Ataques a la cadena de suministro: cómo los ciberdelincuentes se aprovechan de la confianza entre organizaciones

El Gobierno de Mendoza y Grupo BGH convocan a jóvenes mendocinos para importante formación profesional en tecnologías
4 agosto, 2022

Check Point Software señala que implementar una política de menor privilegio en los accesos, segmentar la red, aplicar prácticas de DevSecOps y la prevención automatizada de amenazas son los pilares básicos para mantener a una empresa a salvo de un ataque a la cadena de suministro

DESCARGAR GACETILLA EN FORMATO WORD + IMÁGENES

En los últimos años, la cadena de suministro es uno de los principales objetivos de los ciberdelincuentes. Aunque este aumento puede tener muchos factores, uno de los más importantes es la ciberpandemia. Está claro que la COVID-19 transformó la empresa moderna, empujando a muchas de ellas hacia el trabajo remoto y a la adopción de la nube cuando quizá no estaban totalmente preparadas. Como resultado, los equipos de seguridad – que a menudo carecen del personal necesario debido al déficit de perfiles de ciberseguridad – se ven abrumados e incapaces de seguir el ritmo. De hecho, según Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, en el segundo trimestre del 2022, las organizaciones experimentaron un aumento de ciberataques de un 59% con respecto al mismo trimestre durante el 2021.

En el 2020, un grupo de ciberdelincuentes accedió al entorno de producción de SolarWinds e incrustó un backdoor en las actualizaciones de su producto de monitorización de redes Orion. Sus clientes, que ejecutaban la actualización maliciosa, sufrieron robo de datos y otros incidentes de seguridad. La banda de ransomware REvil se aprovechó de Kaseya, una empresa de software que proporciona programas para proveedores de servicios gestionados (MSP), para infectar a más de 1.000 clientes con un ransomware. Los ciberdelincuentes llegaron a exigir un rescate de 70 millones de dólares para proporcionar claves de descifrado a todos los usuarios afectados.

Otro claro ejemplo sucedió en noviembre del mismo año, cuando Check Point Research descubrió una serie de vulnerabilidades que, combinadas, permitían obtener el control de una cuenta y de varias apps de Atlassian conectadas mediante SSO. Codecov es una organización de pruebas de software cuyo script Bash uploader (utilizado para enviar informes de cobertura de código a la empresa) sufrió una modificación por un atacante. Esta explotación en la cadena de suministro permitió a los ciberdelincuentes redirigir la información sensible, como el código fuente, los detalles secretos, etc., de los clientes de CodeCov a sus propios servidores.

¿Cómo funciona un ataque a la cadena de suministro?

Un ataque a la cadena de suministro se aprovecha de las relaciones de confianza entre distintas organizaciones. Es evidente que todas las empresas poseen un nivel de confianza implícito en otras compañías, ya que instalan y utilizan el software de éstas en sus redes o trabajan con ellas como proveedores. Este tipo de amenaza se dirige al eslabón más débil de una cadena de confianza. Si una organización tiene una ciberseguridad sólida, pero cuenta con un proveedor de confianza inseguro, los ciberdelincuentes apuntarán hacia él. Con un punto de apoyo en la red de dicho proveedor, los atacantes podrían pasar a la red más segura utilizando ese vínculo

Los ciberdelincuentes suelen aprovechar las vulnerabilidades de la cadena de suministro para distribuir malware

Un tipo común de ataque a la cadena de suministro son los proveedores de servicios gestionados (MSP). Estos disponen de un acceso amplio a las redes de sus clientes, lo cual es muy valioso para un atacante. Después de explotar el MSP, el agresor puede expandirse fácilmente a las redes de sus clientes. Al explotar sus vulnerabilidades, estos atacantes tienen un mayor impacto y pueden obtener acceso a zonas que serían mucho más difíciles si se hace de forma directa.

Este tipo de ataques proporcionan a un atacante un nuevo método para vulnerar la protección de una empresa y realizar acciones una vez adentro, que pueden ser:

  • Despliegue de malware: el atacante distribuye malware en la empresa objetivo, generalmente buscando conseguir el acceso remoto o desplegar otro malware que se propague por la red. SolarWinds incluyó la entrega de un backdoor malicioso, y el ataque a Kaseya dio lugar a un ransomware diseñado para aprovecharla.
  • Filtración de datos: el atacante busca robar información confidencial, generalmente con el objetivo de  utilizarla en otro ataque, extorsionar a la víctima que pague para que no se haga pública o actividades de ciberespionaje. Por ejemplo, el hackeo de SolarWinds expuso los datos sensibles de múltiples organizaciones del sector público y privado.

Mejores técnicas para identificar y mitigar los ataques a la cadena de suministro

A pesar del peligro que supone esta amenaza, existen técnicas destinadas para proteger a una compañía:

  1. Implantar una política de menor/mínimo privilegio: muchas organizaciones asignan accesos y permisos excesivos a sus empleados, socios y software. Estas autorizaciones excesivas facilitan los ataques a la cadena de suministro. Por ello, es imprescindible implementar una política de privilegio mínimo y asignar a todas las personas que forman la empresa y al propio software sólo los permisos que necesitan para desarrollar su propio trabajo.
  2. Realizar una segmentación de la red: Para evitar cualquier tipo de riesgo, se debe utilizar su segmentación para dividirla en zonas basadas en las distintas funciones empresariales. De esta manera, si un ataque a la cadena de suministro compromete parte de la red, el resto se mantendrá protegida.
  3. Aplicar las prácticas de DevSecOps: al integrar la seguridad durante el ciclo de vida del desarrollo y no al final del mismo, será posible detectar si el software fue modificado con malware (como las actualizaciones de Orion) y evitar el pase a producción. 
  4. Prevención automatizada de amenazas y búsqueda de riesgos: los analistas de los Centros de Operaciones de Seguridad (SOC) tienen el desafío de revisar gran cantidad de eventos con poco personal, por ello es clave contar con herramientas que sean capaces de priorizar eventos (para que puedan focalizar en lo importante) así como proteger contra los ataques en todos los entornos de la organización, incluyendo los endpoints, la red, la nube y los dispositivos móviles.

“El famoso ataque de SolarWinds fue un llamado de atención a empresas y gobiernos sobre el impacto que puede tener un ataque a la cadena de suministro. Codecov en abril y el de Kaseya en julio de 2021 fueron otros ejemplos a lo largo del año, que demostraron una clara tendencia a este tipo de ataques”, destaca Alejandro Botter, gerente de ingeniería de Check Point para el sur de latinoamérica. “Todas las compañías, sin excepción, deben proteger sus sistemas y software para evitar cualquier tipo de ataque a su cadena de suministro, ya que de no hacerlo las consecuencias de este tipo de amenaza pueden ser incalculables”, concluye.

 


 

Acerca de Check Point Research

Check Point Research proporciona inteligencia sobre ciberamenazas a los clientes de Check Point Software y a la comunidad de inteligencia. El equipo de investigación recopila y analiza datos de ciberataques globales almacenados en ThreatCloud para mantener los ciberdelincuentes a raya, al tiempo que se asegura de que todos los productos de Check Point estén actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, las fuerzas de seguridad y varios CERTs. 

Acerca de Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. es un proveedor líder de soluciones de ciberseguridad para empresas corporativas y gobiernos a nivel mundial. La cartera de soluciones de Check Point Infinity protege a las empresas y organizaciones públicas de los ciberataques de quinta generación con una tasa de captura líder en la industria de malware, ransomware y otras amenazas. Check Point Infinity se compone de tres pilares fundamentales que ofrecen una seguridad sin compromisos y una prevención de amenazas de quinta generación en todos los entornos empresariales: Check Point Harmony, para usuarios remotos; Check Point CloudGuard, para proteger automáticamente la nube; y Check Point Quantum, para proteger los perímetros de la red y los centros de datos, todo ello controlado por la gestión de seguridad unificada más completa e intuitiva del sector. Check Point Software protege a más de 100.000 empresas de todos los tamaños.

©2022 Check Point Software Technologies Ltd. Todos los derechos reservados.

×