Todas las organizaciones dependen de la cadena de suministro de software. Las aplicaciones conocidas se basan en redes de código abierto, API e integraciones de terceros que garantizan su funcionamiento. Esta dinámica interdependiente es la razón por la que la incorporación de una nueva herramienta significa elegir confiar en todo su ecosistema de desarrollo, no únicamente en la propia herramienta.
Los ataques a la cadena de suministro de software, que explotan este fen ómeno, son un método de ataque cada vez más habitual para penetrar en la red corporativa. Gartner predice que "para 2025, el 45 % de las organizaciones de todo el mundo habrán sufrido ataques a su cadena de suministro de software, lo que supone triplicar la cifra de 2021".
En lugar de penetrar directamente en la red de un objetivo, los atacantes suelen aprovechar las vulnerabilidades de las aplicaciones de terceros o del código fuente abierto en el que confía su objetivo. Esto proporciona acceso indirecto a la red del objetivo.
Dicho esto, los ataques a la cadena de suministro de software son a veces más oportunistas que selectivos. En lugar de trabajar hacia atrás desde un objetivo para descubrir a sus proveedores, un atacante puede poner en riesgo algo ampliamente utilizado, como un código abierto o una aplicación específica, y luego recoger los beneficios cosechados. Estos ataques son interesantes porque ofrecen ganancias considerables en relación con el esfuerzo necesario.
Los atacantes acceden a recursos de terceros de diversas formas, utilizando credenciales de cuentas robadas o explotando vulnerabilidades de día cero o para las que no se han aplicado parches. A continuación, utilizan este acceso privilegiado para lanzar un ataque descendente. Los ataques a la cadena de suministro de software pueden adoptar distintas formas, entre ellas:
Acceso de una red de terceros. Si un tercero o un proveedor está en riesgo, un atacante puede utilizar sus privilegios para robar datos de organizaciones de clientes y socios, difundir malware y mucho más. Por ejemplo, en el ataque a Kaseya, la banda de ciberdelincuentes REvil explotó una vulnerabilidad de los servidores utilizados para la solución de supervisión y gestión remota de la empresa. A continuación, REvil utilizó estos privilegios elevados para implementar el ransomware a cientos de clientes de Kaseya.
Actualizaciones de software/aplicaciones. Los dispositivos pueden descargar malware oculto en los paquetes de actualización. En 2017, ciberdelincuentes rusos adoptaron este método cuando integraron el malware NotPetya en una actualización de un software de contabilidad ucraniano muy popular. El alcance del ataque se extendió mucho más allá de Ucrania, y la Casa Blanca evaluó los daños globales del ataque en 10 000 millones de dólares.
Paquetes de código abierto. Las empresas suelen utilizar código abierto (o disponible al público) para maximizar la eficacia del desarrollo de software. Sin embargo, cuando se encuentran vulnerabilidades en este código, las organizaciones que lo utilizan están en riesgo. Además de explotar vulnerabilidades conocidas, los ciberdelincuentes también pueden introducir código malicioso en estos paquetes como otra forma de propagar malware.
Ten en cuenta también que, aunque los ataques basados en software son los más generalizados, ya que 66 % de los ataques se centran en el código de los proveedores, los ataques a la cadena de suministro pueden adoptar distintas formas. Por ejemplo, los microchips, los ordenadores portátiles, los dispositivos de Internet de las cosas (IoT) y la tecnología operativa pueden verse en riesgo. El firmware, o el software integrado en un componente de hardware, también puede ser un objetivo.
El ataque SolarWinds es posiblemente el ejemplo más conocido de ataque a la cadena de suministro de software. En diciembre de 2020, el proveedor de ciberseguridad FireEye informó de que había sido víctima de un ataque. La banda ciberdelictiva rusa Nobelium había atacado al proveedor de supervisión informática de FireEye, SolarWinds, e insertado código malicioso en uno de sus paquetes de actualización de software. En total, 18 000 organizaciones descargaron la actualización infectada.
SolarWinds demuestra que un ataque a un proveedor de confianza y bienintencionado puede provocar un ataque a la organización que lo utiliza.
Y aunque muchas empresas exigen a sus proveedores que cumplan normas de seguridad como el cumplimiento de SOC 2 o pruebas de penetración, ninguna organización puede garantizar que esté protegida contra los ataques.
Por ejemplo, considera la declaración de Apache en diciembre de 2021 acerca de una grave vulnerabilidad en su biblioteca de registro de código abierto Log4j. Log4j es tan habitual que Jen Easterly, directora de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), declaró que "todo el mundo debería asumir que está expuesto y que es vulnerable". Los ciberdelincuentes se apresuraron a explotar la vulnerabilidad, y siguen haciéndolo.
Los ataques a gran escala o las víctimas de gran repercusión mediática suelen aparecer en las noticias. Sin embargo, las grandes empresas no son el único objetivo de este estilo de ataque a la cadena de suministro de software. Los ciberdelincuentes también pueden utilizar este método para campañas más pequeñas, como aquellas contra entornos de desarrollo, que no llegarán necesariamente a ser noticia. Esto implica que este tipo de ataque puede ser incluso más común de lo que sugieren las investigaciones.
Por lo tanto, si ningún proveedor puede estar completamente a salvo de los ataques, ¿cómo pueden responder las empresas a los ataques a la cadena de suministro? Un buen punto de partida es reducir la excesiva confianza que las organizaciones depositan en terceros. La implementación de una arquitectura Zero Trust puede suponer una gran diferencia en este ámbito.
A diferencia de los modelos basados en el perímetro, que otorgan confianza a los usuarios y a los dispositivos dentro de una red, la arquitectura Zero Trust asume que existen actores malintencionados dentro de una red. La arquitectura Zero Trust evalúa a los usuarios, los dispositivos y las cargas de trabajo en función de la identidad y del contexto, y toma las decisiones sobre el acceso de forma dinámica. Más concretamente, la arquitectura Zero Trust protege la red corporativa contra los ataques a la cadena de suministro de software gracias a las capacidades siguientes:
Gestionar el acceso de terceros. Las herramientas de gestión de acceso Zero Trust facilitan la personalización de los niveles de acceso por usuarios, dispositivos o cargas de trabajo. Las organizaciones pueden establecer normas estrictas sobre cómo se conectan los usuarios de terceros, así como aplicar el acceso de privilegio mínimo.
Evitar el movimiento lateral. Si los ciberdelincuentes penetran en una red, la arquitectura Zero Trust limita su capacidad de moverse por ella y de causar más daños. Por ejemplo, la arquitectura Zero Trust promueve la microsegmentación, lo que significa que los atacantes deben volver a autenticarse para acceder a distintas zonas de una red.
Proteger las aplicaciones. Zero Trust puede ocultar eficazmente las aplicaciones internas a Internet, protegiéndolas de los ciberdelincuentes. De esta forma, aunque una aplicación interna contenga una vulnerabilidad, los ciberdelincuentes no podrán acceder a ella.
Protección contra el malware. El filtrado de DNS puede bloquear los ataques de comando y control, que es posible que estén ocultos en actualizaciones de software. En estos ataques, el malware de un dispositivo indica a un servidor que está preparado para recibir las instrucciones del atacante. El filtrado de DNS puede bloquear la solicitud de DNS necesaria para establecer esta conexión.
Protege tu organización contra los ataques a la cadena de suministro de software, amplía las reglas Zero Trust a las aplicaciones SaaS y autoalojadas con acceso a la red Zero Trust y aplica el acceso de privilegio mínimo para usuarios de terceros, empleados y dispositivos IoT. Cloudflare Gateway bloquea el acceso a sitios sospechosos, evita la exfiltración de datos y protege a los usuarios contra ataques de comando y control.
Cloudflare Zero Trust forma parte de Cloudflare One, una arquitectura de perímetro de servicio de acceso seguro (SASE), que conecta de forma segura a usuarios remotos, sucursales y centros de datos con las aplicaciones y recursos de Internet que necesitan.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Después de leer este artículo podrás entender:
Por qué los ataques a la cadena de suministro de software son un motivo de preocupación cada vez mayor
El impacto causado por algunos de los principales ataques
Los distintos puntos de entrada que los ciberdelincuentes pueden aprovechar para lanzar estos ataques
Cómo proteger la cadena de suministro de software
Demostración interactiva y autoguiada: Cloudflare Zero Trust
Resumen de la solución: Visibilidad y control Zero Trust de las aplicaciones SaaS
Conectividad segura para trabajadores remotos a largo plazo con Cloudflare
Obtén más información sobre cómo Cloudflare Zero Trust ayuda a conectar de forma segura los usuarios y los dispositivos a los recursos que necesitan con una demostración autoguiada del producto.