El 2024 ha sido un año decisivo en el ámbito de la ciberseguridad, marcado por un aumento significativo en la cantidad y sofisticación de ciberataques. En febrero, un ataque de ransomware permitió a los cibercriminales hacerse con los historiales médicos de una «parte sustancial de los estadounidenses» a través de Change Healthcare, un proveedor de gestión de ingresos y ciclos de pago que conecta a pagadores, proveedores y pacientes en Estados Unidos. El ataque interrumpió durante semanas los servicios sanitarios en todo el país y, según la empresa matriz UnitedHealth, muy probablemente tendrá un coste total de más de 1.000 millones de dólares con el tiempo. Le siguen una serie de ataques a proveedores relacionados con la atención sanitaria (Reino Unido – Synnovis, Francia – Viamedia, y Almerys)
Si alguna vez has utilizado Uber, te has verificado en TikTok, o has utilizado PayPal, LinkedIn o Coinbase, existe la posibilidad de que tus documentos de identificación proporcionados durante el proceso KYC (Know Your Customer) hayan sido robados del proveedor de autenticación AU10TIX. Lo peor es que esto era fácilmente evitable, pero AU10TIX olvidó cambiar la contraseña de una cuenta comprometida con privilegios administrativos durante más de un año. A principios de este año también se produjo una brecha en otro servicio relacionado con la autenticación de clientes, World-Check, que reveló más de 5 millones de registros confidenciales que las empresas utilizan para detectar vínculos con delitos financieros.
Se trata sólo de un puñado de violaciones conocidas públicamente, pero ¿qué tienen en común todos estos ejemplos? Todos son ataques a la cadena de suministro. Ninguno de los proveedores atacados es una empresa con la que trabajen o de la que hayan oído hablar personas ajenas a funciones o sectores específicos. Lo que tienen en común, sin embargo, es un tesoro de valiosa información personal.
Puede que estés pensando que los ataques a la cadena de suministro han sido una preocupación constante durante años. ¿Recuerdas la polémica del «chip diminuto» que comprometió a Amazon, Apple y otros? Y estará en lo cierto, pero estos ataques están cada vez más extendidos y son cada vez más sofisticados.
En marzo, se introdujo una puerta trasera en xz Utils, una herramienta casi omnipresente en todas las distribuciones Linux. Si un desarrollador solitario, por pura coincidencia, no se hubiera dado cuenta de la cantidad anormalmente alta de ciclos de CPU consumidos por los inicios de sesión SSH, los ciberdelincuentes habrían sido capaces de causar daños devastadores a las instalaciones de Debian y Red Hat, permitiendo casi cualquier cosa, desde el robo de claves de cifrado hasta la instalación de malware.
Los expertos describieron lo sucedido como uno de «los ataques a la cadena de suministro mejor ejecutados» que estuvieron a punto de triunfar. No fue algo que se desarrollara a lo largo de días o meses, sino de años de ganarse la confianza de los responsables del proyecto hasta que lograron colar un código hábilmente ofuscado que les habría permitido secuestrar e inyectar su código en las sesiones SSH. Se cree que son agentes estatales, pero lo poco que sabemos de estos adversarios pone de manifiesto la fragilidad de nuestro sistema de seguridad.
Aunque este tipo de ataques son (actualmente) más raros, también son mucho más difíciles de detectar y podrían tener graves consecuencias si se pasan por alto. Tomate un minuto para pensar en el dispositivo informático, el navegador y la conexión de red que estás utilizando para leer este artículo: ¿quién los ha desarrollado y quién los mantiene? Si eres usuario de iPhone o Mac, puede pensar que es sencillo. Apple, ¿verdad? Técnicamente estás en lo cierto, incluso si ignoramos todas las demás aplicaciones y software de terceros que puedas tener instalados. Sin embargo, la situación es mucho más compleja que la de un solo proveedor, incluso para algo tan estrechamente integrado como los productos de Apple.
Al igual que una distribución de Linux puede constar de cientos, si no miles, de herramientas y proyectos, un servidor, un PC o cualquier dispositivo «inteligente» es una gigantesca integración de hardware, firmware, software e incluso servicios basados en la nube.
Durante más de cinco años, algunos servidores de Lenovo, Intel y Supermicro se distribuyeron con vulnerabilidades conocidas en su BMC, un subsistema común utilizado para la gestión remota y el diagnóstico. ¿Por qué? Porque los proveedores (¡en plural!) que diseñan el software BMC olvidaron actualizar un componente de servidor web open source llamado lighttpd, que tenía un parche publicado en 2018 que solucionaba una vulnerabilidad. Esto sigue a otro incidente, debido a una auditoría de seguridad laxa, que afectó a los vendedores de BIOS a finales de 2023. Y otro incidente más en el que los fabricantes de dispositivos utilizaron accidentalmente claves criptográficas no aptas para la producción para Secure Boot, poniendo en peligro una función de seguridad fundamental integrada en muchos PC.
El lento avance hacia una mayor seguridad
En medio de estos alarmantes incidentes, la reciente legislación de la Unión Europea, la Directiva sobre Seguridad de las Redes y de la Información (NIS) 2, entrará en vigor a finales de este año. Su objetivo es impulsar el mercado europeo hacia la adopción de mejores posturas de seguridad y la realización de evaluaciones y gestión de riesgos exhaustivas, haciendo especial hincapié en el refuerzo de la seguridad de la cadena de suministro.
Mientras que Estados Unidos y muchos países aliados de Europa y Asia-Pacífico han aprobado leyes que restringen la instalación de sistemas de telecomunicaciones de Huawei y ZTE, cámaras y NVR de Hikvision y Dahua y, quizás pronto, drones de DJI, todas estas medidas se centran en grandes objetivos, normalmente de hardware. El eslabón más débil de todo esto es, como era de esperar, el software y las personas que lo mantienen.
Mantenerse a la vanguardia
Para las empresas y organizaciones, ser conscientes de este problema y aplicar algunas medidas cruciales a sus procesos de adquisición y gestión de TI les ayudará a prepararse para lo peor. Una herramienta eficaz es la lista de materiales de software (SBOM, por sus siglas en inglés), que proporciona una lista completa de todos los componentes de software utilizados en un sistema, servicio o software más amplio. Las listas de materiales de software permiten a las organizaciones saber exactamente qué está ejecutando su infraestructura de TI, qué componentes se utilizan activamente y, lo que es más importante, si tienen alguna vulnerabilidad conocida.
No nos equivoquemos: en materia de seguridad no hay soluciones milagrosas. Sin embargo, al igual que la lista de ingredientes que figura en las etiquetas nutricionales, los SBOM aportan transparencia a «cajas negras» tradicionalmente opacas. Al realizar auditorías de seguridad frecuentes, las empresas pueden identificar y abordar las vulnerabilidades de forma proactiva, obligando a los proveedores a responder con mayor rapidez y empujando a la industria a ser más responsable.
La disponibilidad de SBOM y el historial de respuesta de seguridad de un proveedor se convertirán en factores decisivos cada vez más importantes en su capacidad para hacer frente a los ciberataques. Synology, por ejemplo, ofrece SBOM en formatos CycloneDX y SPDX para sus clientes empresariales. Combinado con una respuesta rápida para hacer frente a cualquier día cero o vulnerabilidad crítica, Synology establece un alto estándar para mantener y asegurar sus soluciones de gestión y protección de datos.
Para los profesionales de TI y los responsables de la toma de decisiones, es imperativo dar prioridad a la seguridad de la oferta en todos los sistemas. Es crucial asegurarse de que los proveedores son transparentes sobre el software y los servicios que utilizan y se comprometen a realizar auditorías de seguridad periódicas. Mientras el panorama de la ciberseguridad sigue su rumbo, a veces es mejor dejarse llevar por el pánico y prepararse ahora.