Ataque a la cadena de suministros: desde lo macro a lo micro

Qué entendemos por ataque a la cadena de suministro

Como una forma de definir en ciberseguridad, un ataque a la cadena de suministro es un tipo de ataque en el que los ciberdelincuentes se infiltran en los sistemas de un proveedor o socio comercial confiable para comprometer al objetivo final. Los elementos clave son:

1. El atacante identifica un eslabón débil en la cadena de suministro.
2. Compromete ese eslabón, generalmente un proveedor o distribuidor.
3. Usa esa posición para acceder al objetivo principal, aprovechando la confianza existente.
4. Puede implicar la modificación de software, firmware o hardware en la cadena.
5. Es difícil de detectar porque proviene de una fuente aparentemente legítima.
6. Puede afectar a múltiples objetivos que usan el mismo proveedor comprometido.

Los ciberdelincuentes pueden atacar distintos puntos de la cadena de suministro, por ejemplo infectando software con malware, insertando componentes maliciosos en hardware y alterando actualizaciones de seguridad. De esta forma, el ataque se propaga a los usuarios finales que confían en el vendedor o fabricante.

¿Quiénes pueden ser los más afectados?

Los proveedores y socios comerciales más vulnerables a los ataques de cadena de suministro suelen ser:

1. Pequeñas y medianas empresas (PYMES): A menudo tienen menos recursos para ciberseguridad.
2. Proveedores de software: Especialmente los que ofrecen actualizaciones automáticas.
3. Empresas de servicios gestionados (MSPs): Tienen acceso privilegiado a múltiples clientes.
4. Proveedores de hardware: Pueden ser blanco de ataques para modificar componentes.
5. Empresas de desarrollo de aplicaciones: Vulnerables durante el proceso de desarrollo.
6. Proveedores de servicios en la nube: Ofrecen una amplia superficie de ataque.
7. Empresas de logística: Pueden ser utilizadas para comprometer la cadena física.
8. Proveedores de servicios financieros: Manejan datos sensibles de múltiples clientes.
9. Empresas de outsourcing: A menudo tienen acceso a sistemas de múltiples organizaciones.
10. Proveedores de IoT: Sus dispositivos suelen tener menos seguridad.

gif-seguro-y-transparente-1

gif-seguro-y-transparente-2

gif-seguro-y-transparente-3

gif-zfin-4

gif-zfin-5

Estos proveedores son atractivos para los atacantes por su acceso a múltiples clientes o por sus posibles debilidades en seguridad. Por eso, es importante mantenerse actualizado sobre las amenazas informáticas y descargar software solo de fuentes confiables. Este tipo de ataque ha ganado notoriedad en los últimos años debido a incidentes de alto impacto.

Uno de los casos más emblemáticos fue el ocurrido en el año 2020, y que es el ataque a SolarWinds, donde hackers accedieron a los sistemas de la empresa de software SolarWinds y comprometieron su software Orion. A través de esta vulnerabilidad, lograron infiltrarse en las redes de numerosas agencias gubernamentales y empresas de todo el mundo.

Más recientemente, debemos recordar la vulneración con ransomware que tuvo la empresa IFX Networks y el efecto dominó que tuvo en todas las empresas y plataformas a las que prestaba servicio cloud y máquinas virtuales y en el caso de nuestro país, como este evento afectó directamente a Mercado Público (Chilecompra), generando indisponibilidad de compras públicas por un buen tiempo.

El último gran ejemplo que tuvimos, fue el ataque a un proveedor se soluciones informáticas del Banco Santander en España que significó que delincuentes informáticos lograran a acceder a datos de clientes de España, Uruguay y Chile y posterior venta o subasta de esta información en la darkweb.

De lo macro a lo micro

Cuando nos referimos de lo macro a lo micro, es para indicar que estos ataques a la cadena de suministros no tan solo se aplica a grandes empresas que a su vez, afecten a terceras organizaciones y sus respectivos clientes, tal como anteriormente dimos ejemplos. Eso sería lo macro de un ataque a la cadena de suministros.

Sin embargo, también existen ataques a la cadena de suministros a nivel micro, es decir a nivel de código, como ha ocurrido en los últimos días. Así, leyendo un aviso del especialista en ciberseguridad, Germán Fernánez, alertó sobre una brecha de seguridad que se estaba dando en miles de sitios web, dentro de los cuales habían distintas instituciones públicas y privadas chilenas.

Es el caso del ataque a la cadena de suministro de Polyfill que incorporó malware en los activos de la red de distribución de contenido (CDN) de JavaScript, (tal como lo explican acá), en resumidas cuentas, Polyfill es una librería, un servicio en línea, que insertaba pollifills personalizados a los sitios web.

Un polyfill es un código que permite que los navegadores antiguos entiendan funcionalidades web modernas que no soportan por sí mismos. Así, Polyfill.io funcionaba analizando el navegador del usuario e incluyendo solo los polyfills necesarios. Esto reducía el tamaño de los archivos descargados y mejoraba la velocidad de carga de los sitios web.

“(E)s importante mantenerse actualizado sobre las amenazas informáticas y descargar software solo de fuentes confiables. Este tipo de ataque ha ganado notoriedad en los últimos años debido a incidentes de alto impacto”.

Era, por tanto, el desarrollador del sitio web, quien voluntariamente incorporaba dentro del código web a Polyfill, y esta herramienta permitía una mejor experiencia al visitar el sitio el usuario, aunque tuviera un navegador antiguo o desactualizado.

El ataque a la cadena de suministros se dio, luego que un actor extranjero identificado como una empresa de origen chino se había apoderado de un popular proyecto Polyfill de JavaScript, y luego habría incorporado código malicioso en activos de JavaScript obtenidos de su fuente CDN en: cdn.polyfill.io.

El uso de polyfills alojados en una CDN presenta riesgos de seguridad importantes, principalmente debido a la posibilidad de ejecución de código JavaScript arbitrario dentro del contexto de la aplicación. Este riesgo suele notificarse como una vulnerabilidad de secuencias de comandos entre sitios (XSS) para una aplicación web determinada.

Esto hacía que sitios web que incorporaban esta librería podrían generar brechas como captura de información sensible, datos de conexión, credenciales de acceso o una infinidad de otras acciones. Este código malicioso puede realizar diversas otras actividades nefastas, como redirigir a los usuarios a sitios de phishing o incluso propagar aún más malware. Se recomendó finalmente a todos los sitios web que utilizaban polyfills a dejar de utilizarlo de inmediato.

“(E)xisten ataques a la cadena de suministros a nivel micro, es decir a nivel de código (…) Es el caso del ataque a la cadena de suministro de Polyfill que incorporó malware en los activos de la red de distribución de contenido (CDN) de JavaScript”.

Ataque a la cadena de suministro de WordPress.org

No obstante el caso anterior, coincidentemente se informó de otro ataque a la cadena de suministro de WordPress.org. Se mencionó que el ataque se dio cuando al menos 5 plugins de wordpress que están disponibles en repositorio para ser descargados y utilizados por usuarios en sitios web hechos en esta plataforma de wordpress, contenían código malicioso y estaban comprometidos desde el punto de vista de ciberseguridad.

Según se comenta, la incorporación de códigos en los plugins se dieron luego que las cuentas de desarrolladores de los plugins fueron comprometidas debido a que estos desarrolladores utilizaron contraseñas que se encontraban comprometidas en violaciones de datos externas.

Así, finalmente, los sitios web que utilizaban los plugins Blaze Widget, Wrapper Link Elementor, Social Warfare, Contact Form 7 Multi Step Addon y Simply Show Hooks, se veían afectados a nivel de código base.

Tras el aviso, los desarrolladores cambiaron sus contraseñas al repositorio de wordpress y actualizaron los pluggins limpiando todos los códigos maliciosos, pero mientras los usuarios de sitios web no actualicen a las últimas versiones, seguirán siendo afectados por el accionar de los delincuentes informáticos.

Conclusiones

Las consecuencias más graves de estos ataques a la cadena de suministro incluyeron:

1. Compromiso de datos sensibles: Muchos ataques resultaron en el robo de información confidencial, incluyendo datos de clientes y propiedad intelectual.
2. Pérdidas financieras masivas: Por ejemplo, se estima que NotPetya causó más de $10 mil millones en daños globales.
3. Interrupción de operaciones: Muchas organizaciones experimentaron tiempo de inactividad significativo, afectando sus servicios y productividad.
4. Daño reputacional: Las empresas afectadas sufrieron pérdida de confianza de clientes y socios.
5. Implicaciones de seguridad nacional: El ataque a SolarWinds comprometió agencias gubernamentales de EE.UU., planteando serias preocupaciones de seguridad nacional.
6. Costos de remediación: Las organizaciones tuvieron que invertir enormes recursos en la limpieza y fortalecimiento de sus sistemas.
7. Impacto en la cadena de suministro global: Algunos ataques causaron interrupciones en cadenas de suministro internacionales.
8. Cambios regulatorios: Estos incidentes han llevado a nuevas regulaciones y estándares de seguridad más estrictos.
9. Litigios y multas: Muchas empresas enfrentaron demandas y sanciones regulatorias.
10. Aumento de los costos de ciberseguridad: Las organizaciones han tenido que aumentar significativamente sus inversiones en seguridad.

Por lo mismo siempre hay que estar atento a estas noticias, mantener actualizados los softwares y exigir incluso responsabilidades de las empresas que se han visto afectadas cuando existen ataques a sus cadenas de suministros, porque también existe la obligación de exigir seguridad de servicios de sus respectivos proveedores.

Contenido replicado con la autorización del autor.