Ataques a la Cadena de Suministro.



Maria Kolorov

Un ataque a la cadena de suministro, también llamado ataque de cadena de valor o de terceros, ocurre cuando alguien se infiltra en su sistema a través de un socio o de un proveedor externo con acceso a sus sistemas y datos. Durante los últimos años, esto ha cambiado drásticamente la superficie de ataque empresarial típica, porque ahora hay más proveedores y proveedores de servicios que tienen acceso a datos confidenciales. Los riesgos asociados a un ataque a la cadena de suministro nunca habían sido tan altos, debido a los nuevos tipos de ataques, la creciente concienciación pública sobre las amenazas y la mayor supervisión de los reguladores. Además, los atacantes tienen más herramientas y recursos a su disposición, creando una tormenta perfecta.

Ejemplos de ataques a la cadena de suministro Las filtraciones de ciberseguridad provocadas por proveedores son infinitas. La filtración de Target de 2014 fue provocada por un proveedor de HVAC con una seguridad poco estricta. Este año, Equifax afirmó que su enorme filtración fue culpa de un defecto de un software externo. Luego culpó a otro proveedor a raíz de un enlace de descarga malicioso de su página web. Después aparecieron los papeles del paraíso, más de 13 millones de archivos que detallan la evasión de impuestos a paraísos fiscales por parte de grandes empresas, políticos y famosos. ¿La fuente? Como en el caso de los papeles de Panamá del año pasado, el eslabón débil fue un bufete de abogados. El alcance de los ataques a la cadena de suministro Estos no son casos aislados. Según un estudio realizado por el Ponemon Institute, el 56% de las empresas ha sufrido una filtración provocada por alguno de sus proveedores. Mientras, el promedio de terceros con acceso a información confidencial de una empresa ha aumentado de 378 a 471. Y es probable que esta cifra esté contada a la baja. Solo el 35% de las empresas tienen una lista de todos los terceros con los que comparten información confidencial. Solo el 18% de las empresas saben si esos proveedores comparten esa información con otros proveedores. Esto es problemático, porque a los clientes no les importa si los datos se perdieron por culpa de un proveedor o de la propia empresa. Por eso ahora las empresas prestan más atención a los riesgos provocados por terceros. En diciembre de 2018, el Cyber Risk Report de Ponemon Institute descubrió que el uso indebido y el intercambio no autorizado de datos confidenciales por parte de terceros era lo que más preocuparía a los profesionales de las TI en 2019, con un 64% del total. El 41% afirmó haber sufrido incidentes relacionados con terceros durante los últimos 24 meses.

El 56% de las empresas ha sufrido una filtración provocada por alguno de sus proveedores

El problema empeora si tiene en cuenta que los riesgos no terminan cuando se termina la relación con el proveedor. Este otoño, Domino’s Australia sufrió una filtración de seguridad y explicó que el sistema de un antiguo proveedor había filtrado los nombres y direcciones de correo electrónico de sus clientes. “La mayoría de los contratos que reviso no incluyen detalles adecuados para gestionar el difícil proceso de rescindir un contrato con un proveedor”, comenta Brad Keller, director senior de estrategia de terceros de Prevalent, Inc. Además, los reguladores están vigilando cada vez más los riesgos de terceros. El año pasado, los reguladores financieros del estado de Nueva York comenzaron a exigir a las empresas financieras con presencia en Nueva York que se aseguraran de que las protecciones de ciberseguridad de sus proveedores estuviesen a la altura.

Como Gestionar los Riesgos de Terceros: Primeros pasos

Supervisar adecuadamente los riesgos de ciberseguridad de terceros ofrece ventajas más allá de cumplir con la normativa. Según el informe de Ponemon, reduce la probabilidad de sufrir una filtración. “Puede reducir la posibilidad de sufrir una filtración en 20 puntos porcentuales”, explica Dov Goldman, vicepresidente de innovación y alianzas de Opus Global Inc., la empresa que patrocinó el estudio. Si una empresa evalúa las políticas de privacidad y seguridad de todos sus proveedores, la probabilidad de sufrir una filtración baja del 66% al 46%. Eso incluye a todos los proveedores, añade Goldman. “Las relaciones con grandes empresas no son siempre el mayor riesgo”, asegura Goldman. Los grandes proveedores suelen contar con defensas de ciberseguridad más complejas. “Si investiga a empresas más pequeñas, verá que no tienen el mismo nivel de control de ciberseguridad”, afirma. Cuando una empresa entiende quiénes son todos los proveedores y cuáles tienen acceso a datos confidenciales, existen muchas herramientas que ayudan a evaluar su nivel de seguridad. Por ejemplo, algunas empresas incluyen la seguridad en los acuerdos de nivel de servicio con sus proveedores, comenta Tim Prendergast, CEO de Evident.io, una empresa de seguridad en la nube. “Estamos siendo testigos de un cambio para exigir un acuerdo con el proveedor que demuestre su compromiso con la seguridad”, explica. “Se pide a los proveedores que impongan controles similares a sus socios. Estamos viendo muchos contratos de este tipo”. Puede exigir a los proveedores que realicen autoevaluaciones, que permitan visitas y auditorías a los clientes, o que compren un seguro que los proteja frente a incidentes cibernéticos. A veces, es necesaria una evaluación más completa. “Hemos visto a muchas empresas hacer auditorías a sus proveedores de servicios”, explica Ryan Spanier, director de investigación de Kudelski Security. “Una gran institución financiera con la que trabajamos exige auditorías, va al sitio en cuestión y realiza sus propias pruebas de penetración para ver dónde están los datos y cómo están protegidos”. Los clientes más pequeños, pueden no poder ejercer ese tipo de influencia. “Simplemente tienen pruebas de auditorías de terceros, ven los resultados y los revisan”, comenta. “Luego piden que solucionen algunos detalles antes de seguir haciendo negocios con la empresa. También puede limitarse a trabajar con empresas que sepa que tienen una buena seguridad, pero es complicado, porque por ahora no hay muchas”. Por otro lado, hay empresas que proporcionan puntajes de seguridad. Por ejemplo, BitSight Technologies y SecurityScorecard observan a los proveedores desde el exterior y califican a las empresas en base a lo seguras que son sus redes frente a un ataque. Para evaluaciones más profundas que tengan en cuenta las políticas y procesos internos de los proveedores, Deloitte y CyberGRX realizan revisiones en colaboración, así como evaluaciones continuas, lo que evita que los proveedores tengan que responder individualmente a cada uno de sus clientes. “Las empresas actuales deben entender los ciberriesgos de terceros como riesgos comerciales que deben ser administrados continuamente”, aconseja Jim Routh, CSO de Aetna. “CyberGRX Exchange permite que todas las empresas adopten este enfoque”. Un par de grupos de la industria financiera están haciendo algo similar. En noviembre, American Express, Bank of America, JPMorgan y Wells Fargo se unieron para crear un servicio de evaluación de proveedores llamado TruSight. En junio, Barclays, Goldman Sachs, HSBC y Morgan Stanley anunciaron que habían adquirido una participación de capital de la solución de gestión de riesgos Know Your Third Party de IHS Markit. Las empresas deben revisar cómo los terceros acceden a sus datos confidenciales, y asegurarse de que solo las personas adecuadas puedan acceder a los datos, y solo para fines aprobados. Según el Cyber Risk Report de Ponemon, el 42% de los encuestados afirmó estar mejorando los controles del acceso de terceros a datos confidenciales. Routh afirma que ahora mismo la gestión de riesgos de terceros requiere un nuevo enfoque. “Un enfoque que permita a las empresas entender dónde están los riesgos de su ecosistema digital, adaptar sus controles en base a esos riesgos, y colaborar con los terceros con quienes tengan relación para mitigar y solucionar esos riesgos”.

Después, Europa hizo lo mismo con su Reglamento General de Protección de Datos (GDPR), que se aplica a todas las empresas que recopilan información personal de personas europeas. Las multas de la GDRP son cuantiosas, hasta el 4% de los ingresos globales totales. Las regulaciones de riesgo de terceros están aún en sus inicios. Muchas empresas no gestionan bien esos riesgos, comenta Peter Galvin, vicepresidente de estrategia y marketing de Thales e-Security. “Las firmas financieras están acostumbradas y están mucho más preparadas”, añade. “Hay otras muchas empresas que no entienden los riesgos. Vamos a ser testigos de un aumento de filtraciones, y vamos a ver más acciones legales”. Los expertos esperan que más reguladores comiencen a exigir a las empresas que se preocupen más por el riesgo de terceros. “Es una tendencia en alza”, explica Eric Dieterich, líder de práctica de privacidad de datos de Focal Point Data Risk, LLC. Riesgos ocultos de la cadena de suministro de software y hardware Casi todas las empresas usan hardware y software externos. Nadie construye toda su tecnología a partir de cero, sobre todo debido al auge de la economía de código abierto. El problema es que esa mentalidad conlleva un riesgo importante. Cada dispositivo comprado y cada aplicación descargada deben ser validados y monitorizados para descubrir posibles riesgos de seguridad, y todos los parches tienen que estar actualizados. En abril, los investigadores de Flashpoint Intelligence explicaron que los delicuentes están intensificando los ataques contra la popular plataforma de comercio electrónico de código abierto Magento, forzando contraseñas con la intención de recoger registros de tarjetas de crédito e instalar malware de criptominería. Los investigadores descubrieron más de 1.000 paneles de administración de Magento comprometidos, y añadieron que el interés por esta plataforma en la Internet profunda y la Internet oscura está creciendo desde 2016.

Solo el 35% de las compañías tiene una lista de todos los terceros con los que comparte información confidencial

Además, también hay un interés notable en Powerfront CMS y OpenCart. El año pasado, una vulnerabilidad CSRF de Magento Community Edition dejó expuestos a 200.000 minoristas online. Si este fallo se hubiese explotado, hubiera comprometido todo el sistema, exponiendo las bases de datos con la información confidencial de los clientes. Como la versión comercial de Magento comparte el mismo código subyacente, existía la preocupación real de que también afectase a las operaciones empresariales. El riesgo no es solo para los datos de la propia empresa, si el componente defectuoso del hardware o del software está incrustado en un producto, puede provocar más problemas de seguridad en el futuro. Un chip de un ordenador infectado con una puerta trasera de seguridad, una cámara sin una autenticación fuerte o un componente de software con un fallo pueden provocar daños generalizados. El fallo de seguridad Heartbleed, por ejemplo, afectó a millones de páginas web y dispositivos móviles, así como a softwares de los principales proveedores, incluidos Oracle, VMware y Cisco. “Nos preocupa la manipulación y el espionaje, tanto a nivel nacional como industrial, y nos preocupan las interrupciones”, comenta Edna Conway, jefa de seguridad de cadena de valor global de Cisco Systems, Inc. Por ejemplo, los productos de hardware y software pueden haber sido manipulados deliberadamente en algún lugar de la cadena de suministro o reemplazados por falsificaciones. A Cisco también le preocupa perder información confidencial o propiedad intelectual (IP) confidencial por culpa de filtraciones de terceros, añade Conway. “Nos comprometemos a ofrecer soluciones que funcionen de la manera de la que deberían funcionar”, explica. “Si sus clientes no están satisfechos, si su reputación se ve perjudicada, eso afectará al resultado. La confianza es fundamental, y en el mundo empresarial la confianza se manifiesta a través de la reputación”. Muchas empresas tienen estándares de calidad para los proveedores. Cisco usa ese mismo enfoque para la seguridad. “El método que he implementado nos permite establecer niveles de tolerancia para que los terceros cumplan con nuestros valores y objetivos, personalizados para la naturaleza única de los productos y de los servicios que nos ofrecen”, afirma Conway. “Una vez establecidos los niveles de tolerancia, podrá empezar a medir si los está cumpliendo, superando o quedándose corto. Si el tercero no está a la altura, nosotros nos sentamos con él y le preguntamos: ‘¿Cómo podemos colaborar para solucionar esto?'”. Los riesgos de seguridad de los proveedores de nube La organización única y directa ha sido reemplazada por un ecosistema digital donde todo, desde las aplicaciones hasta los centros de datos, se ha trasladado a proveedores de servicios en la nube. “Lo que tiene que proteger está fuera de su ámbito”, explica Fred Kneip, CEO de CyberGRX. “Y los hackers son inteligentes. Buscan lo que ofrezca menos resistencia”. Kneip añade que ahora mismo hasta el hardware está en la nube. “La configuración predeterminada para una herramienta de soldadura IoT de una línea automotriz envía diagnósticos al fabricante para que pueda realizar un mantenimiento predictivo”, comenta. “Eso suena muy bien, pero también puede ser un canal de entrada que comprometa todo su entorno“. CSO

Fuente: cso.computerworld.es

Mario Meneses

Ciudad de Mexico WA 52 1 7711871152

Saludos

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .