Tradicionalmente se ha explicado la ciberseguridad haciendo un paralelismo con una cadena de eslabones. Si uno de los eslabones es débil y se rompe, afecta a la totalidad de la cadena. “Toda cadena es tan fuerte como su eslabón más débil”, se suele decir. Pero, ¿cuál es el eslabón débil? Esta pregunta suele tener una respuesta inmediata, apuntando a los usuarios como los responsables de la gran mayoría de fallos de seguridad. Si bien esto se cumple en muchas ocasiones, la respuesta es en cualquier caso mucho más compleja, Y es que el verdadero reto es saber cuántas cadenas hay involucradas y cómo se relacionan entre sí. El reciente ataque a la cadena de suministro que ha afectado a cientos de organizaciones de todo el mundo es prueba de ello.
Esta cadena de suministro se compone de un conjunto de elementos que permiten que las empresas lleven a cabo el desarrollo de sus productos o servicios. Todas las organizaciones cuentan con una red de proveedores y dependen de ella. Cadenas que se basan en relaciones de confianza.
Hasta ahora, los principales aspectos valorados para establecer esa confianza por parte de las compañías contratantes se han basado en solicitar estándares de calidad, solvencia, cumplimiento de plazos… Y en definitiva, un buen producto o servicio. Pero valorar la ciberseguridad de esos proveedores como un aspecto innegociable no es aún (en muchos casos), uno de los requisitos solicitados. Pero, ¿qué ocurre si uno de los elementos de la cadena es comprometido?
Las más de 1.500 empresas de todo el mundo han sido afectadas por el ciberataque de ransomware a Kaseya conocen las secuelas. Esta compañía estadounidense de gestión de software TI que tiene más de 40.000 clientes a nivel global ha sido víctima de un ataque a la cadena de suministro en toda regla que ha puesto de referencia, más aún si cabe, la importancia de este tipo de ciberataques. Si bien no ha sido el primero ni será el último, se ha situado en el primer puesto en términos de consecuencias.
El incidente tuvo lugar el pasado 2 de julio pero la investigación y consecuencias de este caso aún se dejan notar. Tan solo hace unos días que la compañía lanzaba parches de seguridad que solucionan las vulnerabilidades que dejaron las puertas abiertas a los ciberdelincuentes. En esta ocasión, unos viejos conocidos que hacen uso del ransomware REvil que ha sufrido una gran cantidad de empresas hasta la fecha.
Los ataques a la cadena de suministro (supply chain attack) o ataques a la cadena de valor, consisten en comprometer proveedores externos como un medio a través del cual acceder a otras organizaciones. Robos, secuestros de información o introducción de código malicioso son los principales objetivos de este tipo de ataques informáticos.
Los atacantes buscan servidores o infraestructuras sin protección, accesos inseguros o vulnerabilidades en el software, como en el caso del software VSA de Kaseya afectado en el ciberataque.
Una vez que logran infectar o introducir código malicioso en el software del proveedor, los cibercriminales pueden establecer desde ahí su lanzadera desde la que acceder a información de terceros o lanzar otros ataques.
Estos ataques son verdaderamente peligrosos porque se aprovechan de la confianza depositada en esos proveedores desarrolladores del software, por lo que las víctimas subsidiarias pueden haber relajado sus medidas de seguridad, encomendándolas al proveedor. Por otro lado, un ataque a la cadena de suministro puede ser altamente escalable, masivo y global con un significativo número de posibles víctimas, como ha ocurrido en esta ocasión, afectando a miles de empresas de todo el mundo.
Por otro lado, hay que tener en cuenta que la tecnología y la propia cadena de suministro es cada vez más compleja, integrada por un gran número de fabricantes, desarrolladores, proveedores, integradores y distribuidores. Una cadena con cada día más eslabones y cada vez más dependientes unos de otros.
Esta modalidad de ataque no ha dejado de crecer y acaparar titulares durante los últimos años. Los motivos de este crecimiento son claros: la ya mencionada escalabilidad y por supuesto, la rentabilidad.
Si la seguridad es tan buena como el eslabón más débil, queda claro que en el caso de una cadena de suministro, esa pieza podría ser cualquiera. La gran pregunta está en saber si es algo sobre lo que verdaderamente se pueda tener un control.
Ataque a la cadena de suministro de Kaseya: qué ha trascendido
El software malicioso que ha afectado a Kaseya no es nuevo, ni mucho menos. El ransomware REvil está operado por un grupo cibercriminal especializado en este ciberataque. También conocido como Sodinokibi, es uno de los operadores de ransomware como servicio (RaaS) más prolíficos, que apareció por primera vez en el año 2019. Según la compañía de ciberseguridad Kaspersky, días después del ataque a Kaseya habían detectado más de 5.000 intentos de ataque de este mismo software malicioso en Europa, América del Norte y Sudamérica.
El pasado viernes 2 de julio, cuando muchos empleados se preparaban ya para un fin de semana muy especial en Estados Unidos – el Día de la Independencia, el 4 de julio -, se ponía en marcha un ataque de extorsión. Usando un exploit o vulnerabilidad del servicio de gestión remota VSA de Kaseya, los agentes de REvil lanzaron un paquete de actualización malicioso dirigido a los clientes de proveedores de servicios gestionados (MSP) y otros usuarios empresariales de la versión local del software.
Un aspecto a destacar de este caso es precisamente este, que se ha llevado a cabo el ataque contra proveedores de servicios gestionados (MSP), lo que no solo ha provocado que miles de empresas se hayan convertido en potenciales víctimas del ransomware sino que pone aún más de manifiesto la importancia de revisar los controles de ciberseguridad, de quién es la responsabilidad y el propio concepto de confianza en la cadena de suministro IT.
En este sentido, Mark Loman, Director de Ingeniería de Sophos, ve este caso como un ataque de distribución de la cadena de suministro. “Los adversarios están utilizando a los MSPs como su método de distribución para sacudir a tantos negocios como sea posible, sin importar el tamaño o el tipo de industria. Se trata de un patrón que estamos empezando a ver, ya que los atacantes están cambiando constantemente sus métodos para obtener el máximo impacto, ya sea para obtener una recompensa económica, robar credenciales de datos y otra información de propiedad que podrían aprovechar más tarde, y en mayor medida”, señala Loman, destacando que en otros ataques a gran escala que han visto en el sector, como WannaCry, el propio ransomware era el distribuidor. “En este caso, los MSPs que utilizan una gestión de TI ampliamente utilizada son el conducto”.
El mismo 2 de julio, Kaseya publicaba en su sitio web un aviso en el que afirmaban que estaban investigando un ataque potencial contra su servicio VSA, y que estaba limitado a un número de clientes locales. Tras notificar a las autoridades y agencias, incluyendo al FBI, confirmaron que habían identificado la fuente de la vulnerabilidad y estaban preparando un parche.
Pero el alcance era mucho mayor de lo que preveían en un primer momento. Tan solo unas horas más tarde ya se sabía que eran por lo menos 60 clientes usuarios de VSA los que estaban comprometidos directamente por el ataque,. Clientes que ofrecen servicios a otras empresas, por lo que el impacto total ascendía a 1.500 compañías de todo el mundo, incluyendo Estados Unidos, Canadá, Suecia, Nueva Zelanda México, Argentina y España, por nombrar solo algunos países. Pronto trascenció que una cadena de supermercados sueca tuvo que cerrar 800 de sus tiendas, y las dimensiones del ataque llegaron hasta la Casa Blanca, quien apuntó como primer sospechoso a Rusia.
Se valoraron las motivaciones geopolíticas, pero distintos expertos en ciberseguridad apuntan a que la motivación sería puramente económica.
En este sentido, la firma de seguridad ESET explica que los responsables del ciberataque han ido modificando la cifra económica solicitada para el rescate. Inicialmente, los atacantes demandaban cifras que oscilaban entre los 45.000 dólares y los 5 millones de dólares, dependiendo del tipo de empresa afectada. Sin embargo, conforme pasaban los días, los ciberdelincuentes han ido aumentando el valor de su rescate, hasta llegar a los 70 millones de dólares, que posteriormente rebajaron a 50 millones. Todo esto, a cambio de un descifrador que funcionase en todos los sistemas afectados.
Esta reducción del rescate podría deberse a que “los atacantes quieran obtener el dinero lo antes posible y ofrecer el descifrado para no seguir llamando la atención de algunas autoridades como las de los Estados Unidos”, apunta Josep Albors, Director de Investigación y Concienciación de ESET España
El experto señala además que estos ataques de cadena de suministro “suponen un serio problema para corporaciones y organizaciones, ya que se tiende a confiar ciegamente en todo lo que provenga de empresas encargadas de proporcionar software y servicios de todo tipo”.
La pasada semana, Kaseya ya publicó los parches de seguridad que solucionan los fallos explotados en el ciberataque.
El misterio rodea a este incidente, ya que investigadores de seguridad afirman que el grupo cibercriminal detrás de REvil ha desaparecido de la dark web sin dejar huella, mientras se sigue explotando el ataque de ransomware. La razón es desconocida, aunque se especula con que puedan haber sido localizados.
La importancia de preservar la confianza
En línea con lo anterior, Albors explica que “casos como los ataques del ransomware REvil a usuarios de Kaseya suponen un serio problema para empresas de todos los tamaños, ya que no suelen revisar aquello que provenga de fuentes de confianza, menos aún si se trata de un software de gestión IT como Kaseya. Sin embargo, estos incidentes pueden servir para hacernos reflexionar acerca de las medidas de seguridad que tenemos adoptadas actualmente en nuestras organizaciones y ver cómo podemos mejorarlas aplicando diferentes tipos de soluciones y modelos de seguridad”.
Muchas de las estrategias y recomendaciones de ciberseguridad se basan en una combinación de precaución (no descargues determinados archivos adjuntos, no accedas a enlaces sospechosos…) y confianza (usa aplicaciones reconocidas, legítimas y reputadas). El problema surge cuando los ciberdelincuentes logran socavar esa confianza en los dispositivos y aplicaciones confiables y nos incitan a la duda. ¿Qué ocurre si el hardware y software legítimos se han visto comprometidos en su origen? Cuando la confianza se resquebraja de este modo, el resultado no puede ser otro que temor y recelo.
Como hemos visto, una sofisticada intrusión en el software se convierte en una plataforma hacia cientos, miles e incluso millones de víctimas colaterales (que pueden ser los objetivos primarios en muchos casos). Los ataques a la cadena de suministro son complejos, difíciles de manejar y ponen de relieve los puntos más débiles, tanto del proveedor como de la red de las compañías afectadas.
Como explicaba el programador Ken Thompson y cocreador del sistema operativo Unix en 1984 en su charla Reflections on trusting trust, “No puedes confiar en código que no has creado totalmente tú mismo”.
Cómo fortalecerse ante los ataques a la cadena de suministro
La gravedad de la amenaza de un ataque a la cadena de suministro ya se conoce desde hace años. Sin ir más lejos, se demostró a enorme escala en diciembre de 2020, cuando se reveló que ciberdelincuentes rusos que posteriormente se identificó que trabajaban para el servicio de inteligencia exterior del país, habían atacado la empresa de software SolarWinds, mediante un código malicioso implementado en su herramienta de gestión de IT Orion. Esta permitía el acceso a 18.000 redes que la usaban en todo el mundo, incluyendo las de agencias federales estadounidenses, la NASA o el Departamento de Defensa.
Evitar futuros ataques a la cadena de suministro no es una tarea sencilla ni mucho menos, como no lo es nada en términos de seguridad. Teniendo en cuenta, en primer lugar, que la seguridad completa no es posible.
No hay maneras sencillas para que las empresas se aseguren de que el software y el hardware que adquieren o utilizan no esté comprometido o vaya a estarlo. Es una responsabilidad del proveedor (ya sea el propio desarrollador o el MSP) verificar y auditar constantemente su seguridad, desarrollando la seguridad por diseño en sus productos y servicios.
En el caso de los clientes que usan esta tecnología tanto en software como en hardware, las soluciones a los ataques a la cadena de suministro pasan por una combinación de estrategia tanto tecnológica como organizativa.
En este sentido, cuanto más información se tenga, mejor. Exigir transparencia a los proveedores acerca de sus mecanismos de ciberseguridad es fundamental para poder tomar una mejor decisión en este sentido.
La confianza hay que ganársela, y no puede ser ciega, ni siquiera en un software por muy popular que sea. Relajarse no es una opción.
Al igual que se ha extendido el modelo Zero Trust en las organizaciones para proteger el acceso a la información de los empleados, se debe implementar una estrategia similar en el caso de la cadena de suministro. Porque sí, los usuarios somos muchas veces ese famoso eslabón débil de la cadena, pero ya vemos que no es el único.
