Llegamos a ustedes gracias a:



Reportajes y análisis

¿Qué es un ataque a la cadena de abastecimiento?

Por qué debería tener cuidado con los proveedores externos

[16/11/2020] Un ataque a la cadena de abastecimiento, también llamado ataque a la cadena de valor o de terceros, ocurre cuando alguien se infiltra en su sistema a través de un socio, o proveedor externo, con acceso a sus sistemas y datos. En los últimos años, para la empresa promedio, la superficie de ataque ha cambiado drásticamente. Esto se debe a que, hoy más que nunca, los abastecedores y proveedores de servicios entran en contacto con datos confidenciales.

Los riesgos asociados con un ataque a la cadena de abastecimiento nunca han sido tan altos, debido a los nuevos tipos de ataques, la creciente conciencia pública de las amenazas y una mayor supervisión por parte de los reguladores. Mientras tanto, hoy más que nunca, los atacantes disponen de un número mayor de recursos y herramientas, creando una tormenta perfecta.

Ejemplos de ataques a la cadena de abastecimiento

Los grandes ciberataques causados por los proveedores no tienen fin. El ataque a Target en el 2014 fue causado por la falta de seguridad en un proveedor de climatización. Equifax culpó de su gigantesco ataque del 2017 a una falla en el software externo que estaba usando. Luego culpó a otro proveedor por un enlace de descarga malicioso en su página web.

Luego estaban los Paradise Papers, más de 13 millones de archivos que detallan la evasión de impuestos en el extranjero por parte de grandes corporaciones, políticos y celebridades. ¿La fuente? Como con los Panama Papers, el eslabón más débil fue un bufete de abogados.

Alcance de los ataques a la cadena de abastecimiento

Estos no son casos aislados. Según una encuesta realizada en junio del 2020 por Opinion Matters para BlueVoyant, el 80% de las organizaciones han tenido un ataque causado por uno de sus proveedores. El número medio de ataques a través de un tercero para los encuestados fue de 2,7. A pesar del alto riesgo de un ataque a través de un proveedor, el 77% de los encuestados afirmó que tenían una visibilidad limitada de esos proveedores.

Solo el 18% de las empresas afirma que sabía si esos proveedores, a su vez, compartían esa información con otros proveedores. Eso es un problema, porque a los clientes no les importa si fue el proveedor de la empresa el que perdió los datos y no la empresa misma.

Por estas razones, las empresas están prestando más atención al riesgo de terceros. En diciembre del 2018, el Cyber Risk Report del Instituto Ponemon encontró que el uso indebido o el intercambio no autorizado de datos confidenciales, por parte de terceros, era la segunda mayor preocupación de seguridad para el 2019 entre los profesionales de TI, con el 64% del total. El 41% afirmó que había tenido incidentes relacionados con terceros en los últimos 24 meses.

El problema se agrava al considerar que los riesgos no terminan cuando se termina la relación con el proveedor. En el 2014, Domino's de Australia sufrió una violación a su seguridad y afirma que el sistema de un antiguo proveedor había filtrado nombres de clientes y direcciones de correo electrónico. "La mayoría de los contratos que reviso no incluyen los detalles adecuados para gestionar el complicado proceso de terminación del proveedor, afirma Brad Keller, director senior de estrategia con terceros de Prevalent, Inc.

Además, los reguladores están cada vez más atentos a los riesgos provenientes de terceros. El año pasado, los reguladores financieros del estado de Nueva York comenzaron a exigir a las empresas financieras, con presencia en Nueva York, que se aseguraran de que la ciberseguridad de sus proveedores estuviera a la altura.

Europa hace lo mismo, con su Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), que se aplica a todas las empresas que recopilan información personal de los europeos. Las multas de la GDPR son elevadas -hasta el 4% de los ingresos globales totales-.

Las regulaciones sobre riesgos de terceros aún se encuentran en sus primeras etapas, y muchas empresas no tienen un buen manejo de estos riesgos, afirma Peter Galvin, vicepresidente de Estrategia y Marketing de Thales e-Security. "Las firmas financieras están acostumbradas a esto y están mucho más preparadas, agregó. "Pero muchas empresas no comprenden los riesgos y va a haber un aumento en los robos y se verá más acciones legales.

Los expertos esperan que más reguladores comiencen a exigir a las empresas que hagan más sobre el riesgo proveniente de terceros de lo que lo hacen hoy. "Ha sido una tendencia continua que hemos visto, afirma Eric Dieterich, líder de prácticas de privacidad de datos de Focal Point Data Risk, LLC.

Los riesgos que se esconden en la cadena de abastecimiento de hardware y software

Casi todas las empresas utilizan software y hardware externos. Gracias al auge de la economía del código abierto, ya nadie construye toda su tecnología desde cero. Pero existe un riesgo considerable asociado a esta forma de pensar. Cada dispositivo comprado, así como cada aplicación descargada, debe examinarse y monitorearse para detectar posibles riesgos a la seguridad, y todas las actualizaciones deben estar al día.

En abril del 2018, investigadores de Flashpoint Intelligence afirmaron que los delincuentes estaban intensificando los ataques contra la popular plataforma de comercio electrónico de código abierto, Magento, accediendo mediante fuerza bruta a contraseñas para llegar a registros de tarjetas de crédito e instalar malware especializado en criptominería.

Los investigadores descubrieron que al menos mil paneles de administración de Magento se encontraban comprometidos y afirmaron que, en la deep web y la dark web, el interés por la plataforma en sí ha persistido desde el 2016. Además, también existe un interés notable por Powerfront CMS y OpenCart.

Por ejemplo, una vulnerabilidad CSRF en Magento Community Edition dejó expuestos a 200 mil minoristas en línea. Si se explota, la falla podría haber permitido que el sistema completo se vea comprometido, exponiendo las bases de datos que contienen información confidencial del cliente. Dado que la versión comercial de Magento comparte el mismo código, existía una preocupación real de que las operaciones empresariales también se vieran afectadas.

No solo los datos de una empresa están en riesgo, sino que si el componente de software o hardware defectuoso está integrado en un producto, puede causar más problemas de seguridad en el futuro. Un chip de computadora infectado con una backdoor de seguridad, una cámara sin autenticación sólida o un componente de software defectuoso pueden causar un daño generalizado. El error Heartbleed, por ejemplo, afectó a millones de páginas web y dispositivos móviles, así como al software de muchos de los principales proveedores, incluidos Oracle, VMware y Cisco.

"Nos preocupamos por la manipulación, nos preocupamos por el espionaje, tanto a nivel nacional como industrial, y nos preocupamos por las disrupciones, afirma Edna Conway, directora de seguridad de la cadena de valor global de Cisco Systems. Por ejemplo, los productos de hardware o software pueden haber sido manipulados deliberadamente en algún lugar de la cadena de abastecimiento o reemplazados por falsificaciones.

Cisco también está preocupado por la pérdida de información confidencial o propiedad intelectual (IP, por sus siglas en inglés) sensible debido a un ataque a través de terceros, afirma Conway. "Estamos comprometidos a ofrecer soluciones que funcionen de la forma en que se pretende que funcionen», afirma. "Si sus clientes no están satisfechos, si su reputación está dañada, esto afecta el resultado final. Ese elemento de confianza es absolutamente esencial, y la reputación es el lugar de negocios donde la confianza se manifiesta.

Muchas empresas cuentan con estándares de calidad que los proveedores deben cumplir. Cisco está utilizando el mismo enfoque para la seguridad. "De acuerdo con la naturaleza única de los productos y servicios que el tercero nos brinda, el método que he estado implementando nos permite establecer niveles personalizados de tolerancia para la adherencia de los miembros del ecosistema de terceros a nuestros valores y objetivos, afirma Conway. "Una vez que uno cuenta con los niveles de tolerancia, es posible comenzar a medir si se encuentra dentro, por encima o por debajo de los niveles de tolerancia. Si están fuera del nivel tolerancia, nos sentamos juntos y decimos: "¿Cómo podemos trabajar juntos para abordar eso?.

Los riesgos de seguridad del proveedor de nube

La organización única y optimizada ha sido reemplazada por un ecosistema digital donde todo -desde aplicaciones individuales hasta centros de datos completos- se ha trasladado a proveedores de nube. "Lo que tiene que proteger está muy lejos de su ambiente, afirma Fred Kneip, director ejecutivo de CyberGRX. "Y los hackers son inteligentes. Ellos van por el camino de menor resistencia.

Incluso el hardware ahora viene habilitado para la nube, afirma Kneip. "La configuración predeterminada de una herramienta de soldadura IoT para una línea automotriz es enviar diagnósticos al fabricante para que puedan realizar un mantenimiento predictivo, afirma. "Eso suena increíble, pero también puede ser un canal que conduce hacia todo su ambiente.

Las empresas de servicios profesionales pueden ser incluso menos seguras

"La seguridad es realmente tan buena como el eslabón más débil, afirma John Titmus, director de ingeniería de ventas para EMEA en CrowdStrike, proveedor de seguridad. "Los ataques a la cadena de abastecimiento se están generalizando y aumentando en frecuencia y sofisticación. Es necesario comprender la naturaleza de los riesgos y desarrollar una hoja de ruta de seguridad a su alrededor.

Deep Root Analytics, firma de marketing utilizada por el Comité Nacional Republicano, filtró los datos personales de 200 millones de votantes en el 2017. Se trata de una pequeña empresa que, según su perfil de LinkedIn, tiene menos de 50 empleados. Deep Root Analytics colocó accidentalmente los datos en un servidor de acceso público.

Las empresas de servicios más grandes también son vulnerables. La irrupción en Verizon, que involucró seis millones de registros de clientes, fue causada por Nice Systems, un proveedor de análisis de servicio al cliente. Nice puso seis meses de registros de llamadas de servicio al cliente, que incluían información personal y de la cuenta, en un servidor de almacenamiento público de Amazon S3.

Nice informa que tiene 3.500 quinientos empleados y brinda servicios a más del 85% de los clientes de Fortune 100. En comparación con Deloitte, una empresa de contabilidad con más de un cuarto de millón de empleados, Nice es pequeña. Deloitte admitió en el 2017 que los hackers pudieron acceder a correos electrónicos y planes confidenciales de algunos de sus clientes de primera línea. Según los informes, los atacantes obtuvieron acceso debido a la debilidad en los controles de acceso en una cuenta de administrador.

"No nos sorprendería ver que más organizaciones del lado de los proveedores sean afectadas por atacantes para alcanzar su objetivo final, afirma Kurt Baumgartner, investigador principal de seguridad de Kaspersky Lab.

Cómo gestionar el riesgo proveniente de terceros: Primeros pasos

Una adecuada supervisión del riesgo de ciberseguridad proveniente de terceros rinde frutos que van más allá de los beneficios que se obtienen por el cumplimiento normativo. De hecho, reduce la probabilidad de un ataque, según el informe de Ponemon. "Puede reducir el incidente de un ataque en 20 puntos porcentuales, afirma Dov Goldman, vicepresidente de Innovación y Alianzas en Opus Global, Inc., la empresa que patrocinó el estudio.

Específicamente, si una empresa evalúa las políticas de seguridad y privacidad de todos sus proveedores, la probabilidad de un ataque cae del 66% al 46%. Eso incluye a todos los proveedores, agregó Goldman.

"Las grandes relaciones podrían no ser el mayor riesgo, afirma Goldman. Es probable que los proveedores más importantes ya cuenten con elaboradas defensas de ciberseguridad. "Pero si nos fijamos en organizaciones más pequeñas, no tienen el mismo nivel de control de ciberseguridad, afirma Goldman.

Una vez que una empresa comprende quiénes son todos los proveedores y cuál de ellos tiene acceso a datos confidenciales, existen varias herramientas disponibles para ayudar a evaluar el nivel de seguridad. Por ejemplo, algunas empresas están incluyendo la seguridad en los acuerdos de nivel de servicio con sus proveedores, afirma Tim Prendergast, director ejecutivo de Evident.io, una empresa de seguridad en la nube.

"Estamos viendo un movimiento para exigir un acuerdo con el proveedor que demuestre su compromiso con la seguridad, afirma. "Piden a esos proveedores que impongan controles similares a sus socios. Estamos viendo una cascada legal de estos contratos.

Es posible que se les solicite a los proveedores que realicen autoevaluaciones, permitan visitas y auditorías de los clientes o que compren un seguro cibernético. A veces, es necesaria una evaluación más completa. "Hemos visto que muchas empresas han realizado auditorías a sus proveedores de servicios, afirma Ryan Spanier, director de investigación de Kudelski Security. "Una gran institución financiera con la que trabajamos solicita auditorías y llega a entrar onsite y ejecutar sus propias pruebas de penetración y ver dónde están los datos y cómo están protegidos.

Sin embargo, es posible que los clientes más pequeños no tengan ese tipo de influencia. "Solo requieren evidencia de auditorías de terceros, ver los resultados y revisarlos, afirma Spanier. "Luego exigen que algunas de las cosas se arreglen antes de que continúen haciendo negocios con la empresa. También puede limitarse a las empresas que le han demostrado estar haciendo un buen trabajo con la seguridad, lo cual es difícil, porque no hay muchas de ellas ahora mismo.

Además, hay organizaciones que brindan puntajes de seguridad. Por ejemplo, BitSight Technologies y SecurityScorecard analizan a los proveedores desde el exterior, y califican a las empresas en base a la seguridad de sus redes frente a los ataques.

Para realizar evaluaciones más profundas, observar las políticas y los procesos internos de los proveedores, Deloitte y CyberGRX se han unido para realizar las revisiones y las evaluaciones continuas, lo que evita que los proveedores le respondan a cada uno de sus clientes individualmente. "Las empresas de hoy deben abordar el riesgo cibernético proveniente de terceros como un riesgo comercial, el cual debe administrarse continuamente, afirma Jim Routh, CSO de Aetna. "CyberGRX Exchange permite que todas las empresas adopten este enfoque.

Un par de grupos de la industria financiera están haciendo algo similar. En noviembre, American Express, Bank of America, JPMorgan y Wells Fargo se unieron para crear un servicio de evaluación de proveedores llamado TruSight. En junio, Barclays, Goldman Sachs, HSBC y Morgan Stanley anunciaron que iban a adquirir una participación accionaria en la solución de gestión de riesgos Know Your Third Party de IHS Markit.

Las empresas deben revisar cómo acceden los terceros a sus datos confidenciales para asegurarse de que únicamente las personas adecuadas puedan acceder a los datos solo para fines aprobados. Según el Cyber Risk Report de Ponemon, el 42% de los encuestados reconocieron la necesidad de mejorar los controles del acceso de terceros a los datos confidenciales.

En estos días, la gestión de riesgos de terceros requiere un nuevo enfoque, afirma Routh. "Un enfoque que permita a las empresas comprender dónde se encuentran los riesgos dentro de su ecosistema digital, adaptar sus controles de acuerdo con esos riesgos y colaborar con sus terceros para remediar y mitigar esos riesgos.