8 de cada 10 empresas temen ser víctimas de ciberataques a la cadena de suministro

La expansión de las redes de comunicación, la nube, el IoT y el auge de armas digitales de los deepfakes crean nuevos retos para la ciberseguridad de las organizaciones. En este contexto, los ataques a la cadena de suministro de software se han convertido en una de las armas favoritas de los ciberdelincuentes, con dicha amenaza en aumento.

En estos ataques los ciberdelincuentes comprometen a un desarrollador de software, fabricante de hardware y utilizan ese acceso para apuntar a los clientes a los que prestan esos servicios.

La amenaza se ha convertido en el método elegido para atacar a una empresa y a su infraestructura ya que, en la mayoría de las ocasiones, las compañías se centran en su propia seguridad y pasan por alto la de sus proveedores.

Así, mientras que el 82% afirmó a Venafi que sus organizaciones son vulnerables a los ciberataques dirigidos a las cadenas de suministro de software, tan solo el 43% de las empresas han realizado una evaluación de riesgos de sus proveedores o de su cadena de suministro de software

En las operaciones de espionaje a gran escala, los atacantes toman posiciones en las redes de los proveedores de servicios para recuperar datos o incluso acceder a las redes de sus clientes.

Por ello, pese a que los expertos de la cadena de suministro suelen trabajar con empresas de alta tecnología con conocimientos técnicos únicos y sus sistemas de información estén correctamente gestionado, en el contexto de su externalización, algunos de sus socios resultan ser un objetivo privilegiado para los atacantes.

Una penetración exitosa y sigilosa dentro de esta cadena ofrece a los piratas informáticos la oportunidad de rebotar a la empresa matriz a través de subcontratistas intermedios. El espionaje se realiza a distancia y explota las vulnerabilidades de estos socios supuestamente de confianza, donde las normas de seguridad y la vigilancia pueden ser a veces menos operativas.

Cómo defenderse de estos ataques

Los expertos en ciberseguridad de Tehtris recomiendan las siguientes buenas prácticas para ayudar a las empresas a defender su cadena de suministro frente al ciberespionaje:

  1. Implementar una vigilancia sobre las vulnerabilidades que puedan afectar a los sistemas de información, para garantizar el mantenimiento en condiciones de seguridad (MCS) mediante actualizaciones de seguridad.
  2. Realizar un inventario de las interconexiones con sus clientes y socios para garantizar su supervisión.
  3. Si sospecha que su organización, un cliente o un proveedor de servicios pueden estar afectados, en primer lugar, es fundamental utilizar indicadores conocidos de compromiso y registros de actividad de los usuarios para rastrear el movimiento lateral y determinar si la organización está realmente afectada o no. A continuación, contactar con su proveedor de seguridad para conocer rápidamente las actualizaciones y los flujos de trabajo de análisis sugeridos.
  4. Actualizar o limpiar su parque informático para que los hosts y las credenciales que contenga sean seguros y llevar a cabo una supervisión más activa de sus redes para detectar posibles anomalías.
  5. Contar, si es posible, con una función de gestión de riesgos de la cadena de suministro y tener una lista documentada de proveedores y vendedores críticos en caso de que se produzca una brecha.
Alberto Payo

Recent Posts

Bitdefender lanza un programa de garantía contra violaciones de seguridad

Ofrece hasta 1 millón de dólares de compensación económica en caso de incidente, con la…

27 mins ago

Cloud Expo evoluciona a Cloud & AI Infrastructure

Este cambio refleja los avances que se producen a nivel de infraestructura TI y el…

1 hora ago

DES2025 se centrará en la IA y ofrecerá una zona de experiencia tecnológica

El evento espera reunir a 17.000 directivos, que podrán escuchar a medio centenar expertos en…

2 horas ago

Snowflake llega a un acuerdo con Datavolo para su adquisición

Como resultado de esta operación, ampliará sus servicios en el "bronze layer" del ciclo de…

2 horas ago

NetApp aumenta un 6 % sus ingresos trimestrales

Durante el segundo trimestre de su año fiscal 2025 acumuló 1.660 millones de dólares, la…

3 horas ago

Denodo Platorm 9.1 estrena asistente de inteligencia artificial

También incluye un SDK open source para potencia el desarrollo de aplicaciones y agentes, especialmente…

4 horas ago