Photo by Stephen Leonardi on Unsplash
Para la cadena de suministro, es necesario reconocer que las amenazas de antaño han pasado a un segundo plano frente a los riesgos de las campañas de ingeniería social que están proliferando en la actualidad.
Los estudios publicados alertan sobre el incremento del 78% en los ataques e incidentes de ciberseguridad que afectaron la cadena de suministro (Resilience 360 (DHL Consulting)). Este hallazgo no debería sorprender si se considera que desde analistas e investigadores de ciberseguridad hasta el propio FBI han tenido que advertir públicamente sobre los riesgos en el ecosistema global de proveedores.
En un intento por mitigar el riesgo cibernético, muchas organizaciones, en particular las de Fortune 500 con cadenas de suministro amplias y globales, han intensificado la forma en que examinan a los nuevos proveedores. Las organizaciones han exigido conocer los protocolos, procesos y procedimientos de ciberseguridad de sus partners y proveedores. Desde cuestionarios que evalúan políticas de firewall, certificaciones de cumplimiento y protecciones de terminales, hasta formularios que buscan detalles sobre políticas de datos en vuelo, controles de acceso físico, protecciones antivirus y más, la profundidad de la información solicitada es bastante completa, o eso parece.
Sin embargo, hay una serie de preguntas que casi siempre están ausentes de estas evaluaciones de proveedores, como ¿cuál es su scoring de ciberriesgo humano? ¿cómo garantiza el nivel adecuado de ciberconcienciación de sus empleados? ¿cuál es su estrategia de seguridad de correo electrónico? La falta de atención al ciberriesgo humano y a la seguridad del correo electrónico es desconcertante si se considera que nueve de cada 10 ciberataques comienzan con una campaña de phishing por correo electrónico. Es aún más preocupante comprender cómo los atacantes han desarrollado sus estrategias de ataque para subvertir incluso los controles humanos y técnicos mejor entrenados.
Un gran número de proveedores posibilita miles de vectores de ataque
Según CSO, más del 56% de las organizaciones informan haber sido víctimas de una infracción causada por su proveedor. Esto sugiere que se comprenden bien las motivaciones detrás de los ataques a la cadena de suministro.
En pocas palabras, es infinitamente más fácil para los atacantes, independientemente de su experiencia y respaldo financiero, explotar a un proveedor pequeño o mediano con salvaguardas de ciberseguridad limitadas como un medio para dañar o interrumpir una organización más grande que piratear la organización más grande directamente.
Cuando ni los humanos ni la tecnología logran detener los ataques
Desafortunadamente, los atacantes son inteligentes y, cuando parece que una industria está ganando terreno, se apresuran a cambiar de rumbo. Y eso es exactamente lo que está sucediendo con la cadena de suministro actual. A medida que las técnicas de ataque tradicionales se vuelven más difíciles de llevar a cabo, los atacantes han puesto sus miras en el vector de ataque más efectivo que el mundo haya conocido, el correo electrónico.
En los últimos dos años ha resurgido un tipo de amenaza de correo electrónico que carece de todos los identificadores que los humanos y la mayoría de la tecnología están capacitados para buscar. Comúnmente conocidos como compromiso de correo electrónico empresarial (BEC), estos ataques engañan a los usuarios para que realicen acciones, como enviar un pago o actualizar una tarjeta de crédito.
Estos ataques de “ingeniería social” a menudo se aprovechan de la naturaleza humana al hacerse pasar por ejecutivos o colegas dentro de una empresa. Debido a que no hay ningún archivo adjunto o URL malicioso, es mucho más difícil para la seguridad del correo electrónico identificar y evitar que ese correo electrónico llegue a su destino previsto.
Dicho esto, el objetivo final es el mismo: una vez que un destinatario responde al correo electrónico inicial, la puerta está abierta para que un ciberdelincuente envíe un enlace a una página de inicio de sesión falsa, similar a un ataque de phishing tradicional.
Ha habido avances para combatir estos ataques a medida que aumentan su popularidad y su impacto económico para las empresas. El FBI estima que más de $ 1.7 mil millones en pérdidas surgieron de BEC solo en 2019.
En particular, el uso de sitios web de phishing con llamadas a la acción de inicio de sesión falsas está ganando popularidad debido a la facilidad de implementación y el retorno de la inversión. De hecho, Bolster informó más de 800.000 sitios web de phishing confirmados en solo el primer trimestre de 2020. Los sitios web de phishing de inicio de sesión falsos son especialmente problemáticos para muchas herramientas de seguridad de correo electrónico que carecen de capacidades de detección de anomalías visuales para evaluar una página de inicio de sesión falsa desde una página de inicio de sesión legítima en tiempo real.
Reducir el riesgo requiere un cambio de mentalidad tanto como de tecnología
Entonces, ¿qué se supone que debe hacer la cadena de suministro para reducir el riesgo cuando los atacantes planean campañas diseñadas específicamente para evitar detecciones?
Esperamos que los avances en nuevas herramientas mejoren el nivel de ciberseguridad y capacidad de enfrentar la situación, sin embargo, mientras tanto es clave mantener el estado de alerta y entrenamiento de los empleados en toda la cadena de suministro.
Pero, como cualquier otra cosa, el primer paso para solucionar un problema es admitir que existe. Para la cadena de suministro, es reconocer que las amenazas de antaño han pasado a un segundo plano frente a los riesgos de las campañas de ingeniería social que están proliferando en la actualidad. Con ese reconocimiento, uno esperaría que las preguntas sobre ciberriesgo humano estén llegando ya a los cuestionarios de seguridad de los proveedores. Si queremos dar un paso más allá implantar una herramienta de gestión del ciberriesgo humano será clave para asegurar que toda la cadena de suministro sigue el mismo estándar de seguridad.