¿Qué es un truco de la cadena de suministro y cómo puede mantenerse a salvo?

Cuando piensa en un ataque de ciberseguridad, le viene a la mente la imagen de un pirata informático que investiga una red en busca de vulnerabilidades. O un ataque de phishing que roba las credenciales de inicio de sesión de un empleado o el malware instalado en una computadora.

Todos estos son métodos de ataque válidos y comunes. Pero, ¿y si hubiera otra forma de infiltrarse en una red que no implicara atacar directamente al objetivo?

Un ataque a la cadena de suministro hace exactamente esto, explota las organizaciones vinculadas al objetivo y ataca la cadena de suministro del objetivo. Entonces, ¿qué son los ataques a la cadena de suministro y cómo funcionan?

¿Qué es un truco de la cadena de suministro?

Un ataque a la cadena de suministro busca dañar o infiltrarse en una organización al identificar las partes vulnerables de su red de suministro. Atacar una cadena de suministro presenta múltiples oportunidades para una infiltración exitosa, más aún cuando se ataca a una organización con una red de cadena de suministro complicada o intrincada.

En casi todos los ataques a la cadena de suministro, la víctima inicial no es el único objetivo del atacante. Más bien, el elemento de la cadena de suministro es un trampolín hacia un pez más grande. El atacante explota las vulnerabilidades en el objetivo más fácil y las aprovecha para avanzar hacia el objetivo final.

Aunque los ataques a la cadena de suministro parecen raros, un estudio de junio de 2020 de Opinion Matters para BlueVoyant [PDF, registro requerido] encontró que el 80 por ciento de las organizaciones "han sufrido una infracción relacionada con terceros en los últimos 12 meses". Además, el 77 por ciento de los encuestados tiene "visibilidad limitada alrededor de sus proveedores externos".

Con cifras como esta, verá por qué los ataques a la cadena de suministro no solo son populares, sino también cómo logran pasar del objetivo inicial a la organización principal.

Es extremadamente difícil para una empresa detectar un ataque a la cadena de suministro de software de terceros. La propia naturaleza del ataque significa que los archivos maliciosos están ocultos no solo del objetivo principal, sino también del eslabón vulnerable en la cadena de suministro. La computadora ni siquiera tiene que estar en línea para que el ataque funcione .

La organización objetivo solo puede darse cuenta de que hay un problema cuando sus datos comienzan a aparecer a la venta en otro lugar o algo similar activa una alarma. Con un acceso tan profundo a la red interna, es posible moverse libremente dentro de la organización, incluso eliminando los signos reveladores de un intruso.

Tipos de ataques a la cadena de suministro

Los ataques a la cadena de suministro no son iguales para todos. La cadena de suministro de una organización importante puede comprender múltiples partes móviles diferentes. Un atacante debe pensar en qué tipo de ataque a la cadena de suministro utilizar contra un objetivo.

Aquí hay tres ataques notables a la cadena de suministro que debe considerar.

1. Objetivo

En 2013, el minorista estadounidense Target fue objeto de un gran ataque que resultó en la pérdida de información sobre 110 millones de tarjetas de crédito y débito utilizadas en sus tiendas. La cantidad total de datos robados fue de solo 11 GB, pero el tipo de datos robados fue particularmente valioso.

Los atacantes identificaron varios proveedores externos en la red corporativa de Target. Si bien se desconoce el número final de intentos de explotación, el negocio vulnerable era Fazio Mechanical, un contratista de refrigeración.

Una vez que el contratista se vio comprometido, los atacantes esperaron dentro de la red de la empresa hasta que fue posible escalar a un sistema Target utilizando credenciales robadas. Finalmente, los atacantes obtuvieron acceso a los servidores de Target, buscando otros sistemas vulnerables dentro de la red de la empresa.

Desde aquí, los atacantes explotaron el sistema de punto de venta (POS) de Target, robando información de tarjetas para millones de clientes.

2. SolarWinds

Un ejemplo principal de un ataque a la cadena de suministro de software de terceros es SolarWinds , cuyo software de administración remota Orion se vio comprometido en 2020. Los atacantes insertaron una puerta trasera maliciosa en el proceso de actualización del software.

Cuando la actualización se envió a los cientos de miles de clientes de SolarWinds, el malware del atacante se fue con ella. Como la actualización se firmó digitalmente como de costumbre, todo apareció como de costumbre.

Relacionado: ¿Qué es el malware con código firmado?

Después de activar el software como parte del proceso de actualización normal, los atacantes obtuvieron acceso a una gran cantidad de objetivos críticos, incluido el Tesoro de los Estados Unidos, los Departamentos de Seguridad Nacional, Comercio, Estado, Defensa y Energía, y la Administración Nacional de Seguridad Nuclear. .

El ataque SolarWinds es uno de los ataques a la cadena de suministro más grandes y exitosos jamás realizados.

3. Stuxnet

¿Sabías que uno de los hacks más infames de todos los tiempos fue un ataque a la cadena de suministro?

Stuxnet es un gusano informático con un objetivo extremadamente específico: sistemas que ejecutan un tipo de software particular, de un fabricante específico, que se encuentra en las plantas de energía nuclear iraníes. El malware Stuxnet hace que las centrífugas aumenten drásticamente la velocidad, destruyendo el material en la centrífuga y la propia infraestructura en el proceso.

Relacionado: ¿Puede un ciberataque causar daño físico?

Se cree que el gusano altamente dirigido e increíblemente sofisticado es el trabajo de los gobiernos de Estados Unidos e Israel, que trabajan juntos para eliminar una aparente amenaza nuclear iraní.

Stuxnet se introdujo en la cadena de suministro de la planta de energía nuclear iraní utilizando una unidad flash USB infectada. Una vez instalado en una computadora, Stuxnet se movió lateralmente a través de la red, buscando el sistema de control correcto antes de ejecutarse.

Debido a que Stuxnet tiene un objetivo preciso, no llama la atención sobre sí mismo, solo se activa cuando llega a una computadora que cumple con las especificaciones.

Cómo mantenerse seguro en la era de los ataques a la cadena de suministro

Las cadenas de suministro son difíciles de gestionar en el mejor de los casos. Muchas empresas utilizan soluciones de software de terceros para gestionar aspectos de su negocio. Estos incluyen herramientas de administración remota o software de contabilidad, o incluso plataformas como Microsoft Office 365.

Las empresas simplemente no pueden reunir todos los aspectos de su negocio bajo un mismo techo. Tampoco deberían tener que hacerlo. Confiar en un desarrollador de software o proveedor de servicios en la nube no debería aumentar drásticamente las posibilidades de que usted o su empresa sean víctimas de un ataque.

El aumento de la seguridad para las empresas y los consumidores también impulsa los ataques a la cadena de suministro. Si los atacantes no pueden encontrar una forma de entrar en la organización, atacar al siguiente nivel es la forma más económica y pragmática de obtener acceso. También es menos probable que los sistemas de seguridad empresarial lo detecten.

En muchos casos, los ataques a la cadena de suministro son operaciones extensas, bien investigadas y bien financiadas.

Por ejemplo, SolarWinds es el trabajo de un equipo de piratería de un estado-nación que ha tenido meses para trabajar y entregar el truco de la cadena de suministro. Del mismo modo, Stuxnet combinó varios ataques de día cero en un solo paquete para atacar las plantas de energía nuclear iraníes, y el hack de la cadena de suministro de Target tardó en llevarse a cabo.

Estos no son aficionados a los scripts aleatorios de los que estamos hablando aquí, que han tropezado con una vulnerabilidad. Son equipos de piratas informáticos que trabajan juntos para atacar un objetivo específico. La cadena de suministro resulta ser el camino de menor resistencia.