Tags:

Un ataque de «supply chain», o ataque a la cadena de suministro, consiste en la infiltración por parte de un desconocido en un sistema a través de un socio o proveedor externo con acceso a sus sistemas y datos.

Es decir, el atacante accede a un sistema después de comprometer la seguridad de un tercero que, como sucede cada vez más, tiene accesos con ciertos privilegios en el sistema objetivo. Cada día hay más proveedores y prestadores de servicios que acceden a datos sensibles de las empresas a las que dan servicio, por tanto, el ataque de «supply chain» tiene cada vez más importancia.

Como sucede en otros tipos de ataque, como los que implican Ransomware, los atacantes cuentan con cada vez más recursos y herramientas para planificar los ataques a la cadena de suministro, lo que eleva los riesgos asociados para las empresas a cotas nunca antes vistas.

Existen muchos ejemplos de brechas de seguridad que llevaron a la exposición de millones de datos de clientes que fueron causadas por un ataque a la cadena de suministro. Normalmente, los atacantes buscan el eslabón más débil de la cadena y centran ahí sus esfuerzos. Por ejemplo, en 2014 la cadena de supermercados Target sufrió un ataqueque expuso datos de 70 millones de clientes y 40 millones de tarjetas de crédito y de débito. Los atacantes usaron las credenciales robadas de un vendedor de sistemas de ventilación para robar los datos de la cadena minorista.

Estos no son casos aislados, aunque sí son muy espectaculares dadas las cifras de datos expuestos y el alcance de los ataques. Existen muchas más empresas, más pequeñas en su mayoría, que también sufren este tipo de amenaza.

Según un informe de la compañía BlueVoyant sobre los «ciberriesgos» de la cadena de suministro, un 80% de las organizaciones han tenido una incidencia causada por uno de sus proveedores.

El promedio de violaciones a través de un tercero para esos encuestados fue de 2,7. A pesar del alto riesgo de que esto suceda, tres cuartas partes de los encuestados manifestaron tener una visibilidad limitada de esos proveedores.

Por otro lado, solo el 18% de las empresas dice tener la certeza de saber si esos proveedores estaban, a su vez, compartiendo dicha información con otros. Ahí radica el gran problema, puesto que, de cara a los clientes, el hecho de que sea un proveedor de la empresa, o la empresa misma, es indiferente.

Estos riesgos se gestionan, en parte, gracias a las regulaciones y normativas enfocadas en la protección de datos de los ciudadanos, como el RGPD en Europa, pero seguramente veamos surgir aún más normativas que regulen y protejan a las empresas de los riesgos asociados a terceros.

Para proteger la cadena de suministro y minimizar los riesgos es necesario asociarse con un partner capaz de traducir su experiencia en resultados. T-Systems ayuda a sus clientes en este campo con su experiencia y sus productos optimizados, interconectados e individualizados para toda la cadena de suministro.

De esta manera, sus clientes tendrán la confianza de ir de la mano de un gran aliado para la digitalización de su cadena de suministro, manteniéndola, además, protegida de estos riesgos que describimos con anterioridad.

Deja tu comentario sobre "Qué son los ataques de ‘supply chain’ y cómo podemos defendernos de ellos"

Nos encantará conocer tu opinión, pero primero tenemos que indicarte que los comentarios están moderados, y no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos a los autores, a cualquier otro comentarista o la empresa propietaria de esta página. Estás en tu perfecto derecho de comentar anónimamente, pero por favor, no utilices el anonimato para decirles a las personas cosas que no les dirías en caso de tenerlas delante. Intenta mantener un ambiente agradable en el que las personas puedan comentar sin temor a sentirse insultados o descalificados. No comentes de manera repetitiva sobre un mismo tema, y mucho menos con varias identidades o suplantando a otros comentaristas. También, procura que tus opiniones estén relacionadas con lo que se comenta en esta entrada. Los comentarios off-topic, promocionales, o que incumplan todas estas normas básicas serán eliminados.


Presto mi consentimiento para que, de acuerdo a la normativa europea de protección de datos, T-Systems ITC Iberia S.A.U trate mis datos personales con la finalidad de identificar al autor del comentario previo. Estos datos se pueden ceder a las empresas del grupo Deutsche Telekom AG. No está prevista la realización de transferencias a terceros. Puede ejercer sus derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad de datos solicitándolo por escrito a: T-Systems ITC Iberia SAU, Carrer Pere IV, 313. 08020 Barcelona, o a través de correo electrónico a FMB.TS-IB-PROTEC-DATOS-PERSONALES@t-systems.com. A su vez, puede dirigir cualquier consulta al Delegado de Protección de Datos a la dirección indicada anteriormente con la finalidad de identificar el autor del comentario previo y gestionar su consulta si fuera el caso.