A medida que la economía digital avanza a un ritmo acelerado, más empresas se han beneficiado de las convenientes nuevas versiones digitales de los servicios tradicionales. La computación en la nube, las tecnologías de trabajo remoto y el software como servicio (SaaS) han empezado a sustituir a las tecnologías tradicionales en las instalaciones y a los operadores de TI.
Sin embargo, los recientes e importantes ataques, como los perpetrados contra SolarWinds, Kaseya y GitLab, han demostrado el riesgo cibernético adicional que corren las empresas que dependen de las herramientas SaaS y otros recursos de terceros “as a service”. Aunque es conveniente, el innovador esquema del SaaS a menudo se opera mediante la creación de grandes redes y distribuciones, a menudo de varios inquilinos, en torno a un único nodo central, que se convierte en una puerta de entrada a todos los demás nodos y partes conectadas o incrustadas en la plataforma de software.
Los ciberdelincuentes se dirigen ahora a esta infraestructura digital, a los proveedores de servicios y software y a los desarrolladores como potenciales vectores de entrada en cientos de organizaciones, a menudo sin tener objetivos específicos en mente. Estos atacantes pueden aprovechar el software malicioso o comprometido para acceder al código fuente propietario, a los repositorios de desarrolladores y a las bibliotecas de código abierto, y luego maximizar la irrupción, moviéndose lateralmente a través de la cadena de suministro, comprometiendo a los usuarios finales sin importar el tamaño o la industria de la organización.
Casi todas las organizaciones del mundo utilizan software de código abierto en alguna medida, y los desarrolladores confían en estos repositorios para acelerar su habilitación, escalar sus servicios e implementar rápidamente nuevos procesos y procedimientos tecnológicos.
Un ejemplo de ello es el abuso de las vulnerabilidades presentes en aplicaciones ampliamente utilizadas. La vulnerabilidad del software de la herramienta de registro Log4j conmocionó al ecosistema mundial de ciberseguridad cuando se hizo pública a finales de 2021, lo que llevó a la Industria de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos a calificarla de “endémica” que los ciberdelincuentes explotarían durante “años”.
Debido a Log4j, los ciberatacantes pueden hacerse con el control de los sistemas digitales de las organizaciones, lo que lleva a la cibercomunidad a ‘parchar’ los sistemas vulnerables lo antes posible. Según datos externos de más de 150 organizaciones, Darktrace descubrió que el 85% de estas vulnerabilidades de alto riesgo siguen sin parchear después de una semana, y el 70% siguen sin parchear después de un mes.
Estas vulnerabilidades de la cadena de suministro y los métodos de ataque atraen a los criminales porque la explotación de una sola vulnerabilidad o la ejecución de una sola irrupción puede conducir al ataque de miles de organizaciones.
Las Pymes de todo el mundo están adoptando e integrando recursos de software en sus operaciones empresariales diarias. Este cambio también significa que millones de Pymes tienen más probabilidades que nunca de sufrir ciberataques perturbadores y costosos. Durante el último año, la proliferación de grandes cadenas de suministro de software a nivel mundial ha contribuido a este fuerte aumento de los ciberataques dirigidos a las Pymes.
Según una investigación de IBM, en 2021, las exfiltraciones de datos costaron a las pequeñas empresas una media de 2,98 millones de dólares, un aumento del 26,8% respecto al año anterior. Dado que los atacantes siguen apuntando a las cadenas de suministro de software, todas las organizaciones, incluidas las Pymes, deben reforzar sus posturas de ciberseguridad. Pero no se trata solo de protegerse a sí mismas; las organizaciones actuales dependen de terceros para operar a la escala y velocidad necesarias.
Solo durante 2021, Darktrace interrumpió de forma autónoma una media de 150.000 amenazas a la semana contra el sector de la informática y las comunicaciones, incluidos los proveedores de programa y los desarrolladores. En junio de 2022, este sector fue el más atacado por los ciberataques en toda la base global de clientes de Darktrace.
Esta dependencia requiere que sus proveedores y desarrolladores de programa se responsabilicen de las mejores prácticas de ciberseguridad, que evalúen constantemente el riesgo cibernético de la organización y que inviertan en herramientas de seguridad para mitigar este riesgo y limitar la interrupción en caso de una irrupción. Para los desarrolladores de software, la incorporación de normas de seguridad en una fase temprana del proceso de desarrollo de programa de código abierto es fundamental para proteger a las organizaciones que dependen de su programa.
Las organizaciones deben adoptar un enfoque proactivo de su ciberseguridad. No puede ser una idea tardía. Un posible método que las organizaciones pueden adoptar es un enfoque de “confianza cero” para el acceso. Este principio implica tratar a todos los dispositivos y usuarios como maliciosos y exigir una verificación en múltiples etapas. Confianza cero significa conceder a los empleados los mínimos privilegios necesarios para realizar su trabajo y disponer de controles para verificar la eficacia de estas políticas.
Los recientes avances en la tecnología de inteligencia artificial (IA) también pueden ayudar a las organizaciones a mitigar el riesgo cibernético a través de la gestión autónoma de la superficie de ataque, la emulación de adversarios y el equipo rojo continuo. La comprensión de las operaciones normales de su organización y, a su vez, de las vulnerabilidades más críticas desde el interior y el exterior puede arrojar una luz clara sobre toda su infraestructura y reducir su riesgo de ciberseguridad. Este conocimiento permite a las organizaciones identificar y priorizar las vulnerabilidades y reforzar sus defensas de forma autónoma, todo ello mientras aumentan sus equipos humanos de seguridad.
Para las Pymes, esto es especialmente crucial porque a menudo priorizan la eficiencia y la innovación sobre la inversión en personal de seguridad para hacer frente al panorama de las amenazas y la mitigación de los riesgos, algo que las soluciones de seguridad impulsadas por la IA pueden ayudar a aumentar. Aunque las empresas no pueden tener en cuenta todas las ciberamenazas que puedan surgir a través de su cadena de suministro de software, estos avances en IA les permitirán modelar y visualizar las rutas de ataque más probables y críticas de sus organizaciones y reducir la carga de los equipos de seguridad.
En última instancia, todas las empresas que dependen de los servicios de programa por suscripción para apoyar sus operaciones deben ser conscientes de los riesgos que conllevan. Todas las empresas, incluidas las Pymes, deben dar prioridad a la ciberseguridad y aceptar que deben tomar las precauciones necesarias para reducir su riesgo general y evitar la interrupción del negocio.
