Los servicios en la nube amenazan la seguridad de la cadena de suministro

Los ataques a la cadena de suministro y a través de ella ocupan un lugar destacado en la lista de ciberamenazas. Pero los riesgos de la nube son igualmente importantes, ya que los ataques a la cadena de suministro a menudo se aplican a los servicios en la nube o utilizan la nube como canal de distribución.

Según el nuevo informe de ENISA "Threat Landscape for Supply Chain Attacks", incluso una fuerte protección cibernética para la propia empresa ya no es suficiente si los atacantes ya han dirigido su atención a los proveedores. Esto es fácil de entender porque la autoprotección de una empresa no puede evitar los ataques a los proveedores, y las vulnerabilidades que estos traen consigo encuentran rápidamente su camino hacia la infraestructura de la empresa en cuestión gracias a la posición de confianza de los proveedores.

Qué hace que los ataques a la cadena de suministro sean tan peligrosos

El éxito de estos ataques a los proveedores se puede evidenciar en el tiempo de inactividad de los sistemas, las pérdidas financieras y el daño a la reputación de las empresas afectadas como clientes de los proveedores. Ahora se espera que los ataques a la cadena de suministro se cuadrupliquen en 2021 en comparación con el año anterior, según ENISA, la agencia de ciberseguridad de la UE. Por esta razón, es necesario establecer urgentemente nuevas salvaguardias para prevenir y responder a los posibles ataques a la cadena de suministro en el futuro, al tiempo que se mitiga su impacto.

Juhan Lepassaar, Director Ejecutivo de ENISA, dijo: "Debido al efecto en cascada de los ataques a la cadena de suministro, los actores de la amenaza pueden causar daños generalizados, afectando a las empresas y a sus clientes al mismo tiempo." Esta tendencia en los ciberataques afecta a la seguridad de la nube en múltiples ocasiones, por lo que los gestores de la misma deben preocuparse especialmente por los ataques a la cadena de suministro.

Se está abusando de la nube

La primera razón por la que la seguridad de la nube y la seguridad de la cadena de suministro deben verse juntas ya proviene de la definición de cadena de suministro: una cadena de suministro es la combinación del ecosistema de recursos necesarios para desarrollar, fabricar y distribuir un producto, dijo ENISA. En ciberseguridad, una cadena de suministro incluye el hardware y el software, la nube o el almacenamiento local y los mecanismos de distribución.

Así, la nube forma parte cada vez más de la cadena de suministro, ya que se sabe que el uso de los servicios en la nube ha seguido creciendo. Además, la nube es ideal y ampliamente utilizada para la distribución de servicios y software, pero con los servicios y las soluciones de software vienen las vulnerabilidades de los proveedores, que los atacantes explotan, poniendo en riesgo toda la nube.

Cómo puede ser la amenaza de la cadena de suministro en la nube en términos concretos lo muestra este informe, entre otros: El "Informe sobre la nube y las amenazas de Netskope" (julio de 2021) de Netskope Threat Labs identifica los crecientes riesgos de seguridad en la nube a través del despliegue de malware, los plugins de terceros y las cargas de trabajo en la nube expuestas. Un ejemplo: los plugins de aplicaciones de terceros suponen un grave riesgo para los datos. El 97% de los usuarios de Google Workspace han permitido que al menos una aplicación de terceros acceda a su cuenta de empresa de Google, exponiendo potencialmente los datos a terceros, por ejemplo, al permitirles "ver y gestionar los archivos de tu Google Drive".

Si el plugin de una aplicación en la nube es vulnerable a un ataque, esto puede afectar a todas las aplicaciones en la nube y a todos los datos en la nube accesibles a través de ellas.

Los servicios en la nube también sufren

ENISA también cita varios ejemplos en la nube en el último informe sobre ataques a la cadena de suministro. Esto no es sorprendente, ya que los servicios en la nube son populares, ampliamente utilizados y complejos de asegurar. El ataque a los servicios en la nube permite, por tanto, generar grandes daños, tanto para los proveedores de servicios en la nube como para los numerosos usuarios de la misma. La organización de seguridad cita ejemplos concretos de ello:

• En enero de 2021, se descubrió que los atacantes habían comprometido a Mimecast (a través del ataque de SolarWinds). Tras el compromiso, los atacantes accedieron a un certificado emitido por Mimecast utilizado por los clientes para acceder a los servicios de Microsoft 365, lo que les permitió interceptar las conexiones de red y conectarse a las cuentas de Microsoft 365 para robar información.

Verkada proporciona soluciones de supervisión de seguridad basadas en la nube. En marzo de 2021, un servidor de producción fue comprometido. Esto permitió a los atacantes que habían obtenido credenciales privilegiadas acceder a las cámaras de seguridad desplegadas en las instalaciones de los clientes.Fujitsu ProjectWEB es un software basado en la nube utilizado por las empresas para la colaboración en línea, la gestión de software y el intercambio de archivos. Esta herramienta es muy popular entre las agencias gubernamentales japonesas. En mayo de 2021, los atacantes obtuvieron acceso a datos del gobierno japonés después de que se explotaran las vulnerabilidades de las instalaciones de ProjectWEB.

Esto ilustra muy claramente cómo la nube puede contribuir inadvertidamente a la propagación de los ataques y cómo los servicios en la nube pueden ser atacados si se logra atacar a los proveedores de antemano. La seguridad en la nube es, por tanto, muy crucial para asegurar las cadenas de suministro y para defenderse de los ataques a la cadena de suministro.