Los peligros cibernéticos en estas cadenas pueden manifestarse de diversas maneras, desde ransomware y robo de datos hasta ataques de denegación de servicio (DDoS) y fraude.
Las empresas, especialmente aquellas que dependen del suministro de software y servicios digitales, están expuestas a riesgos potenciales de interrupciones y compromisos de seguridad cibernética.
La importancia de proteger los eslabones críticos en la cadena de suministro frente a los fraudes cibernéticos ha sido destacada por ESET, que ha examinado los riesgos principales asociados a este ámbito y ha propuesto tácticas efectivas para evaluar y mitigar el peligro con los proveedores.
Al respecto, Josep Albors, director de investigación y concienciación de ESET España, ha recalcado que «los ciberdelincuentes también pueden dirigirse a los proveedores de servicios gestionados (MSP), ya que, al comprometer a una sola empresa de este tipo, podrían obtener acceso a un número significativo de negocios de clientes finales. De hecho, según una investigación reciente, el 90% de los MSP han experimentado algún tipo de ciberataque en los últimos 18 meses”
Cinco fraudes que amenazan a la cadena de suministro
ESET ha revelado que los ciberdelincuentes han atacado software propietario, infiltrándose en los desarrolladores y colocando malware en el código distribuido a los clientes. Ejemplos recientes incluyen el robo de datos de usuarios corporativos a través de la vulnerabilidad de día cero en el popular software de transferencia de archivos MOVEit y el compromiso del software de comunicación 3CX.
Asimismo, los ataques a cadenas de suministro de código abierto han aumentado un 633%, con ciberdelincuentes insertando malware en componentes distribuidos a través de repositorios populares. Estos ataques explotan vulnerabilidades en el código fuente abierto, como se vio con el error crítico descubierto en la herramienta Log4j.
Tal y como ha explicado ESET en el informe, los ciberdelincuentes también han utilizado la suplantación de proveedores para cometer fraudes, como en los ataques de Business Email Compromise (BEC), donde engañan a los clientes para realizar transferencias de dinero ilícitas. Además, el robo de credenciales es una táctica común para comprometer proveedores y clientes, como se vio en el caso de la cadena de tiendas Target en 2013.
Por último, ESET ha destacado la creciente preocupación que ha generado el robo de datos, especialmente en áreas sensibles como los bufetes de abogados, donde se manejan secretos corporativos. Los ciberdelincuentes buscan obtener información confidencial para extorsionar o cometer otros delitos. En este sentido, el informe ha hecho hincapié en el papel crucial que ocupa implementar medidas de seguridad robustas para proteger los eslabones críticos de la cadena de suministro.
