Los proveedores de software de terceros son el último vector de ataque que los cibercriminales están utilizando para atacar objetivos aún más grandes. En los últimos años se ha producido un notable aumento de ataques contra la “cadena de suministro digital”, esto es, software de terceros. En 2023 grandes firmas como Bank of America, Home Depot, T-Mobile, Okta y Citrix sufrieron este tipo de ataques.

¿Por qué los ataques contra software de terceros se producen con mayor frecuencia? Desde la perspectiva de los piratas informáticos, es fácil ver el atractivo de llegar a los objetivos indirectamente a través de proveedores. Los cibercriminales saben que los grandes objetivos atractivos, como las organizaciones de atención médica, tendrán defensas sólidas en torno a sus propios activos. Pero también saben que estas organizaciones probablemente tengan relaciones con docenas o incluso cientos de aplicaciones SaaS y otros proveedores de TIC.

Comenzar por ahí, con proveedores de software de terceros, proporciona acceso a una multitud de vectores de amenaza que pueden producir resultados significativos a partir de un exploit. Cuando los atacantes obtienen acceso a esos datos y esas redes, pueden lanzar sus ataques de ransomware o simplemente vender el acceso a otros.

La seguridad de la cadena de suministro y de los proveedores es una de las principales preocupaciones de los CISO. La calificaron como uno de los mayores desafíos de seguridad de la información a los que se enfrentan.

Reducir el riesgo implícito en el software de terceros

Comprometerse con la realidad del nuevo panorama de amenazas. Los CISO y sus equipos tienen mucho por hacer. Y hay una tarea esencial que agregar a la lista: instituir nuevas políticas y procedimientos en torno a la adquisición, auditoría y monitoreo de proveedores externos. Un enfoque ad hoc, o esperar que los proveedores lo protejan, definitivamente no es el mejor camino para seguir.

Controlar la proliferación de SaaS. Cada aplicación adicional es un vector de ataque potencial. Muchas organizaciones tienen múltiples integraciones con proveedores de SaaS. Una evaluación exhaustiva podría encontrar formas de eliminar algunas aplicaciones innecesarias. Tal vez ciertas aplicaciones carezcan de los beneficios para justificar los nuevos riesgos emergentes.

Otras podrían volverse prescindibles al desarrollar aplicaciones internamente. Finalmente, los ingenieros y el personal que configura sus propias mejoras de productividad con proveedores externos, conocido como “TIC en la sombra”, se suma a la proliferación de SaaS.

Poner a los proveedores bajo la lupa. Desarrollar procesos para evaluar la postura de seguridad de los terceros conectados a sus redes. Los cuestionarios detallados e incluso las auditorías independientes pueden ser apropiados, pero el proceso debe ser exhaustivo.

Para ayudar, ha aparecido en el mercado una nueva clase de herramientas. Se trata de las plataformas de gestión de riesgos de ciberseguridad de terceros (Third Party Cyber Risk Management, TPCRM). Éstas pueden ayudar a gestionar tanto la evaluación como el seguimiento continuo.

Restringir el acceso

software de terceros
Imagen: iStock.

Crear un cumplimiento personalizado. Las auditorías pueden determinar la postura de seguridad y la evaluación de riesgos. Sin embargo, a menudo esta información simplemente se ajustará al cumplimiento utilizando estándares establecidos como SOC 2 e ISO 27001. Pero estas son pautas de referencia que se aplican a todos.

Si el perfil de riesgo de la empresa es más complejo, conviene desarrollar un régimen propio de cumplimiento. Debe abarcar detalles derivados de los procesos comerciales reales para evaluar a los posibles proveedores y monitorear las relaciones en curso.

Fomentar la colaboración. Las decisiones de adquirir software de terceros a menudo involucran a numerosos departamentos, como TIC, compras e InfoSec. Con tantas partes interesadas, es esencial tener procesos que permitan la participación y, al mismo tiempo, proporcionen una hoja de ruta hacia un conjunto codificado de acuerdos con un número limitado de obstáculos que superar.

Utilizar un modelo de privilegios mínimos para el acceso a los datos. Muchos flujos de trabajo en la nube carecen de controles de acceso. Eso otorga a los usuarios más acceso del que necesitan para realizar su trabajo.

Esto puede ser una bendición para los piratas informáticos. Así pueden usar un conjunto de credenciales para moverse lateralmente a través de los datos y aumentar su huella. Un modelo de acceso con privilegios mínimos, que restrinja el acceso de los usuarios desde su entorno, podría proteger de los ataques contra software de terceros.

Fortalecer la protección de datos

Abogar por la regulación. Los estándares, los puntos de referencia y la aplicación de la regulación podrían ayudar a mejorar el cumplimiento. Aún más importante: procura la transparencia en las relaciones con proveedores externos.

Un modelo de regulación podría ser la Ley de Resiliencia Operativa Digital (DORA) de la UE, que fortalece y estandariza la seguridad y el cumplimiento de TIC para entidades financieras como bancos, compañías de seguros y firmas de inversión.

Incentivar a los equipos de desarrollo a “desplazarse a la izquierda, asegurando la derecha”. En la seguridad de “desplazamiento a la izquierda”, las pruebas de seguridad se integran antes en las etapas iniciales del desarrollo. En cambio, la seguridad de “desplazamiento a la derecha” se centra en las pruebas en el entorno de producción con monitoreo. El “desplazamiento a la izquierda” alienta a los equipos a encontrar vulnerabilidades antes y corregir defectos.

No es posible eliminar por completo el riesgo de ransomware mediante ataques a software de terceros. Sin embargo, implementar la combinación adecuada de mejores prácticas y tecnologías modernas puede marcar la diferencia. Esto incluye contar con una plataforma de almacenamiento de datos que garantice su seguridad, mejore la mitigación de riesgos y permita una protección permanente.