¿Qué es un ataque a la cadena de suministro?

Los ataques a la cadena de suministro están diseñados para explotar las relaciones de confianza entre una organización y partes externas. Estas relaciones podrían incluir asociaciones, relaciones con proveedores o el uso de software de terceros. Los actores de amenazas cibernéticas comprometerán una organización y luego ascenderán en la cadena de suministro, aprovechando estas relaciones de confianza para obtener acceso a los entornos de otras organizaciones.

¿Prevenir un ataque? SOBRE CIBERSEGURIDAD 2023

¿Qué es un ataque a la cadena de suministro?

Los ataques a la cadena de suministro están surgiendo

Given the outsized impact they can have, it is unsurprising that supply chain attacks have dramatically increased in recent years. Data shows that from 2021 to 2023, supply chain attacks grew by 431%.

  • More recent data from Check Point’s State of Cyber Security 2025 report found hardware and software supply chains experienced the highest surge of attacks in 2024.
  • The report found that the average number of attacks targeting software, hardware, and semiconductor companies increased by 179%.

Experts state this is due to the increased global demand for hardware and the focus on AI technologies. As a vital component of modern infrastructure and innovations, the technological supply chain is becoming a significant target for cyber criminals.

Exploiting supply chain vulnerabilities in these sectors provides many opportunities for:

  • Financial gain
  • Espionage
  • Disruption

High-Profile Supply Chain Incidents

Con los nuevos vectores de ataque creados por el trabajo remoto y los equipos de seguridad abrumados, los ciberdelincuentes han tenido muchas oportunidades de realizar ataques a la cadena de suministro. Algunos de los más grandes en los últimos años incluyen:

  • SolarWinds: En 2020, un grupo de piratas informáticos obtuvo acceso al entorno de producción de SolarWinds e incorporó una puerta trasera en las actualizaciones de su producto de monitoreo de red Orion. Los clientes de SolarWinds que ejecuten la actualización maliciosa sufrieron violaciones de datos y otros incidentes de seguridad.
  • Kaseya: La banda de ransomware REvil aprovechó Kaseya, una empresa de software que proporciona software para proveedores de servicios gestionados (MSP), para infectar a más de 1000 clientes con ransomware.  El grupo exigió un rescate de $70 millones para proporcionar claves de descifrado para todos los clientes afectados. 
  • Codecov: Codecov es una organización de pruebas de software cuyo script de carga de Bash (utilizado para enviar informes de cobertura de código a la empresa) fue modificado por un atacante. Este exploit de la cadena de suministro permitió a los atacantes redirigir información confidencial como código fuente, secretos y más de los clientes de CodeCov a sus propios servidores.
  • NotPetya: NotPetya era un malware ransomware falso que cifraba las computadoras pero no guardaba la clave secreta para descifrarlas. Se llama convertirlo en un “limpiaparabrisas”.
    • El ataque NotPetya comenzó como un ataque a la cadena de suministro cuando una empresa de contabilidad ucraniana fue atacada y el malware se incluyó en una actualización maliciosa.
  • Atlassian: en noviembre de 2020, Check Point Research (CPR) descubrió una serie de vulnerabilidades que, cuando se combinan, pueden explotarse para hacerse con el control de una cuenta y de varias aplicaciones de Atlassian que están conectadas mediante SSO.
    • Lo que hace que esta vulnerabilidad sea un ataque potencial a la cadena de suministro es que una vez que el atacante explota estas fallas y obtiene el control de una cuenta, puede instalar puertas traseras que puede utilizar en el futuro.
    • Esto puede resultar en un daño grave que solo se detectará y controlará después de que se haya producido el daño.
    • Check Point Research reveló responsablemente esta información a los equipos de Atlassian, quienes implementaron una solución para garantizar que sus usuarios puedan continuar compartiendo información de manera segura en las distintas plataformas.
  • British Airways: En 2018, British Airways sufrió un ataque Magecart que comprometió más de 380.000 transacciones en el sitio web de la aerolínea. El ataque fue posible gracias a un ataque a la cadena de suministro que comprometió a uno de los proveedores de la aerolínea y se extendió a British Airways, Ticketmaster y otras compañías.

  • Linux XZ

    Discovered in 2024, the Linux XZ supply chain attack was a multi-year operation to insert a backdoor into the open-source project. XZ utilities are regularly used for compression in Linux.

    The backdoor enabled remote code execution to attackers with a specific key.

    The compromised version of XZ utilities was not widely deployed when the vulnerability was discovered. But, it was present in development versions. Experts stated that if undetected, the Linux XZ backdoor could have given the attackers access to hundreds of millions of systems around the world.

Cómo funciona un ataque a la cadena de suministro

Un ataque a la cadena de suministro aprovecha las relaciones de confianza entre diferentes organizaciones. Todas las organizaciones tienen un nivel de confianza implícita en otras empresas cuando instalan y utilizan el software de la empresa dentro de su red o trabajan con ellas como proveedores.

Un ataque a la cadena de suministro apunta al eslabón más débil de una cadena de confianza. Si una organización tiene una seguridad cibernética sólida pero tiene un proveedor de confianza inseguro, entonces los atacantes atacarán a ese proveedor. Con un punto de apoyo en la red del proveedor, los atacantes podrían luego pasar a la red más segura utilizando esa relación de confianza.

Un tipo común de objetivos de ataque a la cadena de suministro son los proveedores de servicios administrados (MSP). Los MSP tienen un profundo acceso al rojo de sus clientes, lo cual es invaluable para un atacante. Después de explotar el MSP, el atacante puede expandirse fácilmente a su cliente rojo. Al explotar la vulnerabilidad de la cadena de suministro, estos atacantes tienen un impacto mayor y pueden obtener acceso a información roja que sería mucho más difícil de atacar directamente. Así es como los atacantes de Kaseya lograron infectar tantas organizaciones con ransomware.

 

Otros ataques a la cadena de suministro utilizan software para entregar malware a los clientes de una organización.  Por ejemplo, los atacantes de SolarWinds obtuvieron acceso a los servidores de compilación de la empresa e inyectaron una puerta trasera en las actualizaciones del producto de monitoreo de red SolarWinds Orion.  Cuando este código de actualización se envió a los clientes, los atacantes también obtuvieron acceso a su red.

Los impactos de los ataques a la cadena de suministro

Los ataques a la cadena de suministro simplemente proporcionan a un atacante otro método para romper las defensas de una organización. Se pueden utilizar para realizar cualquier tipo de ciberataque, como por ejemplo:

  • Violación de datos: Los ataques a la cadena de suministro se utilizan comúnmente para realizar violaciones de datos. Por ejemplo, el hackeo de SolarWinds expuso los datos confidenciales de múltiples organizaciones del sector público y privado.
  • Infecciones de malware: los ciberdelincuentes a menudo aprovechan la vulnerabilidad de la cadena de suministro para entregar malware a una organización objetivo. SolarWinds incluyó la entrega de una puerta trasera maliciosa y el ataque de Kaseya resultó en un ransomware diseñado para explotarla.

What Makes Supply Chain Attacks Dangerous

Supply chain attacks are a significant concern because they don’t target your systems directly, but rather exploit your trust in others. Whenever you install and use a vendor’s software or add a third-party dependency to your own code, you’re implicitly placing your trust in that vendor’s security.

This exposes you to any mistakes that might be made by external organizations and developers.

For instance, you assume they didn’t accidentally introduce vulnerabilities to their software and regularly update their code to patch out new exploits as they are discovered.

This is a particular concern for open-source dependencies…

Open-Source Software

Relying on unpaid developers to continually update their open-source projects and respond to new threats can be a major supply chain weakness.

Supply chain attacks aren’t trying to exploit the strongest link in the chain, they target the weakest. Therefore, you can be left exposed even if you develop extensive internal security controls to protect your systems without proper third-party risk management strategies.

Supply Chain Breach & Backdoor

Plus, once hackers have a supply chain breach and add a backdoor to a piece of software that is widely used, they can launch far-reaching attacks with many victims. Cybercriminals can get a much larger return on investment by compromising third-party code.

Rather than attacking an organization head-on and getting one victim, they can go after the software supply chain and get many more victims from a single vulnerability.

This attracts some of the most sophisticated hackers and groups to find supply chain attack vectors.

How to Prevent Supply Chain Attacks

While these attacks are hard to detect and remediate, there are best practices for supply chain cybersecurity that you can implement to limit their impact. These processes can be broken down into third-party risk management approaches that improve your supply chain resilience, and internal practices that limit the impact of compromised systems.

Third-Party Risk Management

Assessing vendor security standards and managing the risk of using external software and dependencies is a critical aspect of supply chain cybersecurity. You need to rigorously assess your vendors and determine the security of their development practices.

Performing third-party risk assessments allows you to identify specific security policies you want vendors to implement to work with you.

Plus, you can group vendors based on the risk they pose (their internal security practices and how much access they have to your sensitive business data). Then, prioritize monitoring each vendor based on their vulnerability level. This includes:

  • Identifying all open source dependencies
  • Ensuring they remain active projects that still push updates based on the latest threats.

Beyond open source projects, patch management is a vital aspect across supply chain cybersecurity.

You have to maintain the latest software versions to ensure the window of risk posed by new vulnerabilities is as small as possible.

Mejores prácticas para identificar y mitigar los ataques a la cadena de suministro

Los ataques a la cadena de suministro aprovechan las relaciones de confianza no seguras entre una empresa y otras organizaciones. Algunas formas de mitigar los riesgos de estos ataques incluyen:

  • Implementar privilegios mínimos: Muchas organizaciones asignan acceso y permisos excesivos a sus empleados, socios y software. Estos permisos excesivos hacen que los ataques a la cadena de suministro sean más fáciles de realizar. Implemente los privilegios mínimos y asigne a todas las personas y software solo los permisos que necesitan para hacer su trabajo.
  • Realice la segmentación de la red: el software de terceros y las organizaciones asociadas no necesitan acceso ilimitado a todos los rincones de la red. Utilice la segmentación de red para dividir la red en zonas según las funciones comerciales. De esta manera, si un ataque a la cadena de suministro compromete parte de la red, el resto de la red aún estará protegida.
  • Siga las prácticas de DevSecOps: al integrar la seguridad en el ciclo de vida de desarrollo, es posible detectar si el software, como las actualizaciones de Orion, se ha modificado maliciosamente.
  • Prevención de amenazas automatizada y Threat Hunting: los analistas de los Centros de Operaciones de Seguridad (SOC) deben protegerse contra ataques en todos los entornos de la organización, incluidos el terminal, la red, la nube y el móvil.

Minimizing the Impact of a Supply Chain Breach

To minimize third-party supply chain risks, you need to reduce the access these systems have within your network. This includes introducing zero trust practices based on least privilege access. This makes applications and users continually verify their identity while only providing access to the systems they need, nothing more.

Another Zero Trust Network Access (ZTNA) technique is network segmentation, which divides your systems into siloed sections with strong security controls when moving between them.

ZTNA reduces the impact of supply chain breaches by preventing lateral movement.

The attacker only has access to the initial compromised system and struggles to extend their access further. Other techniques to help prevent supply chain attacks include:

  • Following DevSecOps best practices to test for vulnerabilities in any dependencies you use. You can improve software development visibility through a Software Bill of Materials (SBOM) that tracks details (source, version, etc.) of every dependency.
  • Regularly scanning your system with malware prevention tools to prevent attacks from executing.
  • Develop incident response plans that include considerations for supply chain attacks. This could implement sandboxing new code before executing it to mitigate any backdoors.
  • Track all of the applications and services employees use and uncover any shadow IT (unsanctioned applications) to ensure your supply chain attack surface is not larger than you realise.

Protección contra ataques a la cadena de suministro con Check Point

Supply chain attackers take advantage of a lack of monitoring within an organization’s environment. Check Point Check Point Endpoint Security helps an organization to protect against these threats by monitoring applications for suspicious behavior that might point to compromise.

 

To learn more about the types of attacks that Check Point Endpoint Security protects against, check out Check Point’s 2021 Cyber Security Report. Then, take a security checkup to learn about the security issues within your environment. You can also learn how to close these security gaps with a free demo.