Ciberataques: una amenaza para la cadena de suministro

16 Abril 2025
| No hay comentarios
Anzeige

Compartir publicación

Con el progreso constante de la transformación digital en los últimos años, las empresas se han vuelto cada vez más dependientes de numerosos socios y proveedores. Este cambio ha dado lugar a una infraestructura de TI más compleja y ha aumentado significativamente la superficie de ataque que los ciberdelincuentes pueden explotar. Se dirigen al eslabón más débil de la cadena de suministro para conseguir acceso a todo el sistema.

Por ejemplo, en noviembre de 2024, el proveedor de software estadounidense Blue Yonder fue víctima de un ataque de ransomware que afectó las operaciones de 3.000 empresas en 76 países. Esto nos lleva a la pregunta: ¿Cómo podemos proteger toda la cadena de suministro de amenazas cibernéticas cada vez más frecuentes y sofisticadas? Según Michael Veit, experto en ciberseguridad de Sophos.

Anzeige

Oportunidades y riesgos del código abierto y la IA

Dada la naturaleza interconectada de los sistemas corporativos, de proveedores y de socios, los ciberdelincuentes apuntan cada vez más a terceros para llevar a cabo sus ataques y comprometer los datos y sistemas corporativos. Las pymes y los subcontratistas son especialmente vulnerables en materia de ciberseguridad debido a sus recursos limitados.

Los componentes de software de código abierto en particular ofrecen una superficie para los ataques. Dado que el código de codificación es público, los atacantes pueden explorarlo en busca de fallas y potencialmente explotar muchas aplicaciones de software al mismo tiempo al descubrir errores críticos. Pero el enfoque abierto también ofrece ventajas. Las bibliotecas de código abierto populares son revisadas y mejoradas continuamente por cientos de colaboradores, lo que da como resultado una detección más rápida de problemas y actualizaciones más rápidas.

Anzeige

Suscríbete al boletín ahora

Lea las mejores noticias de SEGURIDAD CIBERNÉTICA B2B una vez al mes



Al hacer clic en "Registrarse", acepto el procesamiento y uso de mis datos de acuerdo con la declaración de consentimiento (abra para más detalles). Puedo encontrar más información en nuestro Política de privacidad . Después de registrarse, primero recibirá un correo electrónico de confirmación para que ninguna otra persona pueda pedir algo que no desea.
Ampliar para obtener detalles sobre su consentimiento
No hace falta decir que tratamos sus datos personales de forma responsable. Si recopilamos datos personales suyos, los procesamos de conformidad con las normas de protección de datos aplicables. Puede encontrar información detallada en nuestro Política de privacidad . Puedes darte de baja del newsletter en cualquier momento. Puede encontrar el enlace correspondiente en el boletín. Después de darse de baja, sus datos se eliminarán lo más rápido posible. La restauración no es posible. Si desea volver a recibir el boletín, simplemente vuelva a solicitarlo. Haga lo mismo si desea utilizar una dirección de correo electrónico diferente para su boletín. Si desea recibir el boletín informativo que se ofrece en el sitio web, necesitamos su dirección de correo electrónico, así como información que nos permita verificar que usted es el propietario de la dirección de correo electrónico proporcionada y que acepta recibir el boletín. No se recopilan más datos o solo se recopilan de forma voluntaria. Para procesar el boletín utilizamos proveedores de servicios de boletín, que se describen a continuación.

CleverReach

Este sitio web utiliza CleverReach para enviar boletines. El proveedor es CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Alemania (en adelante, "CleverReach"). CleverReach es un servicio que se puede utilizar para organizar y analizar la distribución de boletines. Los datos que introduce para recibir el boletín (por ejemplo, dirección de correo electrónico) se almacenan en los servidores de CleverReach en Alemania e Irlanda. Nuestros boletines enviados con CleverReach nos permiten analizar el comportamiento de los destinatarios del boletín. Esto puede incluir, entre otras cosas: Analiza cuántos destinatarios abrieron el mensaje del boletín y con qué frecuencia se hizo clic en qué enlace del boletín. Con la ayuda del llamado seguimiento de conversiones también se puede analizar si se ha realizado una acción predefinida (por ejemplo, comprar un producto en este sitio web) después de hacer clic en el enlace del boletín. Puede encontrar más información sobre el análisis de datos a través del boletín CleverReach en: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. El procesamiento de datos se basa en su consentimiento (Art. 6 Párr. 1 lit. a GDPR). Puede revocar este consentimiento en cualquier momento dándose de baja de la newsletter. La revocación no afectará a la legalidad de los tratamientos de datos ya realizados. Si no desea que CleverReach realice análisis, deberá darse de baja del boletín. Para ello, en cada mensaje del boletín ponemos a su disposición el enlace correspondiente. Los datos que nos proporcione con el fin de suscribirse al boletín serán almacenados por nosotros o por el proveedor del servicio del boletín hasta que se dé de baja del boletín y se eliminarán de la lista de distribución del boletín después de que se dé de baja del boletín. Los datos almacenados por nosotros para otros fines no se verán afectados. Una vez que se haya dado de baja de la lista de distribución del boletín, nosotros o el proveedor del servicio del boletín podemos almacenar su dirección de correo electrónico en una lista negra si esto es necesario para evitar futuros envíos. Los datos de la lista negra sólo se utilizarán para este fin y no se combinarán con otros datos. Esto sirve tanto para su interés como para el nuestro en el cumplimiento de los requisitos legales al enviar boletines informativos (interés legítimo en el sentido del art. 6, apartado 1, letra f del RGPD). El almacenamiento en la lista negra no está limitado en el tiempo. Puede oponerse al almacenamiento si sus intereses superan a nuestros intereses legítimos. Para obtener más información, consulte la política de privacidad de CleverReach en: https://www.cleverreach.com/de/datenschutz/.

Procesamiento de pedidos

Hemos concluido un contrato de procesamiento de pedidos (AVV) para el uso del servicio mencionado anteriormente. Este es un contrato requerido por la ley de protección de datos, que garantiza que los datos personales de los visitantes de nuestro sitio web solo se procesen de acuerdo con nuestras instrucciones y de conformidad con el RGPD.

Trabajo remoto, IA, correos electrónicos laborales en teléfonos móviles privados: todos vulnerables a ataques

Los ciberdelincuentes también utilizan cada vez más la ingeniería social para atacar a empleados con acceso estratégico o estatus altamente privilegiado dentro de la infraestructura de TI. Esto les permite eludir las defensas técnicas utilizando tácticas de manipulación humana. El rápido desarrollo de la inteligencia artificial ha perfeccionado aún más estas técnicas, permitiendo campañas de phishing ultra específicas, deepfakes y ataques móviles convincentes. Por último, el aumento del trabajo remoto y el uso de dispositivos personales como teléfonos móviles para fines profesionales han incrementado la superficie de ataque de los ciberdelincuentes.

Las estrategias de defensa se basan en Zero Trust y MFA

Para reducir estos riesgos, las empresas deben implementar estrategias de defensa integrales. Es importante combatir posibles ataques aplicando los conceptos, herramientas y socios adecuados. El enfoque de confianza cero es una piedra angular de una estrategia sólida de ciberseguridad. Se basa en el principio de “nunca confiar, siempre verificar”.

Esto también incluye la implementación de métodos de autenticación fuertes, como tecnologías multifactor, combinadas con controles estrictos y gestión de acceso segmentado. Es esencial garantizar que sólo los empleados adecuados tengan el estatus privilegiado apropiado. Además, el acceso debe revisarse periódicamente y ajustarse si es necesario, especialmente para proveedores o socios externos.

Las regulaciones ayudan a frenar los ataques a la cadena de suministro

Michael Veit, experto en ciberseguridad de Sophos (Imagen: Sophos).

Es igualmente importante garantizar que todos los miembros del ecosistema tengan la protección de seguridad adecuada, tanto por razones de ciberseguridad como para cumplir con los requisitos regulatorios. Por ejemplo, con base en la regulación DORA (Digital Operational Resilience Act), los proveedores de servicios financieros deben asegurarse de que todos sus proveedores y socios cumplan con los estándares de seguridad establecidos.

Los ciberdelincuentes apuntan cada vez más a las cadenas de suministro para infiltrarse en sistemas seguros explotando a proveedores y socios más pequeños y con menos recursos. Para garantizar la continuidad del negocio y proteger infraestructuras de TI cada vez más complejas e interconectadas, las organizaciones deben desarrollar e implementar estrategias y mejores prácticas de ciberseguridad efectivas. Esto incluye la colaboración no sólo con terceros sino también con expertos en ciberseguridad que brindan soluciones personalizadas, asesoramiento y apoyo para crear el marco técnico necesario para proteger todo el ecosistema cumpliendo con las regulaciones legales.

Más en Sophos.com

 

Acerca de Sophos

Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.

 

Artículos relacionados con el tema

Más de 130.000 filtraciones de datos en Europa en 2024

En 15 países europeos, en 2024 se produjeron más de 365 violaciones de protección de datos cada día, según los resultados de un análisis reciente. En Alemania ➡ Leer más

Ataques DDoS: el medio más importante de guerra cibernética

En la segunda mitad de 2024, hubo al menos 8.911.312 ataques DDoS en todo el mundo, según los resultados de un reciente Informe de inteligencia de amenazas DDoS. ➡ Leer más

Ciberdelincuencia: el movimiento clandestino rusoparlante lidera

Un nuevo informe de investigación ofrece una visión exhaustiva del mundo cibernético clandestino de habla rusa. Este ecosistema ha tenido un impacto significativo en el cibercrimen global en los últimos tiempos. ➡ Leer más

Máxima seguridad informática para sistemas OT

Los sistemas OT rara vez son atacados directamente. Pero debido a las brechas y vulnerabilidades de la TI tradicional, los sistemas OT están en grave riesgo de sufrir ataques. ➡ Leer más

Ley de Ciberresiliencia: Las empresas deben actuar ahora

La Ley de Resiliencia Cibernética (CRA) está avanzando a grandes pasos. Para los fabricantes, esto significa que los dispositivos con vulnerabilidades de seguridad explotables pronto ya no estarán disponibles. ➡ Leer más

El uso de herramientas de IA/ML aumentó en un 3000 por ciento

Las herramientas de IA/ML son populares, según los resultados de un informe reciente sobre amenazas. Sin embargo, un uso creciente también conlleva riesgos de seguridad. Ciberdelincuentes ➡ Leer más

Vishing: los delincuentes recurren a ataques de phishing de voz

Utilizando deepfakes creados por IA, los ciberdelincuentes imitan voces confiables. El vishing se ha disparado en la segunda mitad de 2024, según los resultados de un ➡ Leer más

Índice de confianza digital: la confianza en los servicios digitales está disminuyendo

La confianza digital o el miedo a una filtración de datos influyen en si los consumidores recurren a las marcas o las abandonan, según los resultados ➡ Leer más

Sophos, Stories
, , , ,