Detrás de cada titular de un ataque a la cadena de suministro hay organizaciones y víctimas que enfrentan las consecuencias de una infiltración brutal.
Equipados con herramientas automatizadas, los piratas informáticos pueden buscar en aplicaciones nativas de la nube, repositorios de códigos públicos, redes desprotegidas y más, sin siquiera prestar mucha atención a sus computadoras.
El objetivo es lanzar un ataque a la cadena de suministro: una emboscada a las vulnerabilidades en el ciclo de vida del desarrollo de software que contamina componentes individuales y bibliotecas de códigos.
Un ataque exitoso expone a la propia organización, a los proveedores externos y a los clientes a fugas de datos, daños financieros y desastres reputacionales.
Así como las estrategias de ciberseguridad evolucionan constantemente, los piratas informáticos también cambian sus tácticas.
Los actores malintencionados mantienen la vista fija en el premio, identificando objetivos específicos para las cadenas de suministro que albergan datos valiosos o actúan como puerta de entrada a otros proveedores.
El informe sobre la evolución de la seguridad de la cadena de suministro de software del tercer trimestre de 2023 encontró un aumento del 47,4% en paquetes maliciosos dirigidos a empresas específicas. Las estrategias incluyeron:
- Amenazas del código fuente. Como ocurre con la mayoría de las amenazas cibernéticas, el error humano es el núcleo. Las malas prácticas de codificación, como los activos de código mal protegidos, los secretos publicados en repositorios públicos y las vulnerabilidades omitidas en las revisiones de código, contribuyen a entornos de desarrollo inseguros donde los piratas informáticos aprovechan las oportunidades para inyectar código malicioso o filtrar datos.
- Dependencias comprometidas. Sería imposible que el mundo del desarrollo de software pudiera funcionar sin depender de recursos de terceros que ahorren tiempo y dinero a los desarrolladores. Pero, como vimos durante la crisis de Log4J , un recurso público comprometido crea un efecto dominó en el futuro.
- Configuraciones erróneas de la herramienta CI/CD (integración/entrega continua). Los ataques a la cadena de suministro contra herramientas de construcción son difíciles de identificar, y las configuraciones codificadas no seguras crean vectores de ataque y dejan espacios para que entren los piratas informáticos.
Los titulares lo dicen todo. A continuación se presentan cinco de los ataques más graves de los últimos cinco años.
Vientos solares. El nombre de esta empresa de gestión de redes se ha convertido casi en sinónimo de “ataque a la cadena de suministro”.
En diciembre de 2020, un hackeo provocó una filtración de datos que afectó a 18.000 clientes, incluidas agencias gubernamentales.
Después de una investigación exhaustiva, se reveló que la causa era un código malicioso agregado a una actualización del software Orion de SolarWinds.
CódigoCov. Esta empresa de software con sede en EE. UU. sufrió un ataque en 2020 después de que unos piratas informáticos aprovecharan un error en un proceso de creación de imágenes de Docker y obtuvieran credenciales. Los piratas informáticos obtuvieron acceso a herramientas de desarrollo de software utilizando esta nueva clave del reino. Modificaron un script para enviar variables de entorno desde el CI de los clientes de CodeCov a un servidor remoto. El ataque expuso secretos y datos de sus clientes.
Mimecast. El ataque de 2021 a esta empresa de ciberseguridad en la nube resultó en el robo de certificaciones de firma de código y capa de sockets seguros (SSL). Los piratas informáticos comprometieron una certificación utilizada por los clientes para conectarse con los servicios de Microsoft 365 Exchange. Si bien el ataque interrumpió las comunicaciones de los clientes de Microsoft, también expuso peligros más amplios de certificados SSL comprometidos y certificados de firma de código robados. Dicha actividad corre el riesgo de permitir que el malware se haga pasar por software auténtico; sin embargo, afortunadamente, el incidente no llegó a este crescendo.
Okta. Tras una serie de incidentes a lo largo de 2022 y 2023, sufrió un ataque a finales de año en su sistema de gestión de casos de soporte. El director de seguridad, David Bradbury, concluyó que “un actor de amenazas obtuvo acceso no autorizado a archivos dentro del sistema de atención al cliente de Okta asociados con 134 clientes de Okta, o menos del 1% de los clientes de Okta”. Okta es un objetivo tentador que cuenta con el ejército estadounidense como uno de sus 10.000 clientes. Los piratas informáticos podrían verlo como la puerta de entrada definitiva a datos valiosos, lo que genera temores de que podamos ver SolarWinds 2.0 en el futuro.
MGM. La cadena de casinos y hoteles representa la peor pesadilla de los profesionales de la seguridad: un ataque que crea un efecto dominó. Una estafa de vishing (phishing a través de una llamada telefónica) desencadenó un cierre de seguridad cibernética de cajeros automáticos, máquinas tragamonedas e incluso servicios de televisión, lo que obligó al personal de MGM a recurrir a los tradicionales lápiz y papel para seguir atendiendo a los huéspedes. El incidente dejó a muchos proveedores socios de MGM preguntándose si ellos también están en la línea de fuego: el ataque a la cadena de suministro podría asomar su fea cara en el futuro, cuando los piratas informáticos derriben estas fichas de dominó.
Hay tantas formas de protegerse contra un ataque a la cadena de suministro como de provocarlo:
Ocurrió tan temprano en la cadena que no fue detectado en los controles de verificación y validación.
- Prueba, prueba, prueba. Incluya pruebas de seguridad de aplicaciones estáticas y dinámicas (SAST y DAST) durante todo el desarrollo, tanto programadas como no programadas.
- Preparate para lo peor. Cree un plan detallado de respuesta a incidentes y un equipo para gestionarlo.
- Cierra la puerta. Implemente las mejores prácticas de gestión de identidad y acceso para autenticar y autorizar a todos los usuarios.
- Gestionar dependencias. Utilice herramientas de análisis de composición de software (SCA) y automatice el monitoreo continuo de vulnerabilidades para una protección 24 horas al día, 7 días a la semana.
- No confíes en nadie. Identifique y utilice únicamente fuentes confiables después de mapear todos los componentes y dependencias del software.
El objetivo es evitar tener un único punto de falla en el ciclo de vida de desarrollo de software (SDLC) que podría permitir el acceso no autorizado o la atención no deseada. Afortunadamente, con las completas herramientas de automatización disponibles en el mercado, los desarrolladores pueden sentirse cada vez más cómodos sabiendo que sus cadenas de suministro son seguras.
