¿Qué son los ataques a la cadena de suministro?
Tanto si nuestra actividad principal es de prestación de servicios, como si es industrial, cada vez son más habituales los ciberataques derivados de nuestros Proveedores. Desde 2021 ha habido un aumento del 300% en este tipo de ciberataques y, de hecho, se prevé que en 2025, el 45% de los ataques que sufran las empresas, sean por ciberataques a sus proveedores.
¿Cómo se llevan a cabo este tipo de ataques?
Como os hemos venido explicando, los ciberdelincuentes utilizan distintos métodos para atacar a empresas de todos los sectores, tamaños y actividades. Una vez que consiguen información, especialmente relacionado con clientes de esa empresa, intentan ampliar su alcance y atacar también a esos clientes. Especialmente si se trata de otras empresas o entidades que puedan ser de su interés.
En función del servicio o producto que nos esté prestando nuestro Proveedor, los ciberataques derivados de la cadena de suministro nos pueden afectar de la siguiente forma:
- Si utilizamos tecnologías o servicios compartidos con nuestro Proveedor: El ataque en este caso sería casi inmediato por medios informáticos y nos veríamos afectados al mismo tiempo que nuestro Proveedor, por el simple hecho de estar interconectados los sistemas. Ejemplo: Un ciberataque sufrido por Microsoft que afecte a nuestro correo electrónico corporativo o también un ciberataque a un colaborador externo, que acceda a nuestras plataformas para prestar sus servicios o darnos soporte de mantenimiento técnico en remoto en caso de que seamos empresa industrial.
- Si atacan operativamente a nuestro Proveedor: Esto puede provocar cortes de suministros básicos esenciales para nuestra actividad (luz, agua, gas, electricidad y telecomunicaciones).
- Por medio de comunicaciones fraudulentas suplantando la identidad del proveedor de confianza: Estas comunicaciones, como hemos explicado en otras ocasiones, pueden recibirse por correo electrónico, llamada telefónica o mensajes cortos (ejemplo, SMS, Whatsapp, TEAMS, Skype, Redes sociales o cualesquiera otros chat de plataformas).
¿Cómo podemos detectarlos y afrontarlos en nuestra empresa o entidad?
Aplicando una cultura de confianza cero (Zero Trust):
- A nivel empresa o entidad (pública o privada), elegir adecuadamente a nuestros proveedores, suministradores y prestadores de servicios, productos y tecnologías. Es importante que tengan un mismo nivel de compromiso con la seguridad, que el exigido a nivel interno en nuestra Organización.
- A nivel de suministros básicos, debemos valorar si es necesario contar con más de un Proveedor o con sistemas alternativos o de respaldo (por ejemplo, un SAI – generador de electricidad), especialmente en aquellas actividades que no puedan verse paralizadas por un corte en los suministros. Ejemplo: Entidades que son consideradas infraestructuras críticas y prestan servicio a la ciudadanía (hospitales, aeropuertos, plantas potabilizadoras de agua, etc.) y cualesquiera empresas cuya actividad, ya sea industrial, ya sea de servicios, no pueda verse interrumpida, dado que esto causaría graves pérdidas económicas y de producto, o se verían afectadas un gran número de personas.
- A nivel técnico, implica utilizar dobles factores de conexión de los Usuarios a los sistemas, configurar mínimos privilegios de gestión para limitar el daño que se pueda ocasionar y monitorizar los sistemas informáticos para detectar cualquier anomalía a tiempo. Estas anomalías las podemos detectar, en ocasiones, los Usuarios directos de esos sistemas. Como sucede cuando no podemos hacer uso de una tecnología (correo, aplicación, web, etc.) o en empresas de actividad industrial con respecto a anomalías en las cadenas de producción.
- A nivel Usuario, desconfiar de primeras de cualquier comunicación que sea de carácter urgente, exigente o inusual y, especialmente, de aquellas comunicaciones que pretendan cambiar modalidades de pago de facturas. Siempre que un Proveedor nos solicite un cambio de número de cuenta para la realización de de próximos pagos, debemos omitir esa comunicación, contactar con el remitente por otros medios (correo, teléfono o contacto oficial) y requerir un justificante de titularidad bancaria.
NOTA IMPORTANTE: Si aún cumpliendo todas estas medidas, te encuentras con situaciones que no se ajustan al nivel de seguridad requerido o establecido en políticas internas, no dudes en comunicárselo a tu responsable directo, al Responsable de Seguridad CISO y al departamento de IT, para que puedan aconsejarte adecuadamente. Y aunque estas recomendaciones se dirijan a nivel empresa o entidad, debemos ser conscientes de que también a nivel particular o doméstico podríamos llegar a ser víctimas de un ciberataque a nuestros suministradores, por ello y en tal caso debemos denunciar el incidente ante la autoridad policial.
