CompuNetGroup - Blog CompunetGroup #Ciberataques

Ataques en la Cadena de Suministro: Una Amenaza Creciente en Ciberseguridad

Thu, 18 Jul 2024 12:55:45 -0400

Ataques en la Cadena de Suministro: Una Amenaza Creciente en Ciberseguridad

En el mundo interconectado de hoy, las organizaciones dependen en gran medida de una red compleja de proveedores, socios y servicios externos para mantener sus operaciones. Esta interdependencia ha abierto nuevas oportunidades para los cibercriminales, quienes explotan las vulnerabilidades en la cadena de suministro para llevar a cabo ataques devastadores. Los ataques en la cadena de suministro se han convertido en una preocupación crítica para la ciberseguridad, ya que pueden comprometer no solo a una empresa, sino a toda su red de socios y clientes.

¿Qué es un Ataque en la Cadena de Suministro?

Un ataque en la cadena de suministro ocurre cuando los cibercriminales aprovechan las vulnerabilidades en los proveedores de servicios, software o hardware para infiltrarse en una organización objetivo. Estos ataques pueden manifestarse de diversas maneras, incluyendo la inserción de código malicioso en software legítimo, la explotación de debilidades en componentes de hardware o el uso de credenciales comprometidas de proveedores para acceder a sistemas internos.

Ejemplos Notables de Ataques en la Cadena de Suministro

Ataque a Snowflake (2024): El 12 de julio de 2024, AT&T reveló que los datos de "casi todos" sus clientes inalámbricos se vieron comprometidos en una violación relacionada con el hackeo de Snowflake. Esta revelación, que se produce siete semanas después del anuncio inicial de Snowflake sobre el acceso no autorizado a ciertas cuentas de clientes.
Caso de Polyfill (2023): En 2023, más de 100.000 sitios web que utilizaban Polyfill.io, un popular servicio de CDN de JavaScript, se vieron comprometidos. Funnull, una empresa china, adquirió Polyfill.io y comenzó a distribuir código JavaScript malicioso que redirigía a los visitantes móviles a sitios fraudulentos. Google alertó a los anunciantes sobre el riesgo de scripts maliciosos en sus páginas de destino, mientras que Cloudflare y Fastly crearon réplicas seguras del servicio. Andrew Betts, desarrollador original de Polyfill, ya había advertido a los usuarios sobre los riesgos. Este incidente destaca la vulnerabilidad de la cadena de suministro y la importancia de la vigilancia continua en la seguridad cibernética.
3CX (2023): En marzo de 2023, la aplicación de telefonía de escritorio 3CXDesktopApp fue comprometida en un sofisticado ataque con probables vínculos con Corea del Norte y el grupo Lazarus. El código fuente de la aplicación fue comprometido, lo que permitió a los atacantes desplegar un ataque en varias fases. La versión maliciosa de la aplicación se distribuyó a los clientes, permitiendo el control remoto y la implantación de herramientas de robo de información. Aunque el ataque fue detectado a fines de marzo, el tráfico malicioso se había iniciado a principios de mes, exponiendo potencialmente a los usuarios a 30 días de riesgo de exfiltración de datos.

Métodos Comunes de Ataque

Compromiso de Software: Los atacantes insertan malware en actualizaciones de software legítimo, que luego se distribuyen a múltiples clientes.
Ataques a Proveedores de Servicios: Comprometiendo a proveedores de servicios gestionados (MSP) o servicios en la nube, los cibercriminales pueden acceder a los sistemas de múltiples clientes.
Componentes de Hardware Infectados: La inserción de componentes de hardware comprometidos en la cadena de suministro puede proporcionar a los atacantes acceso directo a los sistemas de una organización.
Phishing y Ataques de Ingeniería Social: Utilizando técnicas de phishing y otros métodos de ingeniería social, los atacantes pueden obtener credenciales y acceso a sistemas críticos a través de proveedores descuidados.

Impacto de los Ataques en la Cadena de Suministro

Los ataques en la cadena de suministro pueden tener consecuencias devastadoras, que incluyen:

Interrupciones Operativas: La alteración de software o hardware crítico puede paralizar las operaciones empresariales.
Robo de Datos: Los atacantes pueden acceder a datos sensibles, incluyendo información financiera, propiedad intelectual y datos de clientes.
Daño a la Reputación: Las brechas en la seguridad de la cadena de suministro pueden erosionar la confianza de clientes y socios.
Costos Financieros: Los costos de remediación, multas regulatorias y pérdidas de ingresos pueden ser significativos.

Estrategias de Defensa

Para mitigar los riesgos asociados con los ataques en la cadena de suministro, las organizaciones deben implementar una serie de estrategias defensivas:

Evaluaciones de Riesgo: Realizar evaluaciones de riesgo periódicas de proveedores y socios para identificar y mitigar vulnerabilidades potenciales.
Contratos y Acuerdos de Nivel de Servicio (SLA): Incluir cláusulas de seguridad robustas en los contratos y acuerdos con proveedores.
Monitoreo y Detección: Implementar soluciones de monitoreo continuo y detección de intrusiones para identificar actividades sospechosas.
Actualizaciones y Parches: Asegurarse de que todos los componentes de software y hardware se mantengan actualizados con los últimos parches de seguridad.
Auditorías y Evaluaciones: Realizar auditorías y evaluaciones regulares de los controles de seguridad de los proveedores.
Educación y Capacitación: Capacitar a empleados y proveedores sobre las mejores prácticas de seguridad y los riesgos de la cadena de suministro.
Auditoría de Proveedores: Implementar auditorías de proveedores como medida para asegurar que las políticas de seguridad sean aplicadas y estén en cumplimiento con las políticas corporativas.

Para finalizar solo queda mencionar que Los ataques en la cadena de suministro representan una amenaza significativa para la seguridad cibernética de las organizaciones modernas. Al adoptar un enfoque proactivo y colaborativo, las empresas pueden fortalecer sus defensas y reducir el riesgo de compromisos en la cadena de suministro.

En Compunet, somos especialistas en ciberseguridad y podemos ayudarte a proteger tu organización contra estos y otros tipos de amenazas. Contáctanos para obtener más información sobre cómo podemos mejorar la seguridad de tu cadena de suministro y otros aspectos críticos de tu infraestructura de TI.

Escrito por Alberto Sánchez, Líder en Ciberseguridad y Awareness

Get Started Now

Protección Contra Violaciones de Datos: Cómo los incidentes recientes nos afecta y qué medidas debemos tomar para mantener segura nuestra información en línea

Wed, 19 Jun 2024 10:59:23 -0400

Protecci´ón Contra Violaciones de Datos: Cómo los incidentes recientes nos afecta y qué medidas debemos tomar para mantener segura nuestra información en línea.

Hoy por hoy, las violaciones de datos se han convertido en una amenaza significativa para individuos y empresas. Estos incidentes implican la exposición no autorizada de información sensible, que puede tener consecuencias devastadoras para la reputación y estabilidad financiera de las organizaciones afectadas. La información generalmente expuesta en estas violaciones incluyen datos como:

Información personal identificable (PII)
Información de tarjetas de crédito, números de contactos, correos electrónicos.
Información confidencial de empresas (diseños industriales, propuestas económicas, negociaciones, planillas de sueldos, investigaciones, facturaciones, etc.)

¿Qué es una Violación de Datos?

Una violación de datos ocurre cuando información protegida se expone a personas no autorizadas. Esto puede incluir datos personales, financieros, de salud, entre otros. Las violaciones de datos pueden ser el resultado de ataques cibernéticos, errores humanos o vulnerabilidades en los sistemas de seguridad que los atacantes muchas veces explotan para extorsionar a los dueños de la información.

Ejemplos Recientes de Violaciones de Datos

Ticketmaster: En mayo de 2024, Ticketmaster sufrió una violación de datos significativa, comprometiendo información de aproximadamente 560 millones de usuarios. Los datos expuestos incluyeron nombres, direcciones, números de teléfono y detalles de transacciones de boletos. https://www.compunetgroup.net/blogs/post/Asi-hackearon-al-Banco-Santander-y-Ticketmaster
AMD: En junio de 2024, el grupo de extorsión cibernética RansomHouse afirmó haber robado datos de empleados y productos de AMD. La información comprometida incluye códigos fuente, firmware y datos financieros.
Zapping: En una presunta violación de datos, Zapping fue acusada de exponer información de más de 100,000 usuarios. Sin embargo, el CEO de Zapping aclaró que la filtración solo afectó datos durante la fase de lanzamiento en Perú y no incluyó información sensible como detalles de tarjetas de crédito.
Chile: En 2023, Chile experimentó un aumento significativo en ciberataques, posicionándose como el cuarto país de Latinoamérica más afectado (ENTEL). Este aumento se atribuye a un mayor uso de tecnología y una mayor sofisticación en los métodos de ataque, incluyendo ransomware y malware.
Santander: En mayo de este año el Banco Santander reportó un acceso no autorizado a una base de datos alojada por un proveedor externo, afectando a clientes en Chile, Uruguay y España. Aunque no se reportaron robos de fondos, el banco ha tomado medidas inmediatas para gestionar el incidente, como bloquear el acceso a la base y reforzar la prevención de fraudes. No se accedió a información transaccional ni credenciales de acceso a banca online según reportaron. (https://www.compunetgroup.net/blogs/post/Asi-hackearon-al-Banco-Santander-y-Ticketmaster)
APPLE: El día de ayer, 18 de Junio, IntelBroker (un actor de amenazas) informo en un Breach Forum que realizó una filtración de herramientas internas de Apple (AppleConnect-SSO, Apple-HWE-Confluence-Advanced, AppleMacroPlugin) https://x.com/DarkWebInformer/status/1803196314441920767 :

En un anterior artículo, nuestro Arquitecto de Ciberseguridad Giovanni Díaz, detalló como se logró la vulneración a los sistemas de Santander y TicketMaster: https://www.compunetgroup.net/blogs/post/Asi-hackearon-al-Banco-Santander-y-Ticketmaster en donde el principal vector de ataque fue rl robo de credenciales débilmente protegidas.

Existen técnicas como el doxing, que implica la recopilación y publicación de información personal sin consentimiento, y las técnicas de Open Source Intelligence (OSINT), pueden amplificar los efectos de una violación de datos. Los cibercriminales utilizan estas técnicas para reunir datos expuestos y atacar a las víctimas de manera más directa y personalizada. Esto no solo pone en riesgo la privacidad de los individuos, sino que también puede llevar a acoso, robo de identidad y daños reputacionales graves.

Mediante esta y otras técnicas, es posible “perfilar” a compañías y personas para realizar ataques “a la medida” de, por ejemplo, Phishing dirigidos y muchos otros, logrando muchas veces una gran efectividad.

Medidas de Protección para Empresas y Personas

Para mitigar estos riesgos, es crucial implementar estrategias de ciberseguridad robustas tanto para empresas como para individuos:

Para Empresas:

- Autenticación de Múltiples Factores (MFA): Añade una capa extra de seguridad al proceso de inicio de sesión, muchas filtraciones de datos tienen como vectores de origen el robo inicial de cuentas de usuarios que muchas veces se encuentran con débiles mecanismos de protección.

- Cifrado de Datos: Asegura que los datos sensibles estén protegidos incluso si son interceptados, generalmente mucho sistemas cifran “en tránsito” la información mediante SSL, pero muchas veces cuando los datos son procesados estos se almacenan de manera “plana” en bases de datos y documentos, permitiendo que quien tenga acceso a ellos pueda simplemente leerlos.

- Educación y Capacitación: Capacitar a empleados sobre prácticas seguras en línea y cómo identificar posibles amenazas, principalmente con programas de concientización.

- Monitoreo Continuo: Utilizar herramientas avanzadas para detectar y responder a amenazas en tiempo real, esto también permite detectar a tiempo el robo de identidades o cuentas de usuarios aunque utilicen múltiples factores de autenticación.

- Auditorías de Seguridad Regulares: Realizar revisiones periódicas de los sistemas de seguridad para identificar y corregir vulnerabilidades. Los ciber atacantes utilizan vulnerabilidades en los sistemas para realizar explotaciones, que finalizan en data breach, muchas de estas vulnerabilidades, si son gestionadas debidamente, pueden ser mitigadas y reparadas fácilmente.

- Políticas de Seguridad: Establecer y hacer cumplir políticas claras sobre el uso de dispositivos y el acceso a la información, principalmente, con énfasis en la segregación y control de los datos.

Para Individuos:

- Contraseñas Fuertes y Únicas: Utilizar contraseñas complejas y diferentes para cada cuenta.

- Autenticación de Múltiples Factores (MFA): Activar MFA en todas las cuentas que lo permitan.

- Actualización de Software: Mantener el software y los dispositivos actualizados con los últimos parches de seguridad.

- Precaución con Correos Electrónicos y Enlaces: Evitar hacer clic en enlaces o descargar archivos de fuentes no confiables.

- Leer y conocer las políticas de protección de información de las empresas que procesan su información. En Chile existe la ley LEY 19628 que establece los mecanismos y alcances sobre los cuales se deben aplicar mecanismos de seguridad y control para los datos personales.

Finalmente, la creciente frecuencia y sofisticación de los ciberataques subraya la importancia de estar siempre un paso adelante en términos de ciberseguridad. La protección de datos no es solo una cuestión de cumplimiento regulatorio, sino una necesidad para salvaguardar la integridad y la confianza en el entorno digital. En un mundo donde las violaciones de datos son cada vez más comunes, la preparación y la respuesta efectiva pueden marcar la diferencia entre una simple advertencia y un desastre cibernético.

Escrito por Rodrigo González, Director de Investigación y Desarrollo.