Supply Chain Attack es un tipo de ciberataque dirigido a elementos menos seguros en la cadena de suministro de una organización en lugar de atacarla directamente.
Tabla de contenido
En los últimos años, los ataques a la cadena de suministro han causado daños en todo el mundo. Un ataque a la cadena de suministro es un tipo de ciberataque que se dirige a las relaciones de confianza entre organizaciones, utilizando a un socio comprometido como punto de entrada para infiltrarse en otras entidades. El objetivo es infiltrarse en la red o los sistemas de una organización comprometiendo a un proveedor o partner externo que tenga acceso a sus datos, software o infraestructura de red.
La característica principal de este ataque es que permite a los delincuentes penetrar de forma indirecta en los sistemas, primero comprometiendo los eslabones menos seguros de la cadena, como proveedores externos. Dado que estos terceros están integrados en las operaciones cotidianas, es más fácil que el ataque pase desapercibido hasta que ya se haya producido un daño considerable.
En lugar de atacar directamente a la organización objetivo, los atacantes comprometen a un tercero de confianza, como un proveedor de software, un proveedor de hardware o un contratista de servicios. Este tercero se convierte entonces en un conducto para entregar la carga útil maliciosa al objetivo final.
Los ataques a la cadena de suministro pueden ser complejos, implicar múltiples etapas y afectar a un gran número de organizaciones. Los atacantes pueden insertar hardware o código malicioso en diferentes etapas de la cadena de suministro, lo que dificulta la detección.
Estos ataques aprovechan las relaciones de confianza entre una organización y sus proveedores. Dado que los proveedores externos a menudo tienen acceso privilegiado a los sistemas o datos confidenciales de una organización, se convierten en un objetivo atractivo para los atacantes.
El impacto de un ataque a la cadena de suministro puede ser significativo, afectando no solo al objetivo principal, sino también a miles de otras organizaciones que dependen del tercero comprometido.
Los ataques a la cadena de suministro pueden clasificarse en tres tipos según su origen:
Un ataque de este tipo compromete los procesos de desarrollo o distribución de software con el objetivo de insertar código malicioso en el propio software o en sus actualizaciones. Así, los atacantes pueden infiltrarse en organizaciones a través de software aparentemente legítimo.
Entre los vectores de ataque más comunes se incluyen el uso de código abierto, herramientas de administración del sistema y aplicaciones habituales. En lugar de atacar directamente a la empresa, los delincuentes suelen comenzar por vulnerar a un proveedor de software de confianza que desarrolla o aloja las descargas. Después, utilizan servidores de actualización o canales de distribución para enviar versiones comprometidas a los usuarios.
Si el software afectado tiene un uso amplio, el ataque puede provocar un impacto masivo que afecte a numerosas organizaciones al mismo tiempo.
Estos ataques tienen como objetivo a los proveedores de servicios, como los Managed Service Providers (MSP), y se aprovechan de su acceso privilegiado para propagar malware en múltiples entornos de clientes.
Un ejemplo conocido es el ataque de ransomware de 2021 relacionado con Kaseya VSA, un servicio de gestión remota de TI. Los atacantes comprometieron a MSPs que utilizaban esta herramienta y extendieron ransomware a muchos de sus clientes. Como los MSP gestionan y operan las redes de los clientes, los ciberdelincuentes pueden usarlos como canal para desplegar malware, incluido ransomware.
En este caso, la naturaleza del servicio MSP fue clave. Se calcula que hasta 1.500 empresas resultaron afectadas por el ataque.
Estos ataques apuntan al ecosistema más amplio de socios, proveedores, operadores logísticos y otros actores que permiten el funcionamiento diario, y utilizan esas relaciones de confianza para infiltrarse en el objetivo final.
Esta táctica se ha vuelto tan común que ya se considera una técnica estándar de intrusión.
Trend Micro ha documentado de manera constante cómo grupos como Earth Hundun (BlackTech) y Earth Tengshe (relacionado con APT10) comprometen primero las filiales internacionales de una empresa y luego utilizan ese acceso para penetrar en sus sedes principales.
Los atacantes infiltraron el mecanismo de actualización de software Orion de SolarWinds, ofreciendo actualizaciones maliciosas a más de 18 000 clientes, incluidas agencias gubernamentales y grandes corporaciones.
Recurso: Alerta de CISA en SolarWinds
La fuga de contraseña de “RockYou2024”, en la que se recopilaron y publicaron casi 10 000 millones de credenciales previamente comprometidas en un foro de piratería, destaca el importante riesgo de la cadena de suministro que plantea la agregación, reutilización y exposición pública de credenciales filtradas en múltiples plataformas y servicios.
Recurso: Casi 10 000 millones de contraseñas filtradas en la mayor compilación de todos los tiempos
Los chatbots públicos impulsados por LLM pueden exponer accidentalmente información interna confidencial compartida durante las interacciones, aprovechando la confianza que las empresas depositan en estos servicios de IA, lo que subraya los riesgos de confiar en plataformas de IA externas que pueden filtrar involuntariamente datos confidenciales a través de sus procesos de aprendizaje e interacción.
Recurso: Los chatbots personalizados de OpenAI están perdiendo sus secretos
Los atacantes pusieron en peligro el servidor Git de PHP, intentando insertar una puerta trasera en el código fuente del popular lenguaje de scripting web.
Recurso: ZDNet en PHP Git Server Hack
El movimiento lateral desde un vector de ataque inicial, como el phishing localizado, hasta dispositivos IoT u OT como cámaras e impresoras, también se puede ver como un salto de isla.
Recurso: Krebs sobre el informe de seguridad
La filtración se activó mediante vulnerabilidades en una propiedad hermana, RecordsCheck, que permitió a los atacantes aprovechar las relaciones de confianza entre servicios relacionados para acceder a datos confidenciales.
Detener más rápido a los adversarios y tomar el control de sus riesgos cibernéticos comienza con una sola plataforma. Gestione holísticamente la seguridad con un capacidades de respuesta, detección y prevención completas con tecnología de IA que conlleva a la información e investigación de amenazas.
Trend Vision One es compatible con distintos entornos de TI híbridos, automatiza y orquesta flujos de trabajo y proporciona servicios especializados de ciberseguridad para que pueda simplificar y fusionar sus operaciones de seguridad.