Las vulnerabilidades en la cadena de suministro: puerta de entrada para los cibercriminales

Con frecuencia, el conocimiento público de una vulnerabilidad tarda meses o incluso más en ser reconocido, si es que llega a serlo.

Esto se debe a que las víctimas pueden tardar semanas o meses en descubrir la infracción, la cual, a su vez, puede no ser reportada en informes públicos durante semanas o meses adicionales, o incluso nunca ser revelada.

Las vulnerabilidades en la cadena de suministro de tecnología se han convertido en un blanco fácil para los ciberatacantes, permitiéndoles escalar sus operaciones con un mínimo esfuerzo.

Un análisis de la unidad de investigación de SILIKN revela que el 79.6% de las relaciones B2B (empresa a empresa) que facilitaron infracciones de terceros involucraron software u otros productos y servicios tecnológicos. Esto significa que, en la mayoría de los casos, los atacantes aprovecharon las debilidades en la cadena de suministro de tecnología para acceder a los sistemas de las empresas objetivo. El 20.4% restante de las brechas de terceros involucraron productos o servicios no relacionados con la tecnología.

Un ejemplo claro de la facilidad con la que los ciberatacantes explotan las vulnerabilidades en la cadena de suministro de tecnología es el caso del grupo ransomware Cl0p. Este grupo fue responsable del 68% de las infracciones de terceros atribuibles en 2023, una cifra significativamente mayor que la de otros grupos como LockBit, que ocupó el segundo lugar con un 22%.

La preeminencia de Cl0p se debió en gran medida a su explotación a gran escala de una vulnerabilidad de día cero en el software de transferencia de archivos MOVEit de la empresa Progress Software. Esta vulnerabilidad, que se convirtió en la más mencionada en 2023, permitió a Cl0p acceder a los sistemas de un gran número de empresas y comprometer sus datos.

La creciente desproporción en la distribución de las infracciones entre grupos de ciberatacantes tiene una lógica clara si se analizan las razones por las que estos grupos eligen vectores de ataque de terceros. Estos métodos facilitan la afectación simultánea de un gran número de víctimas, lo que amplifica la capacidad de daño de las operaciones.

Un ejemplo: al comprometer a un proveedor de servicios gestionados, un atacante puede acceder a los sistemas de decenas o incluso cientos de sus clientes con un esfuerzo mínimo. En este sentido, es lógico que los grupos que recurren con mayor frecuencia a este tipo de ataques sean responsables de una porción desproporcionada de las víctimas.

Cerca del 68% de las intrusiones sufridas por empresas a través de terceros se atribuyen a la vulnerabilidad CVE-2023-34362 presente en el software MOVEit. Meses después de los ataques iniciales, aún se siguen identificando nuevas víctimas de esta campaña masiva.

Las tres vulnerabilidades más explotadas -MOVEit, CitrixBleed y Proself- fueron responsables del 81% de las intrusiones que involucraban una vulnerabilidad específica. El impacto generalizado del día cero de MOVEit se debe en parte a que permitió comprometer a empresas no solo en segundo grado (proveedores directos), sino también en tercer, cuarto y quinto grado (proveedores de proveedores).

Más de un tercio (35%) de las intrusiones sufridas por las empresas en 2023 se atribuyen a vectores de ataque que involucran a terceros. Esta cifra probablemente subestima la magnitud del problema, ya que muchos informes no especifican el vector de ataque utilizado.

En México, los ataques a través de terceros representaron un 37% de las intrusiones en 2023. Si bien este tipo de ataques son comunes a nivel global, México se destaca por tener una tasa significativamente más alta. Como centro neurálgico de la industria automotriz, manufacturera, tecnológica y financiera, las empresas mexicanas se enfrentan a un riesgo cibernético considerable en la cadena de suministro debido a las dependencias internacionales.

Es un hecho irrefutable: el ecosistema de proveedores se ha convertido en un objetivo sumamente atractivo para los grupos cibercriminales, especialmente aquellos que se especializan en ataques de ransomware.

Las intrusiones cibernéticas que se originan en terceros no solo son más frecuentes, sino que también tienen un costo significativamente mayor que las que se originan internamente. En 2024, en México, el costo promedio de una filtración de datos se estima en 3.5 millones de dólares, y las intrusiones a través de terceros incrementan este costo en un 45%.

Por lo anterior, las organizaciones no pueden permitirse el lujo de ser reactivas ante la amenaza cada vez mayor de las intrusiones cibernéticas en la cadena de suministro. Es fundamental que adopten un enfoque proactivo para gestionar el riesgo cibernético en este ámbito.

En la era digital, la confianza se ha convertido en un pilar fundamental de la ciberseguridad. Las empresas que buscan crecer en este entorno deben cultivar la confianza a través de una gestión de riesgos cibernéticos robusta y proactiva, siendo que la clave para construir esta confianza reside en:

1. Resiliencia: Las empresas deben desarrollar una resiliencia robusta ante las amenazas cibernéticas. Esto implica implementar medidas de seguridad que les permitan detectar, prevenir y responder a los ataques de manera efectiva.

2. Gestión de riesgos continua: La gestión de riesgos cibernéticos no es un proceso puntual, sino un esfuerzo continuo. Las empresas deben monitorear y evaluar constantemente su postura de seguridad para identificar y mitigar las nuevas vulnerabilidades.

3. Enfoque basado en métricas: La medición del rendimiento de la seguridad es crucial para tomar decisiones informadas y mejorar la postura de seguridad. Las empresas deben establecer métricas clave para evaluar la eficacia de sus medidas de seguridad.

4. Alineación con el negocio: La gestión de riesgos cibernéticos debe estar integrada en la estrategia general del negocio. Las empresas deben alinear sus iniciativas de seguridad con los objetivos comerciales para garantizar una protección efectiva.

En un mundo digital donde la competencia es feroz, la confianza se ha convertido en una ventaja competitiva invaluable. Las empresas que construyen y mantienen la confianza de sus clientes, socios y stakeholders se encuentran en una posición privilegiada para prosperar.

* Fundador de SILIKN | Emprendedor Tecnológico | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Líder del Capítulo Querétaro de OWASP.Twitter: https://twitter.com/siliknInstagram: https://www.instagram.com/silikn/YouTube: https://www.youtube.com/@silikn7599