La ciberseguridad no solo se trata de proteger una red o un sistema de ataques externos; también involucra salvaguardar todas las etapas y procesos por los que pasan los datos y sistemas en nuestra organización. Uno de estos procesos, a menudo pasado por alto, es la cadena de suministro. En este artículo, exploraremos los principales ataques a la cadena de suministro y cómo directores, gerentes de IT y CTO pueden prepararse y proteger a sus organizaciones.
Un ataque a la cadena de suministro ocurre cuando un actor malicioso introduce una vulnerabilidad en cualquier punto de la cadena de suministro de software o hardware. Esto puede ser desde la creación del software/hardware, su transporte, instalación, o actualización.
El riesgo principal radica en el hecho de que se explota una confianza previamente establecida. Cuando se ataca directamente a una empresa, hay firewalls, sistemas de detección y otras defensas que pueden repeler el ataque. Pero si se introduce un malware en, digamos, una actualización de software que la empresa confía, las defensas tradicionales pueden no ser suficientes.
A finales de 2020, el mundo fue testigo del ataque de ciberespionaje SolarWinds, donde el software Orion de la compañía fue vulnerado. El grupo atacante, APT29 o Cozy Bear, introdujo una puerta trasera denominada SUNBURST. Además, se incorporó otro malware, SUPERNOVA, en el servidor, lo que facilitó el acceso a agencias y entidades gubernamentales globalmente. SUNSPOT, un código avanzado, se identificó como el instrumento para introducir SUNBURST en Orion durante su construcción. TEARDROP y RAINDROP resultaron ser herramientas secundarias, activadas a través de SUNBURST.
Consecuencias para las Entidades:
Entidades como el Tesoro de EE.UU. y el Departamento de Comercio fueron comprometidos. Este ataque evidenció fallos en la seguridad de la cadena de suministro, subrayando la necesidad de defensas robustas. Como respuesta, SolarWinds revocó y renovó sus certificados de firma de código, y reemplazó las versiones vulnerables de su software.
Enseñanzas del Evento:
Es esencial adoptar protocolos de seguridad completos, como los sistemas EDR y XDR, que ofrecen monitoreo y respuestas automáticas ante amenazas. Es vital usar tecnologías para detectar anomalías en la red y reconocer comportamientos atípicos que sugieran brechas. La arquitectura de confianza cero, que sigue la premisa de “Nunca confíes, siempre verifica”, reduce la exposición a ataques y limita la movilidad de amenazas en redes.
Adicionalmente, es prudente que las soluciones de terceros estén detrás de firewalls, con acceso a Internet limitado y conexiones enfocadas solo en operaciones esenciales, minimizando así puntos de entrada para ciberdelincuentes.
La situación con SolarWinds resalta la necesidad de detectar y actuar ante anomalías de seguridad de manera inmediata, pues aunque se identificó el problema, no se entendió en su totalidad durante medio año previo a su reconocimiento oficial. La prevención y acción son cruciales, al igual que la colaboración con expertos en seguridad externos para un análisis y solución exhaustivos de las amenazas.
Te podría interesar leer: ¿Qué es XDR?
El cliente de VOIP 3CX experimentó un ataque, denominado SmoothOperator, de manos del grupo hacker norcoreano UNC4736, vinculado al conocido grupo APT Lazarus. Se destaca como el primer asalto que comprometió simultáneamente las cadenas de software de 3CX y X_TRADER, una plataforma comercial ya fuera de servicio. Este sofisticado incidente usó malwares como TAXHAUL, Coldcat y una puerta trasera denominada VEILEDSIGNAL, afectando sistemas Windows y macOS.
Consecuencias para las Entidades:
Empresas renombradas como American Express, AirFrance, BMW y Coca-Cola sufrieron las consecuencias. Alrededor de 242.519 direcciones IP estuvieron en riesgo, poniendo en peligro la confidencialidad y seguridad de estas organizaciones al exponer credenciales y datos sensibles.
Reflexiones del suceso:
Los "ataques dobles a la cadena de suministro" podrían ser una tendencia emergente, poniendo de manifiesto sus amenazas y subrayando la imperativa necesidad de robustas medidas de ciberseguridad durante toda la vida útil del software.
Los ciberdelincuentes de los grupos Clop y LockBit aprovecharon una vulnerabilidad crítica (CVE-2023-0669) en el producto GoAnywhere MFT de Fortra, lo que llevó a un incremento del 91% en incidentes de ransomware en marzo de 2023.
Repercusiones para las Empresas:
El compromiso del software GoAnywhere MFT resultó en un alza del 91% de incidentes de ransomware, impactando sectores como salud, finanzas y manufactura. Notablemente, en el sector salud, la entidad Brightline sufrió una filtración de datos, afectando a aproximadamente 780.000 pacientes.
Aprendizajes Principales:
Las entidades deberían priorizar actualizaciones de seguridad, llevar a cabo evaluaciones de seguridad y mantener respaldos actualizados. SOCRadar señala que aún existen más de 1.000 sistemas globalmente con puertos administrativos vulnerables expuestos a la red. La adopción de un servicio de inteligencia sobre vulnerabilidades ayudaría a las empresas a identificar y actuar ante posibles riesgos.
Te podría interesar leer: La Mente Detrás de LockBit: Revelando al líder del Ransomware
Lapsus$ afirmó haber infiltrado Okta, una plataforma de gestión de identidades, al acceder a una cuenta de administrador en marzo de 2022. La infiltración inicial ocurrió entre enero 16 y 21 de 2022, mediante una cuenta de un ingeniero de soporte externo.
Repercusiones para las Empresas:
Este incidente supone una amenaza considerable para los usuarios de Okta. Según Bitsight, hasta un 2.5% de los clientes de Okta podrían estar afectados. Debido a la función vital de Okta en la gestión de identidades corporativas, ha surgido una alarma sobre las posibles repercusiones de ciberseguridad para sus clientes.
Aprendizajes Principales:
La situación subraya el imperativo de asegurar las cadenas de suministro y ser conscientes del riesgo, incluso si los sistemas internos están intactos. Es esencial que las empresas investiguen su posible exposición ante tales intrusiones y supervisen cualquier actividad atípica.
Compromiso en GitHub
En abril de 2022, GitHub sufrió un ataque a su cadena de suministro. Los malhechores usaron tokens robados de Heroku y TravisCI para acceder a repositorios privados, explotando una vulnerabilidad en los tokens OAuth recientemente implementados por GitHub.
Repercusiones para las Empresas:
Diversas empresas, incluidas GitHub y npm, se vieron afectadas. Esto podría haber comprometido a más de 2200 compañías que dependen de Heroku y 1700 de TravisCI, exponiendo sus datos confidenciales.
Aprendizajes Principales:
El incidente enfatiza la necesidad de tener protocolos de seguridad robustos para las cadenas de suministro de software. Es vital que las organizaciones revisen sus implementaciones OAuth, limiten el acceso externo y supervisen con regularidad las actividades y aplicaciones autorizadas.
En 2018, ASUS, un renombrado fabricante de hardware, fue blanco de un avanzado ataque a la cadena de suministro. Los ciberdelincuentes se infiltraron en ASUS Live Update, una herramienta que la mayoría de los dispositivos ASUS traen preinstalada para actualizaciones automáticas de BIOS, UEFI y otros controladores. Usaron certificados digitales robados de ASUS para inyectar una puerta trasera en el software, permitiéndoles distribuir versiones manipuladas de la herramienta desde los servidores oficiales de ASUS. Se estima que entre 500,000 y quizá más de un millón de sistemas globalmente se vieron afectados.
Empresas afectadas:
ASUS y su extensa comunidad de usuarios fueron los principales perjudicados. Con la herramienta Live Update comprometida, que viene en la mayoría de dispositivos ASUS, virtualmente cualquier usuario de este software podría haber sido afectado. Aunque los ciberdelincuentes se enfocaron particularmente en algunos cientos de usuarios específicos. Además, se identificaron tácticas similares en el software de otros tres fabricantes asiáticos, lo que sugiere que también podrían haber sido blanco de estos ataques.
Reflexiones principales:
El compromiso de la herramienta de ASUS pone de manifiesto la creciente complejidad y riesgo de los ataques a la cadena de suministro. Al aprovechar la relación de confianza entre empresas y clientes, estos ataques son especialmente potentes y escurridizos. Es crucial establecer robustos protocolos de seguridad a lo largo de la cadena de suministro, sobre todo en las actualizaciones de software. También es esencial supervisar constantemente las aplicaciones en busca de irregularidades, incluso si provienen de fuentes consideradas seguras. Este incidente reafirma que, sin importar el tamaño o reputación de una organización, todas están expuestas a potenciales amenazas, resaltando la urgencia de mantenerse alerta y adoptar estrategias preventivas.
a) Evaluación de terceros: Antes de establecer relaciones con proveedores, realice auditorías y evaluaciones exhaustivas de sus políticas y prácticas de seguridad.
b) Segmentación de redes: Aísle los sistemas críticos para que, incluso si un software comprometido se instala, no tenga acceso a toda la red.
c) Actualizaciones controladas: En lugar de permitir actualizaciones automáticas, establezca un proceso para revisar y aprobar manualmente todas las actualizaciones, preferiblemente en un entorno de prueba primero.
d) Monitoreo constante: Utilice herramientas avanzadas de detección y respuesta para monitorizar el comportamiento de la red y detectar cualquier actividad inusual.
Te podría interesar leer: Software de Terceros: ¿Una Solución o un Dolor de Cabeza?
¡No dejes que los compromisos de la cadena de suministro pongan en riesgo tu negocio! Con TecnetOne y nuestro SOC as a Service, fortalece tu defensa y asegura tus operaciones. ¡Actúa ahora y protege tu cadena de suministro con los expertos!