas en línea expuestos. Si hubiese sido explotada, la falla podría haber afectado a todo el sistema, exponiendo las bases de datos que contienen información confidencial de clientes. Dado que la versión comercial de Magento comparte el mismo código subyacente, también hubo una seria preocupación por las operaciones empresariales que también pudieron verse afectadas.

No solo están en riesgo los datos propios de la compañía. Si el software o el componente de hardware defectuoso está integrado en un producto, también podrían darse más problemas de seguridad en el futuro. Un chip de computadora infectado con un backdoor de seguridad, una cámara sin autenticación fuerte o un componente de software incorrecto, puede causar daños generalizados. El error de Heartbleed, por ejemplo, afectó a millones de páginas web y dispositivos móviles, así como al software de muchas de las principales empresas proveedores, incluidas Oracle, VMware y Cisco.

"Nos preocupa la manipulación, nos preocupa el espionaje, tanto a nivel nacional como a nivel industrial, y nos preocupa la disrupción, afirma Edna Conway, directora de seguridad de la cadena de valor global en Cisco Systems, Inc. Por ejemplo, productos de hardware o software pueden haber sido manipulados deliberadamente en algún lugar de la cadena de abastecimiento o reemplazado por falsificaciones.

Cisco también se preocupa por perder información confidencial o propiedad intelectual sensible (IP, por sus siglas en inglés) debido a una brecha en terceros, afirma Conway. "Estamos comprometidos a brindar soluciones que operen de la manera en que están destinadas a operar, agrega. "Si sus clientes no están satisfechos, si su reputación está dañada, eso afecta el resultado final. Ese elemento de confianza es absolutamente esencial, y la reputación es el ámbito de negocios donde se manifiesta la confianza.

Muchas empresas tienen estándares de calidad que los proveedores deben cumplir. Cisco está utilizando el mismo enfoque para la seguridad. "El método que he estado implementando nos permite establecer niveles de tolerancia para los miembros del ecosistema de terceros que se adhieren a nuestros valores y objetivos, personalizados para la naturaleza única de los productos y servicios que el tercero nos brinda, afirma Conway. "Una vez que usted tiene niveles de tolerancia, puede comenzar a medir si está por arriba o por debajo de los niveles de tolerancia. Si están fuera de tolerancia, nos reunimos y decimos: '¿Cómo podemos trabajar juntos para solucionarlo?'.

Riesgos de seguridad del proveedor de nube

La organización única y simplificada ha sido reemplazada por un ecosistema digital donde todo, desde aplicaciones individuales hasta centros de datos completos, se ha trasladado hacia proveedores de nube. "Lo que tiene que proteger está muy lejos y fuera de su ambiente, afirma Fred Kneip, CEO de CyberGRX. "Y los hackers son inteligentes. Van por el camino de menor resistencia.

Incluso el hardware ahora viene habilitado para la nube, señala Kneip. "La configuración predeterminada para una herramienta de soldadura de IoT para una línea automotriz es enviarle diagnósticos al fabricante para que puedan hacer un mantenimiento predictivo, agrega. "Eso suena increíble, pero también puede ser un canal de regreso a todo su ambiente.

Las empresas de servicios profesionales pueden ser incluso menos seguras

"La seguridad es realmente tan buena como el eslabón más débil, afirma John Titmus, director de ingeniería de ventas de EMEA en CrowdStrike, Inc., una empresa proveedora de seguridad. "Los ataques a la cadena de abastecimiento se están generalizando y aumentando en frecuencia con sofisticación. Es necesario comprender la naturaleza de los riesgos y desarrollar una hoja de ruta de seguridad a su alrededor.

En junio del 2017, Deep Root Analytics, una empresa de marketing utilizada por el Republican National Committee, filtró los datos personales de doscientos millones de votantes. Se trata de una pequeña empresa que, según su perfil de LinkedIn, tiene menos de 50 empleados. Deep Root Analytics colocó accidentalmente los datos en un servidor de acceso público.

Las empresas de servicios más grandes también son vulnerables. La filtración en Verizon, que involucró seis millones de registros de clientes, fue causada por Nice Systems, un proveedor de análisis de servicio al cliente. Nice Systems colocó seis meses de registros de llamadas de servicio al cliente, que incluyen información personal y de cuenta, en un servidor de almacenamiento público de Amazon S3.

Nice informa que tiene 3.500 empleados y brinda servicios a más del 85% de los clientes de Fortune 100. Nice es pequeña en comparación con Deloitte, una firma de contabilidad con más de un cuarto de millón de empleados. En septiembre del 2017, Deloitte admitió que los hackers pudieron acceder a correos electrónicos y planes confidenciales de algunos de sus clientes de alto perfil. Según los informes, los atacantes obtuvieron acceso debido a los débiles controles de acceso en una cuenta de administrador.

"No nos sorprendería si viéramos más organizaciones del lado del abastecimiento golpeadas por atacantes para alcanzar su objetivo final, afirma Kurt Baumgartner, investigador principal de seguridad en Kaspersky Lab.

Cómo gestionar el riesgo de terceros: primeros pasos

La supervisión adecuada del riesgo de ciberseguridad de terceros paga dividendos más allá de los beneficios de cumplimiento. De hecho, reduce la probabilidad de una filtración, según el informe de Ponemon. "Puede reducir el incidente de una filtración en veinte puntos porcentuales, afirma Dov Goldman, vicepresidente de innovación y alianzas de Opus Global, Inc., la compañía que patrocinó el estudio.

Específicamente, si una compañía evalúa las políticas de seguridad y privacidad de todos sus proveedores, la probabilidad de un incumplimiento cae del 66% al 46%. Eso incluye a todos los proveedores, agregó Goldman.

"Las grandes relaciones podrían no ser el mayor riesgo, señala Goldman. Es probable que los proveedores más grandes ya tengan elaboradas defensas de ciberseguridad. "Pero si observa organizaciones más pequeñas, notará que no tienen el mismo nivel de control de ciberseguridad, afirma.

Una vez que una empresa comprende quiénes son todos los proveedores y cuáles de ellos tienen acceso a datos confidenciales, existe una variedad de herramientas disponibles para ayudar a evaluar el nivel de su seguridad. Por ejemplo, algunas compañías están incluyendo la seguridad en los acuerdos de nivel de servicio con sus proveedores, afirma Tim Prendergast, CEO de Evident.io, una compañía de seguridad de nube.

"Estamos viendo un movimiento para exigir un acuerdo por parte del proveedor que demuestre su compromiso con la seguridad, señala. "Les solicitan a esos proveedores que apliquen controles similares a sus socios. Estamos viendo una cascada legal en estos contratos.

Se puede pedir a las empresas proveedoras que realicen autoevaluaciones, permitan visitas de clientes y auditorías, o compren ciberseguros. A veces, se requiere una evaluación más completa. "Hemos visto a muchas compañías realizar auditorías a sus proveedores de servicios, afirma Ryan Spanier, director de investigación de Kudelski Security. "Una gran institución financiera con la que trabajamos requiere auditorías y llega al lugar para realizar sus propias pruebas de penetración y ver dónde están los datos y cómo están protegidos.

Los clientes más pequeños, sin embargo, pueden no tener ese tipo de influencia. "Solo requieren evidencia de auditorías de terceros, ven los resultados y llegan a revisarlos, afirma. "Luego exigen que algunas de las cosas se solucionen antes de que sigan haciendo negocios con la empresa. También puede limitarse a las empresas que sabe que están haciendo un buen trabajo con seguridad, lo cual es difícil, porque no hay muchas de ellas actualmente.

Además, existen organizaciones que proporcionan puntajes de seguridad. Por ejemplo, BitSight Technologies y SecurityScorecard observan a los proveedores desde afuera, calificando a las compañías en relación con la seguridad de sus redes frente a los ataques.

Para evaluaciones más profundas, observando las políticas y procesos internos de los proveedores, Deloitte y CyberGRX se han unido para hacer las revisiones y evaluaciones continuas, evitando que los proveedores respondan a cada uno de sus clientes individualmente. "Las compañías de hoy necesitan abordar el ciberriesgo de terceros como un riesgo empresarial que debe ser administrado continuamente, afirma Jim Routh, CSO de Aetna. "El CyberGRX Exchange les permite a todas las empresas adoptar este enfoque.

Un par de grupos de la industria financiera están haciendo algo similar. En noviembre, American Express, Bank of America, JP Morgan y Wells Fargo se unieron para crear un servicio de evaluación de proveedores llamado TruSight. En junio, Barclays, Goldman Sachs, HSBC y Morgan Stanley anunciaron que estaban adquiriendo una participación de capital en la solución de gestión de riesgos Know Your Third Party de IHS Markit.

Las compañías deberían revisar la forma en que los proveedores externos acceden a sus datos confidenciales para asegurarse de que solo las personas adecuadas puedan acceder a los datos exclusivamente para fines aprobados. Según el Cyber Risk Report de Ponemon, el 42% de los encuestados afirmó que mejoraron los controles sobre el acceso de terceros a datos confidenciales.

En estos días, la gestión de riesgos de terceros requiere un nuevo enfoque, afirma Routh. "Uno que les permita a las empresas entender dónde se encuentran los riesgos dentro de su ecosistema digital, adaptar sus controles de acuerdo con esos riesgos y colaborar con sus proveedores externos para remediar y mitigar esos riesgos.