Proveedores ingenuos que infectan a sus clientes

 


Una de las mayores amenazas informáticas que se ciernen sobre las empresas, que precisamente se encuentran en uno de los momentos de mayor transformación digital, es el código malicioso (malware) encubierto en software aparentemente seguro por haber sido adquirido a un tercero. Estos ataques a la cadena de suministro tienen un efecto multiplicador, porque el ciberdelincuente infecta el software de un proveedor que, sin ni siquiera ser consciente de ello, va expandiendo la amenaza a todos sus clientes.

La relación de confianza entre una empresa y su proveedor de software es algo imprescindible en cualquier proyecto de transformación digital. De esa estrecha relación depende en gran parte el éxito de las iniciativas en caso de que surjan problemas durante la implantación. Esa relación de confianza es la que aprovechan los ciberdelincuentes. A fin de cuentas, ¿cómo pensar que quién lleva años vendiéndome aplicaciones va a comprometer su reputación ‘colándome’ un virus?

Pues sucede. No son pocos los ejemplos que podemos referir al respecto:

·       SolarWinds. Probablemente es el caso reciente más sonado, del que la Casa Blanca culpó a Rusia. El ataque se produjo en 2020, pero pasó inadvertido durante meses, hasta que en diciembre de 2021 se descubrió una vulnerabilidad crítica que había aprovechado software de código abierto y SolarWinds, sin tener conocimiento de ello, la había extendido a las redes de sus clientes, entre los que se encontraban el Ejército de EEUU y sus Departamentos de Estado, de Comercio y del Tesoro, incluso, el Pentágono. Fue necesario detener la actividad de web e infraestructuras oficiales; de lo contrario, los atacantes podrían haberse hecho con su control, robando contraseñas y credenciales de inicio de sesión, haciéndose con los datos e infectando otras redes.

·       GoldenSpy. Se trata de un malware oculto en un software para el pago de impuestos que utilizan las empresas en China.

·       ShadowHammer. Los atacantes aprovecharon una versión antigua del software ASUS Live Update Utility, enviándola a los ordenadores ASUS en todo el mundo para que se infectaran al ejecutar sus actualizaciones.

·       Virtual System Administrator (VSA). Un caso similar al anterior, cuando un grupo especializado en ransomware aprovechó el software de actualización del proveedor Kaseya para secuestrar los sistemas de sus clientes.

·       Kaspersky. Constituyó a finales de 2017 uno de los casos más sorprendentes, pues se filtró que este antivirus estaba siendo utilizado para espiar a sus clientes. La compañía rusa de antivirus negó su implicación, acusando a espías israelíes de estar detrás de estas maniobras. La Administración Trump llegó a prohibir su instalación en ordenadores del Gobierno de EEUU; paradójicamente, un mes antes WikiLeaks filtró documentos en los que aparecía que la CIA se había enmascarado como Kaspersky para ocultar su identidad cuando utilizaba su plataforma de malware Hive.

En este escenario, las empresas y Administraciones Públicas harían bien en tener en cuenta todo el ciclo de vida de la cadena de suministro del software que adquiere a terceros. Hoy en día es más importante que nunca conocer las certificaciones de los proveedores, sus procesos y sus estándares de seguridad, sin olvidar sin en su accionariado figuran gobiernos extranjeros.

La transparencia pasa por ser otro requisito indispensable para blindarse ante este tipo de ataques, de manera que en cuanto sea detectada una amenaza no se oculte y se comunique inmediatamente a todos los clientes. Confiar en un proveedor de software que cuente con procesos sólidos de respuesta y mitigación de incidentes es otra buena garantía. En este mismo sentido, actualizar y parchear el software cuando se lanzan estas modificaciones es importante, pero nunca antes de que el propio proveedor confirme que en su pruebas de preproducción no se produjeron problemas.

Por otro lado, las certificaciones no lo son todo; es importante realizar auditorías periódicas, revisiones del código fuente y, por supuesto, análisis de riesgos y pruebas de penetración en los sistemas. Dado que la seguridad al 100% no existe y pese a incidir en la relevancia de desplegar un enfoque proactivo, disponer de un plan de respuesta a incidentes es esencial para limitar los daños si el riesgo se materializa.

Por último, uno de los ámbitos que más se descuida en la mayoría de las organizaciones, ya sean públicas o privadas, es la formación en seguridad de los empleados y empleadas. Resulta imperativo capacitarlos, con actualizaciones periódicas, para reducir las posibilidades de que los sistemas se vean comprometidos. En todo caso, el principio de privilegio mínimo debería prevalecer, esto es, que cada trabajador tenga el nivel mínimo de acceso para poder realizar correctamente sus tareas.

Next Post Previous Post

Sin comentarios