Date Archives

enero 2024

Vulnerabilidades expuestas: Un análisis de los ataques a la cadena de suministro digital

“La conectividad ya no es un lujo y se ha convertido en una necesidad principalmente para las empresas” – M. Viu Roig

Por: Romina Alarcón Bonilla

I. Introducción

En una sociedad tan interconectada como la nuestra, basta un ciberataque para generar un impacto en la continuidad de operaciones, en la seguridad, datos personales, entre otros. La cadena de suministro digital constituye un pilar fundamental que hoy en día sostiene la maquinaria global de información y tecnología.

El presente artículo buscará analizar los ataques y vulnerabilidades a las cadenas de suministro digital, explorando así sus manifestaciones, consecuencias y respuestas legales ante la creciente amenaza. Lo expuesto evidenciará que, a medida que el mundo avanza a una constante dependencia digital, es necesaria y esencial una protección adecuada y eficaz.

II. Cadenas de suministro digital

En la era digital, las actividades productivas se organizan mediante cadenas de suministro, la cual es una red compleja de interconexiones que facilitan el flujo de información, servicios y productos. En ese sentido, puede ser definida como un conjunto de procesos y actividades que permiten la planificación, adquisición, producción, almacenamiento y distribución de bienes y servicios hasta su entrega o prestación a los consumidores finales.

Así, para su funcionamiento se refieren múltiples actores, siendo no solo proveedores de insumos o empresas manufactureras, sino también a actores que facilitan el flujo de productos e información. De esa manera, los principales actores dentro de una cadena de suministro serán los (i) proveedores, (ii) la cadena de suministros de logística entrante, fabricación, y logística saliente, (iii) canal de distribución, (iv) facilitadores, y (v) consumidor final[1].

III. Amenazas y vulnerabilidades

Ahora bien, dado que las cadenas de suministro constituyen un proceso complejo, más aún cuando se trata de uno de tipo digital, su funcionamiento se verá proclive a sufrir amenazas y vulnerabilidades cibernéticas que comprometan su integridad. En ese sentido, se tiene que ocho de cada diez compañías se sienten vulnerables a los ciberataques contra la cadena de suministro; y que no obstante las empresas se enfocan en su propia seguridad, suelen pasar por alto la de sus proveedores. Como muestra de ello se tiene que, a pesar de que el 82% de empresas afirma que son vulnerables a los ciberataques en sus procesos de producción, solo el 43% de las corporaciones afectadas realizaron una evaluación de riesgos de sus proveedores o de su cadena de suministro de software[2].

Ataques de Phishing e Ingeniería social

El phishing es un ataque en el cual se aprovechan las técnicas de ingeniería social que tiene como objetivo el recopilar información personal y confidencial, como contraseñas y cuentas bancarias de los usuarios haciéndose pasar por una entidad legítima en el ciberespacio. Así, tradicionalmente funciona enviando correos electrónicos falsificados, imitando un banco en línea, sitios de subastas o pagos, guiando a los usuarios a una página web falsa que está cuidadosamente diseñada para parecerse al inicio de sesión en el sitio genuino[3].

De esa manera, un ataque de phishing se caracteriza de tres maneras: (i) la falsificación de una entidad legítima; (ii) el proceso de suplantación de identidad debe involucrar a un sitio web; y (iii) se debe solicitar información sensible sobre la entidad[4].

Ataques de Malware y Ransomware

El uso de malwares, específicamente del ransomware, constituye igualmente una gran amenaza para la cadena de suministro digital. El ransomware es una categoría de software malicioso, el cual cuando es ejecutado, inhabilita la funcionalidad de un ordenador de cierta manera[5]. Aquel programa mostrará un mensaje exigiendo un pago para restaurar la funcionalidad del dispositivo, esto es, exigirá un pago para el rescate del ordenador, similar a una extorsión.

El ciberataque a SolarWinds de 2020 ilustra un ataque a la cadena de suministro de software que involucró a la plataforma SolarWinds Orion, por el cual un ciudadano del estado ruso obtuvo acceso a los sistemas de SolarWinds e implementó actualizaciones con troyanos para el software Orion.

“No se perpetró mediante bombas como el ataque a Pearl Harbor, pero este ataque a nuestras agencias nacionales y compañías estadounidenses Fortune 500 puede resultar aún más perjudicial para nuestra seguridad nacional y nuestra prosperidad empresarial” – Steven J. Vaughan-Nichols,

Así, el malware cuidadosamente insertado en la cadena de suministro de software permitió a los ciberdelincuentes instalar un malware sigiloso en las redes de los clientes de SolarWinds, entre ellos las principales agencias gubernamentales y empresas de tecnología estadounidenses, tales como el Pentágono, el Ejército y la Marina, el Departamento de Asuntos de Veteranos, el Departamento de Energía, el DHS y el FBI.

IV. Sobre el impacto de los ataques cibernéticos

Ahora bien, los ataques a la cadena de suministro digital no solo socavan la operatividad de las empresas, sino que también generan repercusiones significativas en la seguridad y la confianza.

En primer lugar, la paralización de operaciones, pues cuando el ataque se materializa, las operaciones dentro de la cadena de suministro pueden quedar paralizadas. El ataque de ransomware NotPetya en 2017 tuvo un impacto en cascada en múltiples sectores, paralizando al gigante del transporte marítimo Maersk, a la empresa farmacéutica Merck, a la filial europea de Fedex TNT Express, a la constructora francesa Saint-Gobain, al productor de alimentos Mondelez y al fabricante Reckitt Benckiser. En total, dicho malware causó daños por más de 10,000 millones de dólares en todo el mundo.

El origen de NotPetya fue un grupo de agentes del GRU ruso, quien propagó dicho malware en un solo ordenador con una versión antigua de Windows 10 dentro de una organización, explotando la vulnerabilidad en el protocolo del Server Message Block de Windows para propagarse.

En segundo lugar, la pérdida de datos sensibles. Así, puesto que las cadenas de suministro digital manejan datos críticos, tales como diseño de productos, patentes, hasta información financiera, los ataques cibernéticos comprometen la integridad de estos datos. Lo mencionado no solo representa pérdidas financieras, sino también un riesgo para la propiedad intelectual.

El caso Target en 2013 evidencia ello, siendo que poco antes de la navidad de 2013, la cadena de supermercados Target se vio expuesta a la instalación de un software malicioso en el sistema de seguridad y pagos de la empresa. Ello hizo posible la obtención por parte de hackers de información respecto a las tarjetas de crédito de los clientes que efectuaron compras presenciales.

Así, a pesar de que la empresa meses antes efectuó una inversión de US$ 1,6 millones en un sistema de detección de robo de información sensible, hizo caso omiso a las múltiples aletas de que algo andaba mal, optando por seguir vendiendo. Ello concluyó en un coste millonario, teniendo que pagar a modo de compensación un total de US$ 10 millones a clientes afectados, US$ 67 millones a VISA, US$ 20,25 millones a diversos bancos y cooperativas de crédito y US$ 19,11 millones a MasterCard. Finalmente se informó que este ciberataque le costó un total de US$ 290 millones[6].

Finalmente, el daño a la reputación, uno de los impactos más duraderos a la cadena de suministro, en tanto la confianza de los clientes y socios comerciales se erosiona rápidamente a raíz de ciberataques. Tal es el caso de Equifax en 2017, que en septiembre anunció un incidente de seguridad de datos que expuso la información personal de 147 millones de personas.

La información a la que se tuvo acceso incluyó nombres, números de Seguridad Social, fechas de nacimiento, direcciones, números de licencias de conducir, tarjetas de crédito de aproximadamente 209,000 consumidores estadounidenses. A raíz de tal vulneración de datos, la empresa en cuestión, bajo un acuerdo resolutorio, aceptó pagar hasta US$ 425 millones para ayudar a las personas afectadas por el incidente de seguridad de datos[7].

V. Desafíos y áreas de mejora

Ahora bien, pese a que gran porcentaje de empresas invierten en su ciberseguridad para estar a la par con los avances tecnológicos, persisten desafíos significativos que requieren mejoras continuas.

Uno de los principales desafíos críticos sigue siendo la detección temprana de actividades sospechosas antes que causen un daño significativo a la cadena de suministro. Así, son importantes aspectos tales como la constante monitorización, esto es, una observación continua del tráfico de red, registros del sistema, comportamientos de usuarios, entre otros; además de contar con rigurosos procesos de análisis y alerta para la detección de posibles amenazas

Por otro lado, se tiene la relación con distintos sectores y empresas, pues es tanto las cadenas de suministros se conforman por diversos actores, es preciso establecer estándares y protocolos unificados para implementar medidas de seguridad libres de brechas pasibles de ser aprovechadas por los ciberdelincuentes.

Otro factor por tomar en cuenta es la adaptación a las nuevas tecnologías, lo cual no solo implica avances positivos, sino también las nuevas tácticas empleadas en la ciberdelincuencia. A raíz de ello, se tiene que la ciberseguridad no es estática, sino que debe verse como un proceso en constante evolución.

Finalmente, la falta de estándares globales específicos para la ciberseguridad en una cadena de suministros digital constituye igualmente un desafío importante. De esa manera, la implementación de normativas comunes y estándares de seguridad podría proporcionar un sólido marco para todos los actores involucrados.

VI. Conclusión

A raíz de lo expuesto en el presente artículo se pueden extraer las siguientes conclusiones.

  1. En primer lugar, que al ser el área digital de una cadena de suministros un eje fundamental, la ciberseguridad surge como el método esencial para salvaguardar la integridad operativa de la misma, así como la seguridad de los usuarios.
  1. En segundo lugar, que al intervenir estas redes y conexiones múltiples actores, las amenazas y vulnerabilidades se encuentran siempre presentes, tales como los ataques de phishing y de malwares. Ello tiene como consecuencia la paralización de operaciones, exposición de datos sensibles y el deterioro de la confianza recaída en las empresas por sus usuarios.
  1. Finalmente, la cadena de suministro digital tiende a ser tan fuerte como su eslabón más débil. En ese sentido, la adopción de medidas preventivas aunado a una implementación continua de estas podrá construir una cadena de suministros segura y resistente a cualquier ataque cibernético.

[1] Calatayud, A, y Katz, R. (2019). Cadena de suministro 4.0: Mejores prácticas internacionales y hoja de ruta para América Latina.

[2] Red seguridad. (2023). La cadena de suministro se ha convertido en el principal objetivo para los ciberdelincuentes. Recuperado de https://www.redseguridad.com/actualidad/ciberseguridad/la-cadena-de-suministro-se-ha-convertido-en-el-principal-objetivo-de-los-ciberdelincuentes_20230608.html

[3] Jakobsson, M., & Myers, S. (2006). Phishing and countermeasures: understanding the increasing problem of electronic identity theft: John Wiley & Sons.

[4] Ramzan, Z., & Wüest, C. Phishing Attacks: Analyzing Trends in 2006. In Fourth Conference on Email and Anti-Spam Mountain View, California USA, 2007: Citeseer

[5] O’ Gorman, McDonald, G. (2012). Ransomware: A Growing Menace. Symatec.Security Response. Recuperado de https://www.01net.it/whitepaper_library/Symantec_Ransomware_Growing_Menace.pdf

[6] Hernán, L. (2017). Caso Target y Riesgo de Cybersecurity. Recuperado de https://www.df.cl/opinion/columnistas/luis-hernan-paul/caso-de-target-y-riesgo-de-cybersecurity

[7] Puis, A. (2019). Incidente de seguridad de datos de Equifax: Lo que debe saber. Recuperado de https://consumidor.ftc.gov/alertas-para-consumidores/2019/07/incidente-de-seguridad-de-datos-de-equifax-lo-que-debe-saber

¿Cómo comprar en línea, de forma segura, y no ser víctima de los ciberdelincuentes?

Por: Ximena Cuba Carbajal

Desde que empezó la pandemia, se llevan a cabo campañas online muy populares como el CyberWow o el Black Friday. Estos eventos se han vuelto muy esperados en nuestro país por los grandes descuentos que ofrecen las empresas en varios productos y servicios. La semana del CyberWow dura 5 días y es organizada aproximadamente de 3 a 4 veces al año. En cambio, el Black Friday solo se lleva a cabo una vez al año en noviembre. Si bien estos eventos buscan impulsar el comercio electrónico debido al avance tecnológico, hay que tomar en consideración que, cada vez, es más común los ciberdelitos como los fraudes informáticos o la suplantación de identidad. De acuerdo al Diario El Peruano (2023), son los dos delitos más frecuentes en nuestro país. Es por ello que es de suma importancia que nos informemos sobre los riesgos que existen en estas operaciones y saber cómo evitar ser víctimas de los ciberdelincuentes.

En principio, el phishing es una modalidad que usan los ciberdelincuentes para engañarte y hacer que brindes información confidencial. A modo de ejemplo, estos se hacen pasar por empresas conocidas y envían mensajes de textos o correos electrónicos con el fin de ofrecerte una promoción especial que podrás acceder al brindar tus datos personales como contraseñas o detalles de tarjetas de crédito. Al obtener esta información, los ciberdelincuentes se apropian de la identidad de las personas. Lo más impactante de este delito es que el Perú es el país con más ataques de phishing en Latinoamérica, según la compañía ESET. Por ello, es recomendable que se evite responder los mensajes o seguir los enlaces que se envían por mensajes que parezcan sospechosos como, por ejemplo, que indiquen que tu cuenta ha sido bloqueada. Cabe destacar que, incluso, este engaño se puede realizar vía llamada telefónica, esta modalidad es conocida como vishing. Es decir, se realiza una llamada que se hace pasar por alguna tienda que usualmente consumes para ofrecer una gran oferta y al aceptar brindas tus datos personales (Incibe s/f).

Asimismo, otra modalidad de ser víctima de los ciberdelincuentes son las falsas ofertas online. En este caso, se crean sitios webs o cuentas en las redes sociales de tiendas conocidas con el fin de engañar a los usuarios y hacerles creer que están en su sitio web oficial. Esta confusión se da cuando buscas a través del navegador la página y aparece más de una opción, por lo que al entrar te das cuenta de que la plataforma es muy similar y cuenta con los mismos detalles de los productos o servicios que ofrecen. Sin embargo, es aconsejable asegurarse que la página web sea confiable y segura: en primer lugar, puedes verificar que el sitio web cuente con certificado de seguridad, es decir, el ícono de candado cerrado ubicado al extremo superior izquierdo del navegador; sin embargo, Diana Arias (2018) sostiene que este ícono solo hace referencia a que la página en la que estamos usa el protocolo HTTPS (Protocolo seguro de transferencia de hipertexto), más no indica que una página sea legítima o no. Es por ello, que hay que tomar en cuenta que existen ciberdelincuentes que se aseguran de que sus páginas fraudulentas tengan el protocolo HTTPS para engañar a las personas. Por otro lado, también puedes verificar en las redes sociales con qué nombre o usuario está registrada la empresa en su plataforma web. Finalmente, puedes buscar los comentarios de otras personas en internet sobre esa página, pues muchas veces, las víctimas avisan mediante los comentarios que es una página falsa.

Por último, otra manera de ser engañados se da mediante el fraude informático, Villavicencio (2014) señala que en este delito se obtiene la información personal indebidamente mediante herramientas tecnológicas, lo que genera un daño a las víctimas. Una modalidad del fraude informático son los cobros indebidos de tarjetas, ya que al comprar mediante las plataformas web de las tiendas por departamento es usual que el principal medio de pago sea a través de una tarjeta de crédito o débito. Esto puede ser aprovechado por los ciberdelincuentes para realizar cargos por consumos no reconocidos. Para este delito, la Ley Nº 30096, Ley de Delitos Informáticos, prevé una pena no menor de 3 años ni mayor de 6 años. Tras ello, Aldo Cardenas (2019) recomienda revisar y leer bien la política de privacidad de la página web en la que haces la compra y verificar qué datos personales van a recopilar antes de aceptarlos.

En suma, hay que tener mucho cuidado al realizar una compra online, sobre todo cuando se lleva a cabo durante las campañas online como el CyberWow o e Black Friday, esto debido a que los ciberdelincuentes se aprovechan de estas modalidades de compra para cometer estafas y fraudes. Asimismo, se debe tomar en consideración que si recibes una supuesta llamada del banco o empresa, no te pueden solicitar los datos personales como el número de tarjeta y clave a través de formularios. De igual modo, el Diario El Peruano, también, recomienda tener una cuenta para realizar compras y otra de ahorros para reducir el riesgo de ser víctima, así como mantener los antivirus activados y actualizados. Finalmente, cabe señalar que en nuestro país existe una ley que sanciona estos ilícitos: la Ley de Delitos Informáticos. Esta ley, de acuerdo con el artículo 1, tiene por objetivo “prevenir y sancionar las conductas ilícitas que afectan los sistemas y datos informáticos y otros bienes jurídicos de relevancia penal, cometidas mediante la utilización de tecnologías de la información o de la comunicación, con la finalidad de garantizar la lucha eficaz contra la ciberdelincuencia”.

Referencias bibliográficas

Arias, D. (27 de noviembre de 2028). El candado en el navegador no significa que un sitio web es seguro. Enter.co. Recuperado el 04 de enero de 2024.

Cárdenas, A. (12 de noviembre de 2019). Cyber Wow 2019: tres tipos de estafas virtuales y cómo puedes reconocerlas. Andina, agencia peruana de noticias. Recuperado el 04 de enero de 2024.

Diario el Peruano (13 de febrero de 2023). Sepa cómo evitar ser víctima de un delito informático. Recuperado el 04 de enero de 2024.

ESET. (26 de octubre de 2022). ¿Qué es el phishing y cómo protegerte?. Recuperado el 04 de enero de 2024.

Incibe. (s/f). ¿Qué es el vishing?. Recuperado el 04 de enero de 2024.

Ley de Delitos Informáticos, Ley N° 30096 de 2013. 22 de octubre de 2013.

Villavicencio Terreros, F. (2014). Delitos Informáticos. Ius Et Veritas, 24(49), 284-304.

Zanubis: El troyano bancario peruano de avanzada peligrosidad

Por: Bianca Reátegui Vega & Ximena Cuba Carbajal

En la era digital, la tecnología es parte esencial de nuestras vidas, por ejemplo,  actualmente solemos realizar transacciones financieras en línea con aplicativos como Yape o Plin. Es debido a ello que la detección y prevención de amenazas digitales es una prioridad constante. En los últimos años, los troyanos bancarios han tomado popularidad -estos son tipos de software, denominados “malware” creados para captar  información financiera y robar datos relacionados con cuentas bancarias-. Este tipo de malware es altamente peligroso debido a su método de operación, pues implica engañar a las personas haciéndoles creer que están interactuando con una entidad financiera legítima mientras en realidad están compartiendo información confidencial con los ciberdelincuentes. En esta línea, recientemente, se ha descubierto un troyano bancario de origen peruano que ha representado una amenaza considerable para la seguridad financiera de los usuarios que cuentan con dispositivos móviles: Zanubis.

Zanubis es un programa malicioso que ingresa a un sistema informático financiero haciéndose pasar por uno legítimo; el fin es hacerse del dinero de las cuentas bancarias que logre acceder. Si bien, desde octubre del 2022, el gobierno peruano a través del informe de Alerta Integrada de Seguridad Digital N° 282-2022-CNSD del Centro Nacional de Seguridad Digital, hizo de conocimiento público la existencia de este troyano bancario; recientemente, ha despertado gran preocupación a nivel mundial y sobretodo en nuestro país, pues viene atacando exponencialmente a diferentes bancas y entidades financieras peruanas. Al día de hoy, según la empresa global de ciberseguridad “Kaspersky”, se conoce que este tipo de troyano ha concretado vulnerar el sistema de cerca de 40 aplicaciones de bancas móviles; además, viene liderando el ranking de intentos de ataques cibernéticos en el Perú.

El modelo empleado para este tipo de amenaza se denomina “mano fantasma”, ya que se trata de aplicaciones maliciosas que ingresan a un sistema Android, y lo controlan por medio de herramientas de acceso remoto (RAT). Dicha técnica es muy parecida a lo utilizado por los troyanos brasileños, por ese motivo, se creyó en un primer momento que se trataba de desarrolladores procedentes del país vecino. Sin embargo, la empresa “Kaspersky”, por medio de un comunicado de prensa de fecha 28 de septiembre del 2023, sugirió que Zanubis es de origen peruano porque además de atacar principalmente bancas móviles peruanas, el idioma que han empleado los creadores es el español, así como, queda evidenciado que cuentan con un gran conocimiento de las jergas y palabras más comunes.

Ahora bien, ¿cómo es que Zanubis podría ingresar a un sistema operativo? Actualmente, se conoce que la táctica de ingreso que tiene este malware, consiste en enviar correos electrónicos haciéndose pasar por la Superintendencia Nacional de Aduanas y de Administración Tributaria, advirtiendo falsamente problemas de pagos o faltas de estas. En esa línea, el mensaje malicioso solicita al usuario presionar un link y que este lo direccione a descargar una supuesta aplicación oficial de dicha entidad, a fin que gestione sus operaciones allí.

Una vez que la aplicación haya sido descargada al teléfono móvil, el ciberdelincuente bancario tendrá un control completo del sistema operativo de dicho dispositivo, controlandolo de manera remota. Ante esto, el atacante buscará no ser detectado, de tal manera que ingresará a las bancas móviles sólo cuando la víctima no esté usando el celular. Tras concretar su propósito, este borrará  cualquier tipo de evidencia que se pudiera haber generado a razón del ataque, de manera que cuando la víctima decida denunciar, ya no cuente con sustentos de lo ocurrido.

Es por lo mencionado que podemos señalar las principales características de Zanubis: en primer lugar, este malware se caracteriza por su capacidad para operar de manera sigilosa en los dispositivos móviles de las víctimas, pues busca evitar la atención de las personas al no mostrar síntomas notorias de infección. Igualmente, es engañoso porque propaga mediante correos electrónicos o mensajes de textos que aparentan ser legítimos, archivos maliciosos que se hacen pasar por documentos relevantes o actualizaciones falsas. Es por ello que este troyano bancario es complejo porque emplea técnicas avanzadas de cifrado para evitar la detección, en otras palabras, su código es complejo de entender, lo que genera dificultad al labor de los analistas de seguridad. Finalmente, cabe destacar que los ciberdelincuentes que emplean este troyano bancario mantienen el malware actualizado para aprovecharse de las personas.

A manera de cierre, les brindamos algunas recomendaciones para prevenir ser engañados con Zanubis.

  1. Evite descargar aplicaciones de fuentes desconocidas o no verificadas, lo ideal sería solo descargar aplicaciones de tiendas oficiales como Google Play o App Store.
  2. Antes de descargar una aplicación, revisar los permisos solicitados por esta. Si una aplicación parece solicitar más permisos de los necesarios para su función, como por ejemplo acceder a tus chats o registro de llamadas, podría ser una señal de alarma.
  3. Al crear una cuenta en alguna aplicación, utiliza una contraseña segura que no contenga datos personales. Por ejemplo, que la contraseña sea larga y contenga números, símbolos y combinaciones de letras mayúsculas y minúsculas.
  4. La concientización es fundamental, es decir, los usuarios deben estar informados sobre las amenazas cibernéticas y la importancia de no hacer clic en enlaces sospechosos o descargar aplicaciones no verificadas.
  5. Instale y  mantenga actualizado un software de seguridad móvil confiable que puede detectar y bloquear amenazas como Zanubis. Una opción es Kaspersky Premium, este software protege tu identidad y evita el acceso remoto a tu sistema.
  6. No haga click en enlaces llegados a correos electrónicos, redes sociales o mensajes SMS sospechosos. Como se mencionó, muchos de estos mensajes se hacen pasar por entidades conocidas, por lo que es recomendable llamar o asistir presencialmente a preguntar sobre la información remitida en los mensajes.

Referencia bibliográfica:

Canal N. (28 de septiembre de 2023). Zanubis: Detectan virus bancario para celulares hecho en Perú. [Video]. Canal N Web.

Centro Nacional de Seguridad Digital. (17 de octubre de 2022). Alerta integrada de seguridad digital N° 282-2022-CNSD.

Exitosas noticias. (29 de septiembre de 2023). Zanubis: detectan virus bancario para celulares hecho en Perú, ¿cómo actúa en dispositivo móvil? [Video]. Youtube.

Kaspersky. (28 de septiembre de 2023). Nueva versión del ataque de la “mano fantasma” acecha a usuarios de la banca móvil: Kaspersky.

Mestanza, C. (2023). Zanubis: detectan troyano bancario para celulares hecho en Perú que es sumamente avanzado y peligroso. El Comercio.