¿Qué es un ataque contra la cadena de suministro?

Un ataque contra la cadena de suministro es un tipo de ciberataque que ataca a un proveedor externo fiable que ofrece servicios o software vitales para la cadena de suministro.

Los ataques de software de este tipo inyectan código malicioso en una aplicación para infectar a todos los usuarios, mientras que los de hardware comprometen los componentes físicos con el mismo propósito.

Históricamente, los ataques contra la cadena de suministro se han referido a ataques contra relaciones de confianza, en los que se ataca a un proveedor no seguro en una cadena para obtener acceso a sus socios comerciales más grandes. Esto es lo que sucedió en el ataque de 2013 contra Target, donde el atacante obtuvo acceso a un contratista de equipos de climatización para ingresar a los sistemas de Target.

Con todo, hoy en día la mayor preocupación es un ataque contra la cadena de suministro de software. Las cadenas de suministro de software son particularmente vulnerables porque el software moderno no se escribe desde cero, sino que involucra muchos componentes listos para usar, como API de terceros, código fuente abierto y código propietario de proveedores de software.

Actualmente, el proyecto de software promedio tiene 203 dependencias. Si una aplicación popular incluye una dependencia vulnerada, CADA EMPRESA que la descargue del proveedor también estará comprometida, por lo que el número de víctimas puede crecer exponencialmente.

Además, el software se reutiliza, por lo que una vulnerabilidad en una aplicación puede perdurar más allá del ciclo de vida del software original. El software que carece de una gran comunidad de usuarios es particularmente vulnerable, porque es más probable que una comunidad grande exponga una vulnerabilidad más rápidamente que un proyecto con pocos seguidores.

Estadísticas de ataques contra la cadena de suministro

A continuación se muestran algunas estadísticas de 2021 de la encuesta de CrowdStrike sobre la postura ante la seguridad en el mundo:

• El 84 % considera que los ataques contra cadenas de suministro podrían convertirse en una de las mayores ciberamenazas para organizaciones como la suya en los tres próximos años
• Solo el 36 % ha analizado la postura de seguridad de todos sus proveedores en los últimos 12 meses
• El 45 % de las organizaciones encuestadas ha sufrido al menos un ataque contra la cadena de suministro en los últimos 12 meses, en comparación con un 32 % en 2018
• El 59 % de las organizaciones que sufrieron su primer ataque contra la cadena de suministro de software no contaban con una estrategia de respuesta

Ataques en aumento

Los ataques contra la cadena de suministro están aumentando en un 430 %  porque, a medida que las empresas han mejorado en el fortalecimiento de sus entornos, los ciberdelincuentes han optado por objetivos más sutiles y también han encontrado formas más creativas de hacer que sus esfuerzos sean difíciles de detectar y tengan mayores probabilidades de alcanzar el objetivo deseado.

A continuación se detallan los tipos de ataque contra la cadena de suministro:

• Los ataques upstream a servidores son los más comunes, en los que un actor malicioso infecta un sistema "por encima" de los usuarios, como a través de una actualización maliciosa, que luego infecta a todos los usuarios "por debajo" que la descargan. Justo esto sucedió en el ataque contra la cadena de suministro de SolarWinds.
• Los ataques midstream atacan elementos intermediarios, como herramientas de desarrollo de software.
• Los ataques de confusión de dependencias aprovechan dependencias de software privadas, creadas internamente al registrar una dependencia con el mismo nombre, pero con un número de versión mayor en un repositorio público. Es probable que luego se incorpore a la compilación del software la dependencia falsa en lugar de la correcta.
• Los ataques de certificados SSL y de firma de código robados comprometen las claves privadas utilizadas para autenticar a los usuarios de sitios web seguros y servicios en la nube. Stuxnet entra en esta categoría.
• Los ataques a la infraestructura de CI/CD introducen malware en la infraestructura de automatización del desarrollo, por ejemplo, mediante la clonación de repositorios legítimos de GitHub.
• Los ataques de software de código abierto introducen código en las compilaciones que se propaga hacia quienes las usan.

Ejemplos de ataques contra la cadena de suministro

El ataque a SolarWinds es el ataque contra la cadena de suministro con el que todo el mundo está más familiarizado. Se trató de un ataque complejo que inyectó código malicioso en el ciclo de construcción del software e infectó inicialmente a unos 18 000 clientes, incluidas importantes empresas y agencias gubernamentales que estaban protegidas por las herramientas y los servicios de ciberseguridad más sólidos disponibles en la actualidad.

Otro sofisticado ataque contra la cadena de suministro tuvo por objetivo ASUS Live Utility, una utilidad de software que viene preinstalada en los sistemas ASUS y que actualiza automáticamente el BIOS, la UEFI, los controladores, las aplicaciones y otros componentes del ordenador. Se sabe que más de 57 000 usuarios han descargado e instalado la utilidad vulnerada, aunque el número real probablemente sea mucho mayor. Este fue un ataque dirigido a un grupo de usuarios con direcciones MAC específicas.

Una popular herramienta JavaScript de código abierto fue objeto de un ataque dirigido a los sistemas operativos Linux y macOS. El ataque utilizó una técnica llamada brandjacking, que engaña a los usuarios para que descarguen código malicioso. El software objetivo, Browserify, lo descargan más de 1,3 millones de usuarios cada semana, por lo que las consecuencias de su vulneración eran potencialmente masivas. En este caso, el ataque se identificó y se detuvo un día después de su lanzamiento. Sin embargo, hay muchos otros ataques de este tipo que pasan desapercibidos. En 2020, al menos 26 proyectos de código abierto se convirtieron en objetivos de ataques contra la cadena de suministro.

Las propias empresas de ciberseguridad son objetivos de ataques contra la cadena de suministro. Por ejemplo, la popular herramienta de limpieza gratuita, CC Cleaner, se vio comprometida con una puerta trasera que daba a actores maliciosos acceso a los millones de equipos en los que el software estaba instalado. Aunque CC Cleaner era un producto de Avast, una empresa de seguridad, en realidad se vio comprometido antes de que Avast comprara la empresa que lo creó originalmente. Los ciberdelincuentes instalaron sus puertas traseras y luego esperaron a que se completara la adquisición antes de comenzar a contaminar las descargas. Los investigadores creen que se trató de un ataque selectivo porque, si bien se completaron 2,27 millones de descargas maliciosas, solo 40 sistemas comprometidos fueron el objetivo de un ataque de segunda etapa.

¿Cómo se previene y detecta un ataque contra la cadena de suministro?

Los ataques contra la cadena de suministro se están convirtiendo cada vez más en un problema crítico para las empresas que afecta relaciones cruciales con socios y proveedores. Además, estos ataques son difíciles de detectar. A esto se añade el hecho de que aunque un producto de software haya sido validado en el pasado, eso no significa que ese software sea seguro hoy.

Además de evaluar rigurosamente a los proveedores que emplean, las organizaciones necesitan mitigar los riesgos de la cadena de suministro que las hacen vulnerables a los ataques. Esto requiere utilizar tecnologías eficaces de prevención, detección y respuesta.

A continuación se presentan algunas recomendaciones sobre cómo las organizaciones pueden aumentar la seguridad de su cadena de suministro y evitar convertirse en víctimas:

• Emplear soluciones que incluyan detección de ataques basada en el comportamiento: la naturaleza sofisticada de los ataques contra la cadena de suministro requiere que las organizaciones empleen el poder del análisis basado en el comportamiento, como los indicadores de ataque (IOA). Para mitigar los riesgos que se corren "cuando los buenos programas se vuelven malos", se necesitan tecnologías como el aprendizaje automático (ML), que pueden detectar patrones en cientos, miles o incluso millones de ataques por día, una hazaña que no se puede lograr solo con el conocimiento humano.
• Anticiparse a futuros ataques contra la cadena de suministro con inteligencia sobre amenazas: la inteligencia sobre amenazas te avisará cuando surja un nuevo ataque contra la cadena de suministro y te proporcionará toda la información que necesitas para comprender el ataque y defenderte proactivamente contra él. CrowdStrike Falcon^® Counter Adversary Operations es la herramienta automatizada e integrada de análisis de amenazas de CrowdStrike que combina análisis de malware, búsqueda de malware e inteligencia sobre amenazas para brindar información con contexto que posibilita una seguridad predictiva.
• Mejorar la preparación con servicios proactivos: el equipo de CrowdStrike Services incluye análisis de la cadena de suministro como parte de su evaluación del nivel de madurez en cuanto a ciberseguridad y también realiza ejercicios de simulación teórica con los clientes, donde simulan un ataque contra la cadena de suministro. Esto proporciona a los clientes una comprensión de su exposición actual y una hoja de ruta para mejorar la protección y la preparación ante un ataque contra la cadena de suministro.