Los delincuentes cibernéticos están aprovechando las debilidades de seguridad en la cadena de suministro de tecnología para acceder a los sistemas de las empresas y escalar sus operaciones de ciberataque con un mínimo esfuerzo.

Así lo demuestra un análisis de la unidad de investigación de SILIKN, que revela que el 79.6% de las relaciones B2B (empresa a empresa) que facilitaron infracciones de terceros involucraron software u otros productos y servicios tecnológicos.

«Esto significa que, en la mayoría de los casos, los atacantes aprovecharon las debilidades en la cadena de suministro de tecnología para acceder a los sistemas de las empresas objetivo», señaló Víctor Ruiz, fundador de SILIKN.

El 20.4% restante de las brechas de terceros involucraron productos o servicios no relacionados con la tecnología.

El grupo ransomware Cl0p fue responsable del 68% de las infracciones de terceros atribuibles en 2023, una cifra significativamente mayor que la de otros grupos como LockBit, que ocupó el segundo lugar con un 22%.

Este alto porcentaje expone la facilidad con la que los ciberatacantes explotan las vulnerabilidades en la cadena de suministro de tecnología.

La preeminencia de este grupo (Cl0p) se debió en gran medida a su explotación a gran escala de una vulnerabilidad de día cero en el software de transferencia de archivos MOVEit de la empresa Progress Software.

«Esta vulnerabilidad, que se convirtió en la más mencionada en 2023, permitió a Cl0p acceder a los sistemas de un gran número de empresas y comprometer sus datos», precisó Víctor Ruiz.

Explica que la creciente desproporción en la distribución de las infracciones entre grupos de ciberatacantes tiene una lógica clara si se analizan las razones por las que estos grupos eligen vectores de ataque de terceros.

«Estos métodos facilitan la afectación simultánea de un gran número de víctimas, lo que amplifica la capacidad de daño de las operaciones», mencionó.

Refirió que, al comprometer a un proveedor de servicios gestionados, un atacante puede acceder a los sistemas de decenas o incluso cientos de sus clientes con un esfuerzo mínimo.

«En este sentido, es lógico que los grupos que recurren con mayor frecuencia a este tipo de ataques sean responsables de una porción desproporcionada de las víctimas», subrayó.

Al respecto, detalló que cerca del 68% de las intrusiones sufridas por empresas a través de terceros se atribuyen a la vulnerabilidad CVE-2023-34362 presente en el software MOVEit.

Precisó que las tres vulnerabilidades más explotadas -MOVEit, CitrixBleed y Proself- fueron responsables del 81% de las intrusiones que involucraban una vulnerabilidad específica.

«El impacto generalizado del día cero de MOVEit se debe en parte a que permitió comprometer a empresas no solo en segundo grado (proveedores directos), sino también en tercer, cuarto y quinto grado (proveedores de proveedores)», resaltó.

Asimismo, dijo que más de un tercio (35%) de las intrusiones sufridas por las empresas en 2023 se atribuyen a vectores de ataque que involucran a terceros, aunque esta cifra probablemente subestima la magnitud del problema, ya que muchos informes no especifican el vector de ataque utilizado.

Por todo ello, Víctor Ruiz afirma que el ecosistema de proveedores se ha convertido en un objetivo sumamente atractivo para los grupos cibercriminales, especialmente aquellos que se especializan en ataques de ransomware.

«Las intrusiones cibernéticas que se originan en terceros no solo son más frecuentes, sino que también tienen un costo significativamente mayor que las que se originan internamente», remarcó.