Read the rest of the post ' ¿Comprarías un cuadro por internet? '
Bienvenidos un mes más, queridos lectores, a este blog. Hoy me gustaría arrojar algo de luz sobre la reciente cadena de ataques que han sufrido empresas españolas de primer nivel (os dejo enlace aquí por si no sabéis de lo que os estoy hablando) y porqué este tipo de ataques serán cada vez más frecuentes, en mi opinión. Esto se debe a que los cibercriminales, en lugar de atacar a las empresas de manera individual, están poniendo su mirada en los proveedores de servicios que prestan servicios a casi todas las empresas. Pensemos en herramientas que usemos en casi todas las empresas: aplicativos como SAP, la suite de productividad de Office, aplicaciones de videollamadas como Zoom, software de gestión de proyectos como Jira, etc. Esta estrategia, como lo demuestran casos recientes como el ataque a Snowflake, permite a los delincuentes obtener un mayor impacto y difusión con un solo golpe.
Históricamente, los cibercriminales han apuntado a empresas específicas para robar datos sensibles, extorsionar dinero o interrumpir operaciones. Básicamente, había que tener claro lo que se pretendía conseguir (datos de contacto como emails o teléfonos, información más sensible de tipo bancario, datos de salud, etc.) y, en base a eso, seleccionar las empresas más apropiadas (telecomunicaciones, banca, seguros, clínicas y hospitales, etc.) y preparar los ataques. Sin embargo, esta estrategia tiene sus limitaciones. Los ataques individuales requieren una cantidad significativa de recursos y tiempo, y el impacto se limita a la empresa afectada. Sin embargo, los proveedores de servicios como los mencionados arriba, suelen tener acceso a los sistemas y datos de múltiples clientes, lo que los convierte en objetivos mucho más lucrativos.
Atacar a un proveedor de servicios puede tener un efecto dominó devastador. Una sola brecha de seguridad puede comprometer la información de múltiples empresas, amplificando el impacto del ataque. Este enfoque no solo maximiza el retorno de inversión para los cibercriminales, sino que también aumenta las probabilidades de éxito, ya que los proveedores, a menudo, tienen acceso a sistemas críticos y a datos altamente sensibles.
Esto es especialmente relevante si tenemos en cuenta que, además, las aplicaciones de estos proveedores suelen jugar un papel bastante crítico en los procesos de las empresas, por lo que el ataque no solo provoca fuga masiva de datos, sino que, seguramente, también conduce a una paralización o ralentización de la operativa de negocio.
Por otro lado, al ser sistemas tan integrados en los procesos de la empresa, también cuentan con un alto grado de confianza, por lo que se les conceden permisos, excepciones y todo tipo de conexiones requeridas, sin atender tanto a los criterios de seguridad como con otros proveedores o aplicativos.
El caso reciente que abría esta pieza es el ataque a Snowflake, una plataforma de datos en la nube que ofrece servicios a una amplia gama de empresas en diversos sectores. Los cibercriminales lograron infiltrarse en el sistema de Snowflake, obteniendo acceso a datos confidenciales de múltiples clientes, entre ellos entidades de la talla de Banco Santander o Ticketmaster. Está por ver si guarda también relación con los recientes ataques de Telefónica, Iberdrola y Decathlon. Este ataque no solo expuso información sensible, sino que también demostró la eficacia de apuntar a proveedores en lugar de empresas individuales.
El ataque a Snowflake tuvo repercusiones de lo más significativas: las empresas afectadas se vieron obligadas a desviar recursos en investigar el alcance del ataque, notificar a los clientes afectados y reforzar sus propias medidas de seguridad. Mientras tanto, los cibercriminales obtuvieron una cantidad masiva de datos valiosos con un solo ataque, destacando la eficiencia y el poder de esta estrategia.
Como esto será una amenaza creciente, en mi opinión, es crucial que las empresas tomen medidas proactivas para protegerse. Como empresas pequeñas o medianas, es muy limitado lo que podemos hacer, tanto por recursos propios (tiempo y esfuerzo) como por poder de negociación (no vamos a evaluar lo robusto que es el sistema de seguridad de gigantes como Microsoft o SAP). Sin embargo, sí podemos tomar medidas proactivas por nuestro lado:
- Contratos y Acuerdos de Nivel de Servicio (SLA): leer bien los acuerdos contractuales que se han desplegado, las cláusulas de seguridad y notificación que se acuerdan con el proveedor, los procesos de sanción o incumplimiento en caso de brecha de datos o ciberataque y asegurar su cumplimiento en el momento de la crisis.
- Planes de Respuesta a Incidentes: desarrollar, o al menos pensar, por el lado de la empresa, los pasos a dar en caso de un ciberataque a ese proveedor. Cuestiones como si se puede desconectar la aplicación o servicio afectado de manera temporal, si hay formas alternativas de trabajar durante ese tiempo, cómo revisar que, cuando el proveedor nos diga que todo ha vuelto a la normalidad, efectivamente sucede así, etc. Importante en este punto, reconocer que, aunque el proveedor sea el que sufre el incidente, seguramente seamos nosotros los que tengamos que notificar a nuestros clientes.
- Controles de seguridad en las aplicaciones: revisar las medidas de seguridad que ofrecen los aplicativos más clave de nuestra empresa para activar y hacer uso de todas las posibles (métodos como el doble factor de autenticación, la configuración de alertas propias, etc.).
En el panorama actual de la ciberseguridad, los proveedores de servicios se han convertido en objetivos atractivos para los cibercriminales. El ataque a Snowflake es un claro recordatorio de los riesgos que enfrentan las empresas en un mundo tan interconectado y tan dependiente de proveedores hiperespecializados. Como empresas, no podemos permitirnos el lujo de atar ciegamente nuestra ciberseguridad a la de nuestros proveedores.
Espero que el artículo os haya resultado de utilidad para entender mejor la actualidad.
¡Nos vemos el mes que viene!