Ataque a la cadena de suministro (Supply Chain Attack)

Un ataque a la cadena de suministros (Supply Chain Attack) es una forma muy eficaz de vulnerar la seguridad inyectando bibliotecas o componentes malintencionados en un producto sin que el desarrollador, el fabricante o el cliente final se den cuenta. Es una forma eficaz de robar datos confidenciales, acceder a entornos altamente sensibles u obtener control remoto sobre sistemas específicos. Los más expuestos son los grandes desarrolladores de software y los distribuidores de hardware que confían en un proveedor para construir y enviar productos que ellos utilizan para fabricar sus productos finales.

Los ataques a la cadena de suministros en tecnología se centran en los proveedores de software y los fabricantes de hardware. Los atacantes buscan código inseguro, prácticas de infraestructura inseguras y procedimientos de red inseguros que permitan la inyección de componentes malintencionados. Cuando un proceso de construcción requiere varios pasos desde el desarrollo (o fabricación) hasta la instalación, un atacante (o grupo de atacantes) tiene varias oportunidades para inyectar su propio código malintencionado en el producto final.

Algunos fabricantes, proveedores y desarrolladores crean productos utilizados por miles de clientes. Un atacante que consiga vulnerar a uno de estos proveedores podría potencialmente acceder a miles de víctimas desprevenidas, incluidas empresas tecnológicas, gobiernos, contratistas de seguridad y otros. En lugar de penetrar en una sola organización, un ataque a la cadena de suministros ofrece a un atacante la posibilidad de obtener acceso a numerosas empresas, grandes y pequeñas, para filtrar silenciosamente grandes cantidades de datos sin su conocimiento.

En un ataque a la cadena de suministros de hardware, un fabricante puede instalar un microchip malintencionado en una placa de circuitos utilizada para construir servidores y otros componentes de red. Utilizando este chip, el atacante puede espiar datos u obtener acceso remoto a la infraestructura corporativa. En un ataque a la cadena de suministros a nivel de software, un desarrollador de bibliotecas malintencionado puede cambiar el código para realizar acciones malintencionadas dentro de la aplicación de su cliente. La biblioteca podría utilizarse para hacer cryptojacking, robar datos o dejar una puerta trasera para que un atacante acceda remotamente a un sistema corporativo.

En muchas de las mayores amenazas a la cadena de suministro, el fraude por correo electrónico es el principal vector utilizado para iniciar el ataque. El compromiso del correo electrónico empresarial (BEC) funciona bien para los atacantes que hacen su debida diligencia e investigación sobre su objetivo. Esto se debe a que pueden enviar mensajes de correo electrónico a empleados clave (por ejemplo, de finanzas) para indicarles que paguen una factura o envíen dinero. La dirección del remitente parece la del director general o el propietario, y está escrita de forma que suene urgente para el destinatario. En algunos casos, el atacante compromete la cuenta de correo electrónico de un ejecutivo y la utiliza para enviar correos electrónicos de phishing a los empleados de la organización.

• Amenazas físicas a la cadena de suministro: Las amenazas físicas a la cadena de suministros suelen requerir la cooperación con fabricantes y proveedores para inyectar componentes en las placas de circuitos. Los fabricantes reciben un plan de diseño que deben seguir para construir los componentes. Un fabricante malintencionado puede añadir un solo componente adicional en la placa de circuito para espiar datos y enviarlos a un atacante.
• Amenazas a la cadena de suministros de software: Las organizaciones recurren a proveedores de software para que instalen su producto en la red y realice una función como supervisar servidores o permitir a los usuarios realizar sus tareas cotidianas. Las aplicaciones con vulnerabilidades desconocidas permiten a un actor malintencionado realizar numerosos ataques a los sistemas de la organización.

• Amenazas a la cadena de suministros digital: Para reducir el tiempo de desarrollo, los desarrolladores de software utilizan una biblioteca común de terceros para realizar una función en su aplicación. Si un desarrollador de bibliotecas de terceros inyecta código malintencionado en el producto, cualquier desarrollador de software que incorpore la biblioteca infectada sería vulnerable.
• Compromiso del correo electrónico empresarial: Utilizando facturas falsas, un atacante envía mensajes a los empleados financieros para engañarlos y conseguir que les paguen. Otros atacantes pueden engañar a recursos humanos para que desvíen fondos de nóminas a su propia cuenta, haciéndose pasar por otro empleado. Si un atacante puede comprometer una dirección de correo electrónico de la empresa, puede utilizarla para aprovecharse de las conversaciones y engañar a los destinatarios para que proporcionen datos confidenciales o envíen dinero a una cuenta controlada por el atacante.

Muchas organizaciones no están familiarizadas con el funcionamiento de los ataques a la cadena de suministros, por lo que no son conscientes de lo que ocurre si son víctimas de este tipo de ataque. El impacto de un ataque a la cadena de suministros podría devastar los ingresos corporativos, la reputación de la marca y las relaciones con los proveedores.

Los tres impactos principales de estos ataques en la seguridad en la cadena de suministros son:

• Filtraciones y revelación de datos: en muchos ataques a la cadena de suministro, especialmente los basados en hardware, el código malintencionado espía los datos y los envía a un servidor controlado por el atacante. Cualquier dato que pase a través de un sistema infectado con el código malintencionado podría ser interceptado, incluyendo el posible robo de credenciales de cuentas con privilegios elevados para futuros ataques.
• Instalación de malware: El código malintencionado que se ejecuta dentro de una aplicación podría utilizarse para descargar malware e instalarlo en la red corporativa. Ransomware, rootkits, keyloggers, virus y otro malware podrían instalarse utilizando código de ataque inyectado en la cadena de suministro.
• Pérdidas monetarias: Si se engaña a un empleado para que envíe dinero a una cuenta bancaria o pague facturas fraudulentas, una organización atacada podría perder millones.

Cualquier proveedor que dependa de terceros para fabricar un producto es vulnerable a los ataques a la cadena de suministro. En los ataques generales, los agentes de amenazas se centran en cualquier objetivo, no en una empresa específica. Sin embargo, en ataques sofisticados, los agentes de amenazas se centran en agencias gubernamentales o grandes organizaciones valoradas en miles de millones. En los ataques apoyados por estados, un agente de amenaza se enfoca en los gobiernos y sus infraestructuras. Estos ataques pueden costar vidas si el malware bloquea sistemas críticos.

Los proveedores de seguridad son objetivos perfectos. Las organizaciones confían en los proveedores de seguridad para proteger sus datos y su reputación. Con código malintencionado colocado sigilosamente en la infraestructura y los controles de los contratistas de seguridad, un atacante puede desviar silenciosamente datos de los sistemas de grandes corporaciones y enviarlos a una red controlada por el atacante. Los datos vulnerables a estos ataques pueden ser financieros, información de identificación personal (PII), información de pacientes y datos de empleados.

Los proveedores de servicios gestionados (MSP, del inglés “Managed Service Provider”) son otro tipo de objetivo apetecible. Estas empresas dan soporte a la infraestructura organizativa y disponen de sistemas para supervisar la actividad. Acceder a un sistema MSP daría a un atacante acceso a numerosos sistemas de clientes MSP. Con el código malintencionado adecuado, el atacante podría acceder a las credenciales del MSP, lo que le daría acceso a la infraestructura del cliente. Otra opción para el atacante sería robar números de tarjetas de crédito de los paneles de pago y los sistemas de atención al cliente.

El código abierto es una excelente manera en que los desarrolladores pueden colaborar entre sí para mejorar sus códigos. Cuando otros desarrolladores hagan aportaciones a la base de código, este código debe ser revisado para hallar cualquier tipo de fallos de seguridad. Estos fallos podrían agregarse a la base de código tanto por error como a propósito. Como la mayoría de los proyectos de código abierto están disponibles públicamente a otros desarrolladores, un error de seguridad en el código podría ser captado por un atacante antes que un tercero bien intencionado. El atacante podría a su vez redactar código para explotar la vulnerabilidad de seguridad, dejando a todas las corporaciones que usen el código abierto expuesto a exploits dirigidos.

Cualquier organización con una jerarquía de empleados publicada en redes sociales o la web de la organización es un potencial objetivo de BEC. Un atacante puede recopilar una lista de cuentas de alto privilegio para phishing, ingeniería social o engañar a los empleados para que paguen facturas fraudulentas. Después del reconocimiento, un atacante puede “convertirse” en la persona que pretende utilizar para convencer a los empleados de que envíen dinero o paguen las facturas. En algunos escenarios, los proveedores de la organización podrían estar también en riesgo. Un atacante podría comprometer la cuenta de correo electrónico de un proveedor y usarla para enviar correos a un empleado objetivo con altos privilegios dentro de la organización víctima.

Existen diversos ataques que se han lanzado contra la cadena de suministros, pero no son muy conocidos para el público porque han afectado a desarrolladores y operaciones. Los populares ejemplos del mundo real impactan principalmente a los administradores corporativos, que deben contener, erradicar y corregir las vulnerabilidades creadas por los proveedores afectados por los ataques a la cadena de suministros.

Algunos ejemplos de cadenas de suministro que han recibido ataques reales que han afectado a grandes corporaciones son:

• SolarWinds: En 2020, los atacantes inyectaron un código malicioso sin ser vistos (backdoor) en el proceso de distribución de actualizaciones de SolarWinds, dejando a los servidores de producción corporativos y de gobernanza abiertos al acceso remoto. Numerosas organizaciones resultaron víctimas de filtraciones de datos e incidencias de seguridad.
• Kaseya: El ransomware REvil infectó al software de MSP usado para gestionar miles de entornos de clientes, permitiendo a los atacantes exigir 70 millones de USD a los clientes de MSP.
• Codecov: Los atacantes infectaron el cargador Bash de Codecov para que enviase informes automáticamente a los clientes. Con un código malintencionado inyectado en sus scripts, los atacantes procedieron a espiar y a robarse datos de los clientes de los servidores de Codecov.
• NotPetya: NotPetya fue un ransomware falso que se usaba para engañar a los usuarios para que pagaran una tarifa, pero nunca se les enviaba la clave privada, con lo que las víctimas perdieron tanto sus datos como su dinero. El ataque comenzó cuando una aplicación de actualización ucraniana fue infectada con código malintencionado.
• Atlassian: En 2020, investigadores de seguridad determinaron que las aplicaciones de Atlassian eran vulnerables debido a un exploit que afectaba a su procedimiento de Inicio de Sesión Único (SSO). Usando tokens de SSO, los atacantes podían acceder a aplicaciones y ejecutar acciones relacionadas con la cuenta del usuario.
• British Airways: British Airways sufrió una filtración de datos después de que el ataque Magecart a la cadena de suministros comprometiese a su sistema de transacciones y revelase información delicada.
• ONG Community housing: Los atacantes suplantaron el dominio de un proveedor para convencer a los empleados de una ONG que divulgaran datos delicados, que permitieron a los atacantes robarse un millón de libras esterlinas de dinero de los alquileres.

Como los ataques de cadena de suministros se enfocan en desarrolladores y fabricantes fuera del control de su organización, son difíciles de parar. Siempre es buena idea revisar cualquier código o hardware infectado antes de instalarlo en su infraestructura. Los profesionales de la seguridad también ejecutan una prueba de penetración en estos componentes para garantizar que no tengan vulnerabilidades imprevistas en su sistema, ya sea que se hayan inyectado malintencionadamente o por accidente.

Aunque los ataques a la cadena de suministros están fuera de su control, es posible seguir diversas estrategias para evitar caer víctima. Aquí indicamos algunas estrategias para mejorar la seguridad en la cadena de suministros:

• Configurar un honeypot: Un honeypot de datos falsos que parecen ser información valiosa y delicada actúa como una alarma para alertar a los administradores que el sistema podría estar siendo atacado o quedar comprometido. Los honeypot deben comportarse y lucir exactamente igual que los sistemas comunes y corrientes, y deben tener monitorización que permita a los administradores identificar cómo un atacante podría vulnerar el entorno.
• Privilegios de cuenta limitados: Los movimientos laterales en una red son más comunes en los ataques a la cadena de suministros que comprometen a las cuentas de altos privilegios. Limitar el acceso a solo algunas cuentas y garantizar que las cuentas solo puedan acceder a los datos necesarios para ejecutar una función también limita el riesgo.
• Capacitación al personal: Se ha demostrado que capacitar al personal para que comprendan la importancia de la ciberseguridad y las muchas maneras en que se puede detectar y defenderse contra amenazas internas es eficaz. La capacitación para conciencia de seguridad ayuda a garantizar que los individuos comprendan y sigan ciertas prácticas para ayudar a garantizar la seguridad de una organización.
• Implementar un sistema de Gestión de Identidad para Acceso (IAM): un sistema IAM (del inglés “Identity Access Management”) ofrece un panel de control centralizado que permite a los administradores controlar el acceso a los datos y crear y desactivar cuentas en toda la compañía. La ventaja es que los administradores pueden gestionar mejor los permisos en la red en una sola ubicación e identificar potenciales malos manejos de privilegios.
• Trabajar con arquitectura de cero confianza (ZTA, del inglés “Zero Trust Architecture”): En vez de confiar en usuarios autenticados, un entorno de confianza cero asume que todas las aplicaciones y usuarios podrían ser atacantes y exige reautorización y autenticación para cada solicitud de acceso a datos.
• Identificar a los recursos vulnerables: En una evaluación de riesgos, un profesional audita a todos los recursos de la red e identifica cuáles son los más vulnerables y contienen los mayores riesgos. Después, los administradores pueden priorizar los controles de ciberseguridad en la infraestructura más riesgosa y proteger cualquier recurso que los atacantes pudiesen trazarse como objetivo.
• Minimizar el acceso a datos delicados: Para datos delicados, incluyendo propiedad intelectual y archivos que contengan secretos comerciales, las organizaciones deben limitar el acceso a solamente usuarios de altos privilegios y monitorizar las solicitudes de acceso exitosas y fallidas para identificar cualquier vulneración.
• Monitorizar recursos y accesos de proveedores: Los proveedores externos representan el riesgo más significativo en los ataques a la cadena de suministros. Muchos proveedores no se dan cuenta de que son un objetivo y presentan un riesgo a sus clientes, así que cualquier acceso o implementación de recursos externos debe revisarse en busca de vulnerabilidades.
• Aplicar reglas estrictas para la shadow IT: Los recursos de Shadow IT son cualquier dispositivo autorizado para acceder al entorno de la red. Esto constituye un riesgo cuando la organización también ofrece una política de “Traiga Su Propio Dispositivo” que permita a los usuarios conectar con sus propios dispositivos móviles o de sobremesa. Estos dispositivos deben ser monitorizados en detalle y tener software antivirus instalado.
• Estar consciente de las amenazas internas: El error humano es un vector de ataque principal para las amenazas de phishing e ingeniería social. Su evaluación y revisión de riesgos debe también ser capaz de identificar potenciales amenazas internas y errores humanos capaces de generar una filtración de datos grave o de poner en riesgo su sistema.
• Usar ciberseguridad del correo electrónico para bloquear a los remitentes suplantados: Sus servidores de correo electrónico deben evitar que los remitentes suplantados alcancen la bandeja de entrada de un destinatario y usar la inteligencia artificial para frenar a los dominios suplantados y páginas de ataques conocidas.
• Capacitar a los empleados para detectar mensajes malintencionados: La capacitación a los empleados es clave para reducir el riesgo de error humano. Los ataques de phishing simulados facultan a los empleados para identificar ataques de phishing y de ingeniería social.
• Crear políticas para pagos de facturas: Para evitar tener que pagar facturas falsas, cree políticas para validar las facturas y obtener autorización antes de enviar dinero a una cuenta bancaria.

Para comprender las maneras en que su organización podría resultar vulnerable ante un ataque de cadena de suministros, primero hay que cumplir con la debida diligencia y ejecutar una evaluación interna de riesgos. Después del ataque a la cadena de suministros de SolarWinds, muchas más organizaciones se han dado cuenta de la importancia de las evaluaciones de riesgos para proteger a los entornos internos de estas amenazas externas.

Durante una evaluación de riesgos, los profesionales no solo identifican los riesgos, sino que también ayudan a la organización a diseñar y a gestionar los riesgos. La mitigación de riesgos requiere de unos adecuados controles de ciberseguridad y un entorno de cero confianza para detener adecuadamente a estas amenazas. En muchos casos, la organización debe rediseñar sus controles de autorización y privilegios de usuario para reducir los riesgos.

El personal de Proofpoint es experto en ataques a cadena de suministros y existen muchas maneras en que las amenazas ponen en riesgo la privacidad de sus datos, su nivel de cumplimiento y defensas de ciberseguridad. Ofrecemos servicios extensos que protegen a un vector principal de ataque: el correo electrónico. Protegemos las cadenas de suministros en diversos sectores, como la salud, los servicios médicos, la educación, la fabricación y muchas otras.