En un entorno tecnológico cada vez más complejo, es evidente que existen múltiples relaciones entre organizaciones, que se prestan servicios o se suministran bienes entre ellas a cambio de determinadas contraprestaciones. En ese escenario, se pueden producir incidentes de ciberseguridad potencialmente desastrosos si alguno de los eslabones de esa cadena de suministros se ve comprometido. De ahí la importancia de la identificación y protección de todos los componentes de dicha cadena.
Hasta hace bien poco, los ejércitos movilizados se aprovisionaban mediante el pillaje en territorio enemigo, ya que no disponían de un mecanismo que suministrase víveres y demás pertrechos de forma continuada y ‘just in time’. Napoleón perdió su guerra en Rusia a principios del s. XIX (por el frío y) porque el ejercito imperial ruso no dejó ni una brizna de grano sin quemar en su retirada hacia Moscú, debilitando al ejército francés por inanición hasta que tuvo que retirarse con pérdidas enormes. De ésa y de otras campañas han aprendido los ejércitos modernos sobre la importancia de proteger sus vías de aprovisionamiento, y también a atacar o inutilizar las de sus enemigos, como una parte importante de sus estrategias de victoria.
En el entorno tecnológico y de ciberseguridad, cada vez son más las analogías que hacemos entre los enfrentamientos armados del Mundo RealTM y el ciberespacio. Usamos continuamente en el argot de la ciberseguridad palabras como ‘amenaza’, ‘ataque’, ‘actor hostil’, ‘defensa’, ‘cortafuegos’, etc. Y en esto del aprovisionamiento ha cobrado cierta importancia en los últimos tiempo la necesaria protección de la cadena de suministros tecnológicos. Ello es debido a que cualquier organización digitalizada hace uso de múltiples elementos que no ha construido ella misma, por razones obvia, por lo que ha recurrido a proveedores de bienes y servicios, tales como el acceso a Internet, sus proveedores de recursos en la nube, el fabricante de sus ordenadores, equipos de red o dispositivos móviles, etc.
Si son aún demasiado pocas las organizaciones que prestan una atención seria a la ciberseguridad, son aún menos las que prestan algo de atención precisamente a esa cadena de suministradores que permiten que su actividad se desarrolle con normalidad en el entorno digital[1]. Porque, ¿cuál sería el impacto de que un actor hostil incluyese algún tipo de malware o funcionalidad maliciosa en los equipos de red de una determinada organización? Las posibilidades que ofrecería ese escenario para dicho actor hostil son, a priori, muy atractivas. El equipamiento afectado podría funcionar aparentemente bien, pero estar capturando de forma transparente el tráfico de la red y enviándolo a un sistema externo. O simplemente, apagarse de forma destructiva ante una señal enviada por el actor malicioso, bloqueando las operaciones de la organización atacada.
O ¿qué pasa cuando nuestro proveedor cloud o de telecomunicaciones[2] es atacado y deja de prestar servicios con normalidad? De nuevo, la continuidad de nuestra organización se puede ver seriamente afectada. Sin embargo, es moneda corriente no considerar estos riesgos en las organizaciones, con el mantra de “es más fácil que me ‘tumben’ a mi el sistema que a [proveedor- cloud-de-referencia]”. Mantra en el que hay un factor que se suele obviar: no hay ni el mismo interés ni el mismo número de agentes hostiles tratando de comprometer a los grandes proveedores de servicios que a una organización de tamaño pequeño o mediano, precisamente porque el impacto/beneficio obtenido en caso de un ataque exitoso es enorme. Además, esas empresas también tienen, a su vez, una extensa red de suministradores que deben mantener una elevada exigencia de ciberseguridad para que el gran proveedor cloud pueda ofrecer ese mismo nivel de seguridad a sus clientes. En este aspecto, se manifiesta una vez más aquello de que “una cadena es tan fuerte como su eslabón más débil”.
De estas situaciones tenemos múltiples y recientes ejemplos, en las que no se ataca directamente a la organización objetivo, sino a uno de sus proveedores, ‘envenenando’ la cadena de suministros:
- Infectar con un ransomware a una miríada de empresas no tecnológicas a través de su proveedor de servicios TIC, que mantiene levantadas conexiones de VPN con ellas para prestarle sus servicios.
- Manipular maliciosamente un elemento software de uso corriente en otros productos software para disponer de un canal de acceso oculto a los sistemas de organizaciones que usen cualquiera de esos productos[3].
- Infectar los DNS de nuestro proveedor de acceso a Internet, redirigiendo todo el tráfico de sus clientes a través de sistemas donde dicho tráfico se analice para robar información bancaria, de contraseñas, o secretos industriales.
- Etc.
Por esa razón, es necesaria una adecuada protección de la cadena de suministro TIC de nuestras organizaciones. En las Administraciones Públicas españolas, el nuevo Esquema Nacional de Seguridad (aprobado en mayo de 2022) por fin cita la protección de la cadena de suministros explícitamente como una medida de protección. Dicha protección pasa por acometer acciones tendentes a reducir riesgos en dicha cadena, para lo cual se recomienda, al menos:
- Acortar y reducir la cadena de suministros, simplificando las relaciones externas de nuestra organización[4].
- Identificar/inventariar los elementos de nuestro entorno TIC y todos los componentes de los que depende o con los que está construido, de manera que sea más fácil identificar si una determinada vulnerabilidad nos afecta o no.
- Contratar con empresas que, a su vez, demuestren su compromiso con la protección de su cadena de suministro, y que apliquen políticas como las recomendadas.
- Mantener una adecuada vigilancia sobre todos nuestros activos, aunque hayamos delegado su gestión en un tercero, usando a otro tercero si es necesario.
- Integrar la cadena de suministro en nuestro Sistema de Gestión de la Seguridad de la Información corporativo.
Si pensamos, en la defensa de nuestros sistemas de información, como piensan los mandos de un ejército competente, analizaremos los riesgos, planificaremos las respuestas y nos aseguraremos que la cadena de suministro sea un riesgo controlado y asumible. No hay más.
Doctor en Informática por la Universitat Politècnica de València y Master en Dirección TIC de la UPM-INAP, dispone de varias certificaciones internacionales en Operación, Gestión y Gobierno de TI, tales como ITIL, FITSM, PRINCE2 y COBIT. Escritor técnico, es profesor asociado en la Universitat de València, y actualmente coordina el servicio de TI de una organización pública
Debe estar conectado para enviar un comentario.