Red Seguridad 093

52 red seguridad segundo trimestre 2021 opinión Cuando hablamos de ciberseguridad de la cadena de suministro, hablamos de gestionar el riesgo de terceros; es decir, gestionar el riesgo de sufrir daños ocasionados por incidentes con origen en las debilidades de terceros. Hágase la siguiente pregunta, ¿quién ha diseñado, fabricado y programado cada componente de tus sistemas de di- gitalización industrial? Normalmente no tenemos la respuesta. Solo conocemos la marca de los fabricantes finales, pero no a todos los terceros que han hecho falta para disponer de una determinada tecnología de digitalización industrial. Cada tercero es un punto de acceso que puede ser el origen de un cibera- taque. Si un proveedor tiene muchas vulnerabilidades, un atacante podría aprovecharlas para obtener acceso a la organización. Cuantos más proveedo- res tiene una organización, mayor será la superficie de exposición y se enfren- tará a más vulnerabilidades. El chantaje de REvil Posiblemente conocerá el termino RaaS ( Ransomware as a Service ), un servicio que se puede contratar en la Dark Web (Web oscura), donde hay múltiples pro- veedores que ofrecen un kit con instruc- ciones para secuestrar información de organizaciones y pedir un rescate. Uno de los grupos más conocidos de ciberdelincuentes, llamado REvil, cifró en marzo de este año gran parte de los sistemas del fabricante Acer y pidió un rescate de 50 millones de dólares. En las conversaciones entre Acer y REvil, que comenzaron el 14 de marzo, el re- presentante de la compañía se mostró sorprendido por la desmesurada de- manda de 50 millones de dólares para liberar los datos cifrados. Los atacantes también ofrecieron un descuento del 20 por ciento si el se rea- lizaba el pago en pocos días. A cambio, la banda del ransomware proporcio- naría un descifrador, un informe de la vulnerabilidad y la eliminación de los archivos robados. Por otro lado, la compañía taiwanesa Quanta también sufrió un ciberataque de este grupo, en abril de este año. REvil lanzó un ataque contra Quanta, que no solo es una empresa del Global Fortune 500 sino uno de los principales fabricantes de diseño mundiales, espe- cializado en la integración/fabricación de productos electrónicos para terceros como Apple. La empresa taiwanesa es responsable de ensamblar productos como el Apple Watch o los portátiles Macbook Air y Pro, a partir de un con- junto de esquemas de diseño propor- cionado por Apple. La lista de clientes de Quanta es amplísima, incluyendo entre otros muchos a Dell, HP, Micro- soft, Amazon y Cisco. Esta compañía logró un acceso no autorizado a los datos que alojan en sus sistemas Quanta y desvelarlos po- dría hacer perder mucho dinero a sus clientes. Cada vez más integrada Además del chantaje a proveedores de la cadena de suministro, como los que se han mencionado, son múltiples los tipos de amenazas a los que se expo- nen los sistemas de la cadena de su- ministro. Esto es debido a que cada día está más integrada con los sistemas de información de sus clientes. Los proveedores tienen conexiones directas con las redes o sistemas de una empresa (incluidos los sistemas ERP o MES) o tienen acceso a datos de operación propios. Asimismo, exis- ten interconexiones similares entre los proveedores a lo largo de las cadenas de suministro. Por esta interconexión e integración necesaria, la cadena de su- ministro está expuesta a sabotaje, ma- nipulación, falsificación, piratería, robo, destrucción, alteración, desviación, corrupción, ingeniería social o incluso amenazas internas. Este tipo de ame- Cadena de suministro: el mayor riesgo de la digitalización industrial J osé V aliente Director del Centro de Ciberseguridad Industrial (CCI)