Depender sin cuestionamientos de los socios y proveedores en cuanto a seguridad no es viable a largo plazo: es crucial asumir el control a través de una gestión efectiva de los riesgos asociados a los proveedores.
Las cadenas de suministro son el pilar del mundo moderno. Actúan como el nexo esencial para el comercio y la prosperidad a nivel global. Sin embargo, estas complejas y a menudo opacas redes de empresas interconectadas enfrentan crecientes desafíos. La mayoría de estas cadenas involucran la provisión de software y servicios digitales, o dependen en cierto modo de interacciones online, haciéndolas susceptibles a interrupciones y vulnerabilidades.
En particular, las pequeñas y medianas empresas (PYMES) pueden no estar buscando de manera proactiva, o carecer de los recursos necesarios, para asegurar sus cadenas de suministro. Pero continuar confiando sin verificar en la seguridad cibernética de socios y proveedores no es una opción viable en el entorno actual. Por lo tanto, se hace imperativo abordar con seriedad la gestión de riesgos en las cadenas de suministro.
Te podrá interesar: Software de Terceros: ¿Una Solución o un Dolor de Cabeza?
¿Qué es la ciberseguridad en la Cadena de Suministro?
La ciberseguridad en la cadena de suministro se refiere a la protección de los sistemas de información, hardware, software y datos involucrados en la cadena de suministro de una organización contra amenazas cibernéticas. Esto incluye proteger contra accesos no autorizados, ataques cibernéticos, y otras formas de explotación digital que pueden surgir de socios, proveedores, o incluso dentro de la propia empresa.
Con el aumento de la interconectividad y la dependencia de terceros en las operaciones comerciales, la cadena de suministro se ha vuelto más vulnerable a los ciberataques. Un solo punto débil en la cadena puede comprometer toda la infraestructura de una organización, resultando en pérdidas financieras significativas, daño a la reputación y posibles implicaciones legales.
Conoce más sobre: Protegiendo la Cadena de Suministro: Principales Ataques
¿En qué consiste el riesgo en la cadena de suministro?
Los peligros cibernéticos en la cadena de suministro pueden presentarse de diversas maneras, incluyendo ataques de ransomware, sustracción de datos, ataques de denegación de servicio (DDoS), y fraudes. Estos riesgos pueden impactar tanto a proveedores tradicionales, como firmas de servicios profesionales (abogados, contadores) o empresas de software corporativo, como a los proveedores de servicios gestionados (MSP). Los atacantes pueden enfocarse en los MSP ya que, comprometiendo a uno, podrían acceder a una amplia gama de negocios clientes. Un estudio del año anterior mostró que el 90% de los MSP experimentaron un ciberataque en los últimos 18 meses.
A continuación, conoce algunos de los tipos principales de ciberataques en la cadena de suministro y cómo se llevan a cabo:
- Compromiso de software propietario: Los cibercriminales, cada vez más osados, han logrado en ocasiones infiltrar malware en el software desarrollado, afectando a los clientes finales. Esto ocurrió en el ataque de ransomware de Kaseya. En un caso más reciente, el software de transferencia de archivos MOVEit fue comprometido por una vulnerabilidad de día cero, afectando a cientos de usuarios corporativos y a millones de clientes. Por otro lado, el incidente con el software de comunicación 3CX se destacó como el primer ataque documentado a la cadena de suministro que desencadenó otro ataque.
- Ataques en la cadena de suministro de código abierto: Muchos desarrolladores usan componentes de código abierto, lo que ha llevado a los atacantes a insertar malware en estos componentes y distribuirlos a través de repositorios populares. Un informe indica un aumento del 633% año tras año en este tipo de ataques. También explotan rápidamente vulnerabilidades en código abierto que algunos usuarios pueden demorar en corregir, como sucedió con un error crítico en Log4j.
- Fraude mediante suplantación de proveedores: En ataques sofisticados de compromiso de correo electrónico empresarial (BEC), los estafadores se hacen pasar por proveedores para engañar a clientes y obtener pagos. El atacante suele secuestrar una cuenta de correo electrónico y esperar el momento oportuno para enviar una factura fraudulenta.
- Robo de credenciales: Los atacantes suelen robar las credenciales de inicio de sesión de los proveedores con el objetivo de acceder a ellos o a sus clientes. Un ejemplo de esto fue la violación masiva de datos de Target en 2013, originada en el robo de credenciales de un proveedor de HVAC.
- Sustracción de datos: Muchos proveedores almacenan información confidencial de sus clientes, como bufetes de abogados que poseen secretos corporativos. Esto los convierte en blancos atractivos para aquellos que buscan monetizar la información a través de la extorsión u otros medios.
Conoce más sobre: Ataque BEC: Previniendo el Compromiso de Correo Empresarial
¿Cómo se evalúa y mitiga el riesgo de los proveedores?
Independientemente del tipo específico de riesgo en la cadena de suministro, el resultado puede ser daños financieros y de reputación, así como riesgos legales y operativos. Sin embargo, estos riesgos se pueden gestionar siguiendo las mejores prácticas de la industria:
- Evaluar minuciosamente a nuevos proveedores, asegurándose de que su programa de seguridad cumpla con las expectativas y que tengan medidas para detectar y responder a amenazas. Para los proveedores de software, esto incluye un programa de gestión de vulnerabilidades y una reputación sólida.
- Gestionar los riesgos del código abierto, utilizando herramientas de análisis y asegurándose de que los equipos de desarrollo comprendan la importancia de la seguridad desde el diseño.
- Realizar revisiones de riesgos regulares con todos los proveedores, comprendiendo quiénes son y si cuentan con medidas de seguridad adecuadas.
- Mantener y actualizar periódicamente una lista de proveedores aprobados.
- Establecer una política formal para proveedores que detalle los requisitos para mitigar riesgos y cumpla con los acuerdos de nivel de servicio (SLA).
- Gestionar los riesgos de acceso de proveedores, aplicando el principio de privilegio mínimo y un enfoque de Confianza Cero.
- Desarrollar un plan de respuesta a incidentes para contener amenazas rápidamente.
- Considerar la implementación de estándares de la industria como ISO 27001 e ISO 28000.
En EE.UU., el año pasado, los ataques a la cadena de suministro superaron a los basados en malware, resultando en violaciones que afectaron a millones. Es esencial tomar el control a través de una gestión de riesgos de proveedores más eficaz.
Te podrá interesar: Ciberseguridad en la Cadena de Suministro con Wazuh
Conclusión
La seguridad en la cadena de suministro es un aspecto crítico de la ciberseguridad en el entorno empresarial moderno. Evaluar y mitigar los riesgos de ciberseguridad en la cadena de suministro requiere un enfoque integral que incluya la identificación de activos críticos, el análisis de riesgos, la implementación de controles de seguridad, la capacitación y la gestión de acceso, entre otros. Al adoptar estas estrategias, las organizaciones pueden protegerse eficazmente contra una variedad de amenazas cibernéticas, garantizando la integridad y la continuidad de sus operaciones comerciales.