Ataque a cadena de suministro

Un ataque a la cadena de suministro (en inglés supply chain attack), también llamado ataque de cadena de valor o ataque de terceros,^[1]​ consiste en comprometer proveedores digitales de servicios externos (proveedores de servicios de internet, proveedores de telecomunicaciones, proveedores de software, proveedores de servicios externos, proveedores de hardware,...) como instrumento para infiltrarse desde allí en una organización objetivo. El asegurarse de que los proveedores de servicios externos son confiables es extremadamente difícil. La indirección dificulta la identificación del atacante.^[2]​ Este tipo de ataques tienen gran potencial debido a que un proveedor puede dar servicio a muchos clientes, los cuales a su vez pueden ser proveedores de otros. De esta forma, en una sola operación puede infectar todos los clientes .^[3]​

Tipos

Las formas más habituales de realizar ataques a la cadena de suministro son:

• Malware preinstalado en dispositivos (cámaras, USB, teléfonos, etc.)^[4]​
• Software que sirve de base para la creación de otro software infectado.^[5]​ Por ejemplo, en 2019 se detectó que había tres bibliotecas Python maliciosas en el Índice de Paquete Python oficial (PyPI). Contenían una puerta trasera oculta que se activaría cuando las bibliotecas se instalaran en sistemas Linux.^[6]​ En 2019 se detectó que el compilador Microsoft Visual Studio que estaban usando tres compañías de videojuegos instalaba puertas traseras.^[7]​^[8]​
• Código malintencionado firmado digitalmente usando claves privadas del proveedor del servicio.^[5]​
• Código especializado comprometido usado en firmware o hardware.^[5]​
• Ataques que explotan puertas traseras en hardware y software.^[2]​
• Código malicioso dentro de programa instalador o actualizador. Esto da al atacante el beneficio inmediato de tener privilegios elevados en la máquina.^[9]​ El ejemplo más famoso de este tipo de ataque fue el ataque NotPetya en 2017 en el que un grupo de hackers rusos secuestró actualizaciones de un software de contabilidad ucraniano que descargaba un gusano destructivo y causó un daño récord de 10.000 millones de dólares a empresas de todo el mundo.^[3]​ Otro ejemplo fue la infección de decenas de miles de ordenadores ASUS con un malware introducido a través del software de actualización de software de la marca.^[10]​
• Atacantes recrean la infraestructura de proveedor en un servidor réplica que los atacantes controlan.^[9]​

Referencias

1. Ataques a la cadena de suministro: cuidado con los proveedores externos. Maria Kolorov. computerworld.es- 9 de abril de 2019
2. Offensive cyber-programmes.An ideal business model for states Archivado el 23 de marzo de 2020 en Wayback Machine.. General Intelligence and Security Service aivd.nl. Febrero de 2020
3. Una pandilla de hackers misteriosos está en una ola de hacking de cadena de suministro. Revistra strategic. febrero de 2019
4. Ataques de cadena de suministro. microsoft.com. 6 de marzo de 2020
5. Newsletter January 2020. National Critical Information Infrastructure Protection Centre. Enero de 2020
6. Un nuevo campo de juego para la ciberdelincuencia: Por qué la seguridad de la cadena de suministro debe cubrir el desarrollo de software. trendmicro.es. 5 de noviembre de 2019
7. A Mysterious Hacker Group Is On a Supply Chain Hijacking Spree. Andy Greenberg. wired.com. 5 de marzo de 2019
8. 4 Biggest Cybersecurity Crises of 2019 to Date. Sofia Peterson. thehackpost.com. 5 de septiembre de 2019
9. Attack inception: Compromised supply chain within a supply chain poses new risks. Microsoft Defender ATP Research Team. 26 de julio de 2018
10. Miles de computadores ASUS fueron contraminados con un 'malware'. latercera.com. 26 de marzo de 2019