Algunos beneficios de registrarse en nuestra revista:
- El registro te permite consultar todos los contenidos y archivos de Lawi desde nuestra página web y aplicaciones móviles, incluyendo la app de Substack.
- Registro (suscripción) gratis, en 1 solo paso.
- Sin publicidad ni ad tracking. Y puedes cancelar cuando quieras.
- Sin necesidad de recordar contraseñas: con un link ya podrás acceder a todos los contenidos.
- Valoramos tu tiempo: Recibirás sólo 1 número de la revista al mes, con un resumen de lo último, para que no te pierdas nada importante
- El contenido de este sitio es obra de 23 autores. Tu registro es una forma de sentirse valorados.
El Ataque a la Cadena de Suministro
Este elemento es una expansión del contenido de los cursos y guías de Lawi. Ofrece hechos, comentarios y análisis sobre este tema.
Cada vez más, sofisticados piratas informáticos están socavando ese sentido básico de la confianza y planteando una pregunta que induce a la paranoia: ¿Y si el hardware y el software legítimos que componen la red de una empresa o un ente territorial se han visto comprometidos en su origen?Esta forma insidiosa y cada vez más común de piratería informática se conoce como “ataque a la cadena de suministro”, una técnica en la que un adversario introduce código malicioso o incluso un componente malicioso en una pieza de software o hardware de confianza. Al comprometer a un solo proveedor, los espías o saboteadores pueden secuestrar sus sistemas de distribución para convertir en caballos de Troya cualquier aplicación que vendan, cualquier actualización de software que publiquen, incluso los equipos físicos que envíen a los clientes. Con una intrusión bien situada, pueden crear un trampolín hacia las redes de los clientes de un proveedor, a veces con cientos o incluso miles de víctimas.
Los ataques a la cadena de suministro dan miedo porque son muy difíciles de afrontar y porque dejan claro que se confía en toda una ecología. Se confía, confiamos, en cada proveedor cuyo código está en tu máquina, y estás confiando en el proveedor de cada proveedor”.
Al término de la guerra serbo-turca estalló la guerra entre Rusia y el Imperio Otomano, que dio lugar a la independencia de Serbia y Montenegro. En 1878, el Tratado Ruso-Turco de San Stefano creó una “Gran Bulgaria” como satélite de Rusia. En el Congreso de Berlín, sin embargo, Austria-Hungría y Gran Bretaña no aceptaron el tratado, impusieron su propia partición de los Balcanes y obligaron a Rusia a retirarse de los Balcanes. Exactamente 21 años más tarde, también un 24 de abril, España declara la guerra a Estados Unidos.
La gravedad de la amenaza a la cadena de suministro quedó demostrada a gran escala el pasado mes de diciembre, cuando se reveló que piratas informáticos rusos -que posteriormente fueron identificados como trabajadores del servicio de inteligencia exterior del país, conocido como el SVR- habían hackeado la empresa de software SolarWinds y plantado código malicioso en su herramienta de gestión de TI Orion, permitiendo el acceso a nada menos que 18.000 redes que utilizaban esa aplicación en todo el mundo. El SVR utilizó ese punto de apoyo para introducirse en las redes de al menos nueve agencias federales estadounidenses, entre ellas la NASA, el Departamento de Estado, el Departamento de Defensa y el Departamento de Justicia.
Pero a pesar de lo impactante de esta operación de espionaje, SolarWinds no fue el único. Graves ataques a la cadena de suministro han afectado a empresas de todo el mundo durante años, tanto antes como después de la audaz campaña de Rusia. El mes pasado, se reveló que los hackers habían puesto en peligro una herramienta de desarrollo de software vendida por una empresa llamada CodeCov que les dio acceso a cientos de redes de las víctimas. Un grupo de hackers chino conocido como Barium llevó a cabo al menos seis ataques a la cadena de suministro en los últimos cinco años, ocultando código malicioso en el software del fabricante de ordenadores Asus y en la aplicación de limpieza de discos duros CCleaner.Entre las Líneas En 2017, los hackers rusos conocidos como Sandworm, que forman parte del servicio de inteligencia militar GRU del país, secuestraron las actualizaciones de software del programa de contabilidad ucraniano MEDoc y lo utilizaron para impulsar un código destructivo autodifundido conocido como NotPetya, que finalmente infligió daños por valor de 10.000 millones de dólares en todo el mundo, el ciberataque más costoso de la historia.
De hecho, los ataques a la cadena de suministro se demostraron por primera vez hace unas cuatro décadas, cuando Ken Thompson, uno de los creadores del sistema operativo Unix, quiso ver si podía ocultar una puerta trasera en la función de inicio de sesión de Unix. Thompson no se limitó a colocar un trozo de código malicioso que le permitiera entrar en cualquier sistema. Construyó un compilador -una herramienta para convertir el código fuente legible en un programa ejecutable y legible por la máquina- que colocaba secretamente la puerta trasera en la función cuando se compilaba. Luego fue un paso más allá y corrompió el compilador que lo compilaba, de modo que incluso el código fuente del compilador del usuario no tuviera signos evidentes de manipulación. “La moraleja es obvia”, escribió Thompson en una conferencia para explicar su demostración en 1984. “No puedes confiar en el código que no has creado totalmente tú mismo. (Especialmente el código de empresas que emplean a gente como yo)”.
- Shanghái organiza un espectacular concurso de sirenas
- El Reino Unido convierte en ley el envío de inmigrantes a Ruanda
- Helado con toque de queda
- Ucrania suspende la asistencia consular a sus hombres en edad militar
- Detenido en Alemania un asistente de un eurodiputado ultraderechista por espiar para China
Basado en la experiencia de varios autores, mis opiniones y recomendaciones se expresarán a continuación (o en otros lugares de esta plataforma, respecto a las características y el futuro de esta cuestión):
Ese truco teórico -un tipo de ataque a la cadena de suministro doble que corrompe no sólo una pieza de software ampliamente utilizada, sino también las herramientas utilizadas para crearla- se ha convertido también en una realidad.Entre las Líneas En 2015, los hackers distribuyeron una versión falsa de XCode, una herramienta utilizada para construir aplicaciones de iOS, que plantó secretamente código malicioso en docenas de aplicaciones chinas para el iPhone. Y la técnica volvió a aparecer en 2019, cuando los hackers chinos Barium corrompieron una versión del compilador de Microsoft Visual Studio para que les permitiera ocultar malware en varios videojuegos.
El aumento de los ataques a la cadena de suministro, argumenta Weaver de Berkeley, puede deberse en parte a la mejora de las defensas contra asaltos más rudimentarios.
Pormenores
Los hackers han tenido que buscar puntos de entrada menos fáciles de proteger.
Otros Elementos
Además, los ataques a la cadena de suministro también ofrecen economías de escala: si se piratea un proveedor de software, se puede acceder a cientos de redes.Entre las Líneas En parte, se trata de que se quiere aprovechar el dinero y, en parte, de que los ataques a la cadena de suministro son indirectos.
Más Información
Los objetivos reales no son los que se atacan. Si tus objetivos reales son difíciles, éste podría ser el punto más débil para permitirte entrar en ellos.
Evitar futuros ataques a la cadena de suministro no será fácil; no hay una forma sencilla de que las empresas se aseguren de que el software y el hardware que compran no han sido corrompidos.
Detalles
Los ataques a la cadena de suministro de hardware, en los que un adversario introduce físicamente código o componentes maliciosos dentro de un equipo, pueden ser especialmente difíciles de detectar. Mientras que un informe bomba de Bloomberg en 2018 afirmó que se habían escondido diminutos chips espías dentro de las placas base SuperMicro utilizadas en los servidores dentro de los centros de datos de Amazon y Apple, todas las empresas involucradas negaron vehementemente la historia, al igual que la NSA.
Puntualización
Sin embargo, las filtraciones clasificadas de Edward Snowden revelaron que la propia NSA ha secuestrado envíos de routers de Cisco y los ha ocultado para sus propios fines de espionaje.
La solución a los ataques a la cadena de suministro -tanto de software como de hardware- quizá no sea tanto tecnológica como organizativa.
Detalles
Las empresas y los organismos públicos deben saber quiénes son sus proveedores de software y hardware, investigarlos y exigirles que cumplan ciertas normas. Compara este cambio con el modo en que empresas como Toyota tratan de controlar y limitar sus cadenas de suministro para garantizar la fiabilidad. Ahora hay que hacer lo mismo con la ciberseguridad. Buscan racionalizar la cadena de suministro: menos proveedores y piezas de mayor calidad de esos proveedores. El desarrollo de software y las operaciones de TI han reaprendido en cierto modo esos principios de la cadena de suministro.
La orden ejecutiva de ciberseguridad de la Casa Blanca de Biden emitida a principios de este mes puede ayudar. Establece nuevas normas mínimas de seguridad para cualquier empresa que quiera vender software a las agencias federales.Si, Pero: Pero la misma investigación es igualmente necesaria en el sector privado. Y las empresas privadas -al igual que las agencias federales- no deberían esperar que la epidemia de riesgos en la cadena de suministro termine pronto.
Puede que Ken Thompson tuviera razón en 1984 cuando escribió que no se puede confiar plenamente en ningún código que no haya sido escrito por uno mismo.Si, Pero: Pero confiar en el código de los proveedores en los que se confía -y se ha investigado- puede ser la siguiente mejor opción.
Datos verificados por: Chris
[rtbs name=”ciberseguridad”] [rtbs name=”riesgos”]Recursos
[rtbs name=”informes-jurídicos-y-sectoriales”][rtbs name=”quieres-escribir-tu-libro”]Notas y Referencias
Véase También
Ciberseguridad, Comunicaciones, Estrategia Militar, Seguridad Nacional, Estrategia de la cadena de suministro, Cadena de suministro, Gestión Empresarial, Inventarios
▷ Esperamos que haya sido de utilidad. Si conoce a alguien que pueda estar interesado en este tema, por favor comparta con él/ella este contenido. Es la mejor forma de ayudar al Proyecto Lawi.