Marta Beltrán, Universidad Rey Juan Carlos
Estos dos últimos años casi todos los usuarios nos hemos acostumbrado al término ransomware en el campo de la seguridad informática. Gracias a ataques como Wannacry, quien más quien menos sabe que se trata de un software malicioso que preocupa mucho en la actualidad porque cuando infecta un equipo cifra todos los datos almacenados en su disco duro y pide un rescate económico a cambio de devolverlos a su estado original.
Últimamente, en los casos en los que encuentran datos sensibles en los discos duros que cifran, los atacantes también suelen pedir dinero a cambio de no hacer públicos estos datos. Resumiendo, un chantaje en toda regla.
Se trata de una de las principales amenazas a la seguridad informática hoy en día. Se habla de ella en los medios de comunicación muy a menudo y, aunque sigue teniendo éxito en muchos casos, sabemos (por lo menos en teoría) cómo debemos protegernos de ella.
Sin embargo, hay otro tipo de amenaza que está demostrando ser, como mínimo, igual de preocupante y de la que el público general conoce muchos menos detalles.
Ataques a la cadena de suministro
Lo primero que debemos saber es que la tecnología actual es muy compleja. Para que los usuarios finales podamos disfrutar de un producto o servicio es necesario que un gran número de proveedores, integradores, fabricantes y distribuidores colaboren en una red de relaciones que, como consumidores finales, casi siempre desconocemos.
¿Sabemos quién ha diseñado, fabricado, ensamblado, etc. cada pieza de nuestro portátil? ¿De nuestro teléfono móvil? ¿De nuestro coche conectado? ¿Del programa que utilizamos para teletrabajar? Normalmente conocemos sólo la marca, pero no todos los terceros o partes que han hecho falta para que podamos usar esa tecnología.
Toda esta red de compañías necesarias para que podamos utilizar un hardware o software es lo que conocemos como cadena de suministro. Estas cadenas se basan en las relaciones comerciales entre los diferentes elementos que las componen, cada uno tiene su modelo de negocio y hace dinero con una actividad diferente.
Estas cadenas también se basan en relaciones de confianza: confianza en que se cumplirán los estándares de calidad comprometidos, los plazos estipulados, y en general, confianza en que se tiene intención de proporcionar al cliente final un buen producto o servicio.
Pero ¿qué ocurre si uno de los elementos de la cadena es malicioso, es decir, se comporta de manera ilícita? Puede serlo desde el principio o haber sido comprometido por un atacante externo sin saberlo.
Con un ciberataque a la cadena de suministro podemos comprometer la seguridad del cliente final haciendo que use un producto o servicio con vulnerabilidades que están provocadas, con toda la intención, por uno de los elementos de dicha cadena.
Algunos ejemplos
Target es una cadena de grandes almacenes estadounidense. Hace unos años, los terminales punto de venta que se usaban en sus tiendas para pagar con tarjeta se infectaron masivamente con un malware que robaba los datos de las tarjetas de sus clientes.
Cuando investigaron el incidente, se dieron cuenta de que los ciberdelincuentes habían ganado acceso a su red a través de un tercero, una empresa que les hacía el mantenimiento de sus sistemas de aire acondicionado.
Es típico que cuando los cibercriminales planean un ataque siempre busquen el punto más débil, el que les requiere menos esfuerzo: los sistemas de seguridad de las tiendas de Target eran complicados de vulnerar, pero los de algunos proveedores con los que trabajaban, no tanto. Así que los atacantes usaron un atajo para ahorrarse tiempo y esfuerzo.
En 2018 se localizó en las placas base de SuperMicro (un fabricante de tecnología estadounidense) un chip de un tamaño insignificante que no tendría por qué estar ahí, ya que no se encontraba en el diseño original de la placa. Hay que tener en cuenta que la mayor parte de los fabricantes de hardware, aunque sean estadounidenses o europeos, en realidad sólo suelen diseñar. Fabrican, casi siempre, en Asia (en la mayor parte de los casos en China).
Aunque no se pudo llegar a demostrar nada (algo muy habitual en este tipo de ataques), muchos medios de comunicación hablaron de un dispositivo para espiar, ya que muchas grandes empresas compraban sus placas a SuperMicro para montar sus centros de datos (Amazon, Apple, etc.).
A partir de ese momento, se receló en muchos países de la tecnología fabricada en China, y se comenzó una campaña para no incluirla en los despliegues de las futuras redes 5G.
Como decíamos al principio, la confianza es esencial en las cadenas de suministro: si hay sospechas de que uno de los elementos está controlado por un estado que lo utiliza para conseguir sus objetivos (por ejemplo, el espionaje) o de que puede ser atacado fácilmente para que lo haga sin ser consciente de ello, la cadena de suministro se rompe por falta de confianza. Hemos sido testigos de ejemplos recientes en la carrera por la vacuna para la covid-19.
Y ¿por qué hablamos de esto justo ahora?
El tema está de actualidad porque, enterradas entre las noticias sobre la covid-19 y el temporal de frío y nieve, este último mes han surgido noticias preocupantes sobre un ataque a la cadena de suministro cuyos impactos, masivos, todavía se están analizando.
Una empresa denominada SolarWinds comercializa un producto, la plataforma Orion, que utilizan muchas administraciones y empresas para monitorizar sus redes informáticas. Parece ser que alguien consiguió vulnerar la seguridad de SolarWinds y crear una versión de Orion infectada con un malware, Sunburst.
Alrededor de 18 000 clientes de SolarWinds en todo el mundo (España incluida) se descargaron esta versión del software infectada. No sospechaban (porque la descargaban de los servidores oficiales de SolarWinds, su proveedor, en el que confiaban) que a partir de ese momento sus infraestructuras quedaban comprometidas y alguien iba a estar espiando sus correos, sus redes, sus discos.
Entre las víctimas de este ataque están varias agencias gubernamentales estadounidenses, como el Departamento de Justicia o el de Energía, grandes empresas tecnológicas, como Microsoft, o grandes compañías del sector de la ciberseguridad, como FireEye. A esta última le robaron sus propias herramientas de seguridad y, probablemente, informes e inteligencia con información muy sensible.
Si, como se parece ser, los atacantes llegaron al código fuente (el corazón informático) de alguno de los productos de Microsoft, ¿quién nos garantiza que no continuaron con su ataque a la cadena de suministro incluyendo algún tipo de software malicioso en las actualizaciones que todos nos hemos descargado para Windows, por ejemplo?
Afortunadamente, parece que esta opción está descartada en estos momentos, pero los impactos podrían haber sido todavía mayores.
En estos momentos todavía se está investigando sobre el origen de este ataque (parece que en 2019), quién está detrás (desde el principio se ha atribuido a un grupo ruso), sus causas y sus impactos reales. Queda mucho por descubrir.
¿Podemos hacer algo para protegernos?
Este tipo de ciberataques son cada vez más frecuentes y permiten a sus perpetradores conseguir diferentes tipos de objetivos, todos ellos con un gran impacto sobre sus víctimas. Todos los elementos de una cadena de suministro tienen que colaborar para evitar estos ataques, es su responsabilidad.
Cada uno de los eslabones tiene que proteger sus infraestructuras adecuadamente para no ser el más débil de la cadena y también tiene que auditar a los demás, comprobar que hacen su parte del trabajo. Comprobarlo en profundidad y continuamente, no con burocracia para cubrir el expediente. La confianza hay que ganarla. Ello requiere que cada empresa comparta información sobre sus vulnerabilidades y sobre las amenazas que conocen.
Como usuarios de tecnología en una economía tan globalizada, como consumidores, tenemos que saber que cuando un ataque a la cadena de suministro está bien construido es difícil que lo podamos evitar. Pero debemos exigir a nuestros proveedores transparencia (obligada por norma si es necesario), cuanta más información tengamos sobre las cadenas de suministro, mejores y más razonadas decisiones de compra podremos tomar.
Además, nos tenemos que centrar en la detección: si alguien está intentado robar nuestros datos, no podemos estar un año sin enterarnos; debemos monitorizarlos para detectarlo rápidamente y poner los medios para remediarlo.
Marta Beltrán, profesora y coordinadora del Grado en Ingeniería de la Ciberseguridad, Universidad Rey Juan Carlos
Este artículo fue publicado originalmente en The Conversation. Lea el original.
Lea también en Cambio16.com: