“La conectividad ya no es un lujo y se ha convertido en una necesidad principalmente para las empresas” – M. Viu Roig
I. Introducción
En una sociedad tan interconectada como la nuestra, basta un ciberataque para generar un impacto en la continuidad de operaciones, en la seguridad, datos personales, entre otros. La cadena de suministro digital constituye un pilar fundamental que hoy en día sostiene la maquinaria global de información y tecnología.
El presente artículo buscará analizar los ataques y vulnerabilidades a las cadenas de suministro digital, explorando así sus manifestaciones, consecuencias y respuestas legales ante la creciente amenaza. Lo expuesto evidenciará que, a medida que el mundo avanza a una constante dependencia digital, es necesaria y esencial una protección adecuada y eficaz.
II. Cadenas de suministro digital
En la era digital, las actividades productivas se organizan mediante cadenas de suministro, la cual es una red compleja de interconexiones que facilitan el flujo de información, servicios y productos. En ese sentido, puede ser definida como un conjunto de procesos y actividades que permiten la planificación, adquisición, producción, almacenamiento y distribución de bienes y servicios hasta su entrega o prestación a los consumidores finales.
Así, para su funcionamiento se refieren múltiples actores, siendo no solo proveedores de insumos o empresas manufactureras, sino también a actores que facilitan el flujo de productos e información. De esa manera, los principales actores dentro de una cadena de suministro serán los (i) proveedores, (ii) la cadena de suministros de logística entrante, fabricación, y logística saliente, (iii) canal de distribución, (iv) facilitadores, y (v) consumidor final[1].
III. Amenazas y vulnerabilidades
Ahora bien, dado que las cadenas de suministro constituyen un proceso complejo, más aún cuando se trata de uno de tipo digital, su funcionamiento se verá proclive a sufrir amenazas y vulnerabilidades cibernéticas que comprometan su integridad. En ese sentido, se tiene que ocho de cada diez compañías se sienten vulnerables a los ciberataques contra la cadena de suministro; y que no obstante las empresas se enfocan en su propia seguridad, suelen pasar por alto la de sus proveedores. Como muestra de ello se tiene que, a pesar de que el 82% de empresas afirma que son vulnerables a los ciberataques en sus procesos de producción, solo el 43% de las corporaciones afectadas realizaron una evaluación de riesgos de sus proveedores o de su cadena de suministro de software[2].
Ataques de Phishing e Ingeniería social
El phishing es un ataque en el cual se aprovechan las técnicas de ingeniería social que tiene como objetivo el recopilar información personal y confidencial, como contraseñas y cuentas bancarias de los usuarios haciéndose pasar por una entidad legítima en el ciberespacio. Así, tradicionalmente funciona enviando correos electrónicos falsificados, imitando un banco en línea, sitios de subastas o pagos, guiando a los usuarios a una página web falsa que está cuidadosamente diseñada para parecerse al inicio de sesión en el sitio genuino[3].
De esa manera, un ataque de phishing se caracteriza de tres maneras: (i) la falsificación de una entidad legítima; (ii) el proceso de suplantación de identidad debe involucrar a un sitio web; y (iii) se debe solicitar información sensible sobre la entidad[4].
Ataques de Malware y Ransomware
El uso de malwares, específicamente del ransomware, constituye igualmente una gran amenaza para la cadena de suministro digital. El ransomware es una categoría de software malicioso, el cual cuando es ejecutado, inhabilita la funcionalidad de un ordenador de cierta manera[5]. Aquel programa mostrará un mensaje exigiendo un pago para restaurar la funcionalidad del dispositivo, esto es, exigirá un pago para el rescate del ordenador, similar a una extorsión.
El ciberataque a SolarWinds de 2020 ilustra un ataque a la cadena de suministro de software que involucró a la plataforma SolarWinds Orion, por el cual un ciudadano del estado ruso obtuvo acceso a los sistemas de SolarWinds e implementó actualizaciones con troyanos para el software Orion.
“No se perpetró mediante bombas como el ataque a Pearl Harbor, pero este ataque a nuestras agencias nacionales y compañías estadounidenses Fortune 500 puede resultar aún más perjudicial para nuestra seguridad nacional y nuestra prosperidad empresarial” – Steven J. Vaughan-Nichols,
Así, el malware cuidadosamente insertado en la cadena de suministro de software permitió a los ciberdelincuentes instalar un malware sigiloso en las redes de los clientes de SolarWinds, entre ellos las principales agencias gubernamentales y empresas de tecnología estadounidenses, tales como el Pentágono, el Ejército y la Marina, el Departamento de Asuntos de Veteranos, el Departamento de Energía, el DHS y el FBI.
IV. Sobre el impacto de los ataques cibernéticos
Ahora bien, los ataques a la cadena de suministro digital no solo socavan la operatividad de las empresas, sino que también generan repercusiones significativas en la seguridad y la confianza.
En primer lugar, la paralización de operaciones, pues cuando el ataque se materializa, las operaciones dentro de la cadena de suministro pueden quedar paralizadas. El ataque de ransomware NotPetya en 2017 tuvo un impacto en cascada en múltiples sectores, paralizando al gigante del transporte marítimo Maersk, a la empresa farmacéutica Merck, a la filial europea de Fedex TNT Express, a la constructora francesa Saint-Gobain, al productor de alimentos Mondelez y al fabricante Reckitt Benckiser. En total, dicho malware causó daños por más de 10,000 millones de dólares en todo el mundo.
El origen de NotPetya fue un grupo de agentes del GRU ruso, quien propagó dicho malware en un solo ordenador con una versión antigua de Windows 10 dentro de una organización, explotando la vulnerabilidad en el protocolo del Server Message Block de Windows para propagarse.
En segundo lugar, la pérdida de datos sensibles. Así, puesto que las cadenas de suministro digital manejan datos críticos, tales como diseño de productos, patentes, hasta información financiera, los ataques cibernéticos comprometen la integridad de estos datos. Lo mencionado no solo representa pérdidas financieras, sino también un riesgo para la propiedad intelectual.
El caso Target en 2013 evidencia ello, siendo que poco antes de la navidad de 2013, la cadena de supermercados Target se vio expuesta a la instalación de un software malicioso en el sistema de seguridad y pagos de la empresa. Ello hizo posible la obtención por parte de hackers de información respecto a las tarjetas de crédito de los clientes que efectuaron compras presenciales.
Así, a pesar de que la empresa meses antes efectuó una inversión de US$ 1,6 millones en un sistema de detección de robo de información sensible, hizo caso omiso a las múltiples aletas de que algo andaba mal, optando por seguir vendiendo. Ello concluyó en un coste millonario, teniendo que pagar a modo de compensación un total de US$ 10 millones a clientes afectados, US$ 67 millones a VISA, US$ 20,25 millones a diversos bancos y cooperativas de crédito y US$ 19,11 millones a MasterCard. Finalmente se informó que este ciberataque le costó un total de US$ 290 millones[6].
Finalmente, el daño a la reputación, uno de los impactos más duraderos a la cadena de suministro, en tanto la confianza de los clientes y socios comerciales se erosiona rápidamente a raíz de ciberataques. Tal es el caso de Equifax en 2017, que en septiembre anunció un incidente de seguridad de datos que expuso la información personal de 147 millones de personas.
La información a la que se tuvo acceso incluyó nombres, números de Seguridad Social, fechas de nacimiento, direcciones, números de licencias de conducir, tarjetas de crédito de aproximadamente 209,000 consumidores estadounidenses. A raíz de tal vulneración de datos, la empresa en cuestión, bajo un acuerdo resolutorio, aceptó pagar hasta US$ 425 millones para ayudar a las personas afectadas por el incidente de seguridad de datos[7].
V. Desafíos y áreas de mejora
Ahora bien, pese a que gran porcentaje de empresas invierten en su ciberseguridad para estar a la par con los avances tecnológicos, persisten desafíos significativos que requieren mejoras continuas.
Uno de los principales desafíos críticos sigue siendo la detección temprana de actividades sospechosas antes que causen un daño significativo a la cadena de suministro. Así, son importantes aspectos tales como la constante monitorización, esto es, una observación continua del tráfico de red, registros del sistema, comportamientos de usuarios, entre otros; además de contar con rigurosos procesos de análisis y alerta para la detección de posibles amenazas
Por otro lado, se tiene la relación con distintos sectores y empresas, pues es tanto las cadenas de suministros se conforman por diversos actores, es preciso establecer estándares y protocolos unificados para implementar medidas de seguridad libres de brechas pasibles de ser aprovechadas por los ciberdelincuentes.
Otro factor por tomar en cuenta es la adaptación a las nuevas tecnologías, lo cual no solo implica avances positivos, sino también las nuevas tácticas empleadas en la ciberdelincuencia. A raíz de ello, se tiene que la ciberseguridad no es estática, sino que debe verse como un proceso en constante evolución.
Finalmente, la falta de estándares globales específicos para la ciberseguridad en una cadena de suministros digital constituye igualmente un desafío importante. De esa manera, la implementación de normativas comunes y estándares de seguridad podría proporcionar un sólido marco para todos los actores involucrados.
VI. Conclusión
A raíz de lo expuesto en el presente artículo se pueden extraer las siguientes conclusiones.
- En primer lugar, que al ser el área digital de una cadena de suministros un eje fundamental, la ciberseguridad surge como el método esencial para salvaguardar la integridad operativa de la misma, así como la seguridad de los usuarios.
- En segundo lugar, que al intervenir estas redes y conexiones múltiples actores, las amenazas y vulnerabilidades se encuentran siempre presentes, tales como los ataques de phishing y de malwares. Ello tiene como consecuencia la paralización de operaciones, exposición de datos sensibles y el deterioro de la confianza recaída en las empresas por sus usuarios.
- Finalmente, la cadena de suministro digital tiende a ser tan fuerte como su eslabón más débil. En ese sentido, la adopción de medidas preventivas aunado a una implementación continua de estas podrá construir una cadena de suministros segura y resistente a cualquier ataque cibernético.
[1] Calatayud, A, y Katz, R. (2019). Cadena de suministro 4.0: Mejores prácticas internacionales y hoja de ruta para América Latina.
[2] Red seguridad. (2023). La cadena de suministro se ha convertido en el principal objetivo para los ciberdelincuentes. Recuperado de https://www.redseguridad.com/actualidad/ciberseguridad/la-cadena-de-suministro-se-ha-convertido-en-el-principal-objetivo-de-los-ciberdelincuentes_20230608.html
[3] Jakobsson, M., & Myers, S. (2006). Phishing and countermeasures: understanding the increasing problem of electronic identity theft: John Wiley & Sons.
[4] Ramzan, Z., & Wüest, C. Phishing Attacks: Analyzing Trends in 2006. In Fourth Conference on Email and Anti-Spam Mountain View, California USA, 2007: Citeseer
[5] O’ Gorman, McDonald, G. (2012). Ransomware: A Growing Menace. Symatec.Security Response. Recuperado de https://www.01net.it/whitepaper_library/Symantec_Ransomware_Growing_Menace.pdf
[6] Hernán, L. (2017). Caso Target y Riesgo de Cybersecurity. Recuperado de https://www.df.cl/opinion/columnistas/luis-hernan-paul/caso-de-target-y-riesgo-de-cybersecurity
[7] Puis, A. (2019). Incidente de seguridad de datos de Equifax: Lo que debe saber. Recuperado de https://consumidor.ftc.gov/alertas-para-consumidores/2019/07/incidente-de-seguridad-de-datos-de-equifax-lo-que-debe-saber