Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Riesgo de terceros: la amenaza oculta para tu negocio
Hoy en día, las organizaciones trabajan con multitud de proveedores para externalizar distintos procesos de sus operaciones, desde el almacenamiento de datos en bruto hasta la seguridad, la contabilidad, el soporte a sus clientes o los recursos humanos, entre otros ejemplos.
Esa interconectividad genera beneficios significativos al hacer que los procesos sean más rápidos y eficientes, los empleados más productivos y las propias empresas más competitivas.
Pero los vínculos de una empresa con sus proveedores también aumentan en gran medida su exposición a los riesgos digitales. Los fallos en las defensas y prácticas de seguridad de un proveedor, o de sus terceros, pueden poner en peligro los datos, sistemas y redes de la empresa, incluso teniendo esta unas defensas relativamente sólidas.
Resulta complicado generalizar porque las cifras pueden variar mucho dependiendo de la región, el sector o el tipo de empresa, pero según un estudio de la entidad pública ICEX España Exportación e Inversiones, la empresa media española se apoyaba en 2021 en al menos 100 proveedores. Y estas cifras seguirán aumentando a medida que los ecosistemas empresariales se amplíen y se vuelvan más complejos.
En qué momento los proveedores pasan a ser objetivo de la ciberdelincuencia
En su constante evolución de objetivos y tácticas, este hecho no ha pasado desapercibido para los ciberdelincuentes. Y es que, aunque existen diversos tipos de ciberdelincuentes (como las personas que actúan movidas por la venganza o por el simple deseo de mostrar que son capaces de hacerlo; los perfiles hacktivistas, que siempre tienen un componente ideológico detrás; los actores patrocinados por estados; o los que se dedican al espionaje corporativo, entre otros), el común de ellos tiene una misma motivación: el beneficio económico.
Un 95% de las más de 5.000 fugas de información confirmadas a lo largo de 2022 tuvieron una motivación económica. Y el 62% de ellas se produjeron a través de un tercero.
Si nos ponemos por un momento la gorra del ciberdelincuente, pensemos: ¿por qué atacar a una empresa con unas defensas aparentemente sólidas, cuando puedo atacar a otra cuyas defensas no sean tan robustas, que tiene acceso a información sensible de la que luego puedo sacar provecho y que va a provocar un efecto dominó que cause estragos en multitud de empresas a nivel mundial? Menos esfuerzo y muchísimo mayor beneficio.
Una breve historia de ataques a la cadena de suministro
Lamentablemente para los buenos de esta historia, las cuentas están claras. Así, el número de ataques a la cadena de suministro han aumentado considerablemente en los últimos años. Aunque ejemplos hay muchos y muy variados, solo mencionaremos algunos de los más destacados.
Si nos remontamos diez años atrás en el tiempo, un ataque muy famoso fue el que sufrió la cadena estadounidense de grandes almacenes, Target, a partir del robo de unas credenciales de un proveedor de sistemas de climatización que hacía trabajos en algunos de sus centros. Este incidente supuso el robo de 40 millones de tarjetas de crédito y de información personal de 70 millones de clientes. Los números pueden no llamar mucho la atención si los comparamos con ataques más recientes, pero en su momento causó un gran impacto.
En los siguientes años se sucedieron una serie de ataques de gran impacto:
- En 2015, T-Mobile sufrió los daños colaterales del ataque a Experian, uno de sus proveedores, que resultó en el robo de información personal de 15 millones de usuarios.
- En 2016, Uber sufrió el robo de información confidencial de 57 millones de usuarios y conductores, a raíz de la obtención de unas credenciales en un repositorio de código con las que luego accedieron a un proveedor de almacenamiento en la nube.
- En 2017, Equifax sufrió un incidente a través de una vulnerabilidad no parcheada en una aplicación de software de terceros. Los atacantes lograron robar la información personal de más de 140 millones de personas.
- En 2018, fue la cadena de hoteles Marriott quien sufrió el robo de información personal de más de 500 millones de huéspedes a través de un ataque a la plataforma de reservas que usaba para sus hoteles.
⚠️ El ataque que volvió a situar en el radar de todas las empresas los ataques a la cadena de suministro fue el que sufrió SolarWinds en 2020. Esta compañía de software ofrece soluciones SaaS en diversos ámbitos. Su producto más utilizado fue víctima de un ataque por el que los atacantes acabaron comprometiendo a más de 18.000 organizaciones en todo el mundo, tanto del ámbito público como del privado, con un fuerte impacto en EE.UU. donde se vieron afectadas más de 400 compañías del índex Fortune 500.
Y así llegamos a 2023. El pasado mes de abril, nuestro equipo de Threat Intelligence en su informe semanal de amenazas hacía un análisis del grupo cl0p, destacando su capacidad para causar daños significativos operativa y reputacionalmente con la filtración de documentación de carácter confidencial sustraída de multitud de víctimas a nivel mundial.
Concretamente se advertía sobre una de las técnicas utilizadas, que consiste en la explotación de vulnerabilidades en productos concretos como el sistema de transferencia de archivos Accellion FTA o la herramienta de transferencia segura de archivos GoAnywhere MFT, las cuales tuvieron impacto en más de 130 organizaciones a nivel mundial.
Poco después, en junio de este mismo año, el grupo cl0p copó todos los titulares de noticias en el ámbito de la ciberseguridad con su ataque a la herramienta de transferencia de archivos MOVEit. A pesar de ser una tecnología cuya popularidad se reduce a Estados Unidos, el impacto de este ataque ha sido global, afectando a más de 2.000 organizaciones (entre las que estarían British Airways, la BBC o Tesla, entre otras) y más de 60 millones de personas.
Cómo protegerse de ataques a través de un tercero
Las amenazas a la cadena de suministro continúan sucediendo. Por eso es importante integrar la gestión del riesgo de terceros en la operación del día a día de las empresas, recurriendo a prácticas efectivas como:
- Evaluación de la postura de seguridad de terceros. Un 83% de los encuestados por Gartner, respondió que descubrieron riesgos en sus proveedores después de haberlos incorporado a su cadena de suministro.
◾ Esto pone de manifiesto dos cosas: la relevancia que tiene comprender los riesgos de seguridad que un proveedor puede suponer para nuestro negocio antes de su onboarding; y que los métodos tradicionales para medir ese riesgo, como los cuestionarios de seguridad, aunque útiles, no son la solución más efectiva y es mejor recurrir a evaluaciones basadas en datos objetivos.
- Monitorización continua de toda la cadena de suministro. Una vez incorporado a nuestra cadena de suministro, es necesario mantener la monitorización del riesgo durante toda la vida de la relación creando alertas automáticas que nos avisen cuando se identifiquen nuevos riesgos o cuando el perfil de riesgo del proveedor varíe.
◾ Esto a su vez solventa otro de los puntos débiles de los métodos tradicionales, que suelen proporcionar una imagen estática del riesgo, del momento en que se realiza el análisis.
- Monitorización de los proveedores de terceros. Como hemos visto anteriormente, cada vez es más común que un proveedor se vea comprometido a partir de un tercero. Por ello resulta crucial que la monitorización de la cadena de suministro se extienda también a proveedores de nuestros proveedores (como aplicaciones SaaS o proveedores de alojamiento en la nube).
◾ Esto nos permite no solo identificar riesgos cuando se produzcan, sino también tener claro dónde se concentra el riesgo del stack tecnológico de nuestros proveedores.
- Reporting en términos de negocio. Combatir el riesgo en la cadena de suministro es una tarea que involucra a multitud de áreas y perfiles dentro de una misma organización. Para ello, como en muchos otros ámbitos, la comunicación juega un papel fundamental.
◾ Ser capaces de pasar de una conversación con métricas técnicas y jerga de Ciberseguridad a otra con términos de negocio, facilitará la comunicación con todos los grupos de interés y su alineamiento de cara a lograr el fin común.
Combate el riesgo de terceros con Telefónica Tech
Mejorar la resiliencia de tu cadena de suministro y combatir la amenaza oculta que supone para tu negocio el riesgo de terceros es posible con Telefónica Tech.
Dentro de nuestro catálogo de servicios NextDefense Cyber Threat Intelligence, ofrecemos el servicio Third-Party Risk en el que combinamos la tecnología de Bitsight, líder en el ámbito de los ratings de seguridad, con los servicios profesionales de nuestro DOC global, para permitir a nuestros clientes:
- Monitorizar de manera continua el nivel de seguridad de sus proveedores,
- medir los controles de seguridad de sus proveedores,
- mitigar el riesgo en la cadena de suministro,
- y cuantificar y comunicar el riesgo en un lenguaje entendible por todos los líderes de las distintas funciones de seguridad de la organización.
Además, nuestro servicio Third-Party Risk también incluye la evaluación de proveedores potenciales antes de establecer una relación comercial con ellos. Esto nos permite identificar posibles riesgos de seguridad y tomar decisiones informadas sobre si es seguro o no trabajar con ellos.
Este enfoque integral y proactivo nos permite ayudar a nuestros clientes a fortalecer su cadena de suministro y proteger su negocio de posibles amenazas externas. Esto no solo beneficia a nuestros clientes, sino que también contribuye a elevar los estándares de seguridad en toda la cadena de suministro.
.jpg "Pentesting y Security Assessment: dos caras de la misma moneda en Ciberseguridad")
