Esta es la conclusión principal que se extrae del último estudio publicado por Juniper Research, que estima que en solo tres años las inversiones mundiales para las empresas en este sentido serán de casi 46.000 millones de dólares. Los ciberataques se volverán más ágiles, precisos y personalizados, de tal modo que sean capaces de acentuar las vulnerabilidades de las brechas de seguridad e incrementarse en más del 76%.

Todo ello supondrá a la economía mundial una reducción de casi 81.000 millones de dólares en sus ingresos, además de verse dañada la imagen de las empresas, el concepto de ciberseguridad y la confianza de los usuarios en los sistemas. De hecho, las estimaciones apuntan a las organizaciones automotrices, médicas, financieras, tecnológicas y gubernamentales como las principales damnificadas.

La principal causa de crecimiento

La expansión del fenómeno de la digitalización en todos los niveles de las cadenas de distribución ha provocado que los diferentes departamentos empresariales se vuelvan más vulnerables, poniendo en serio peligro no solo a la cadena de suministro de software, sino a todas las piezas del puzle empresarial.

Los analistas de Juniper Research consideran que la ausencia de recursos de seguridad cibernética le seguirá costando a las organizaciones importantes sumas de dinero, sumado a la falta de reconocimiento del valor de los datos y de los procesos con los que interactúan, así como la falta de concienciación entre los directivos y empleados.

El último caso destacado

A finales de marzo se daba a conocer el ataque a la cadena de suministro de software sufrido por 3CX, una aplicación VoIP de videoconferencia y voz utilizada por miles de empresas en todo el mundo. Aunque la investigación aún se encuentra en curso, se sospecha que las amenazas podrían proceder del grupo Labyrinth Chollima, surgido en 2009 y que opera desde Corea del Norte.

Todo comenzó cuando un empleado de 3CX usó sus credenciales para descargar e instalar el software X_Trader con el malware Veiledsignal de Trading Technologies. Se observaba como el binario 3CXDesktopApp.exe desplegó un balizamiento a la infraestructura controlada por un actor de amenazas, cargas útiles y actividad práctica en el teclado.

En su momento, la Agencia de Seguridad de Infraestructura y Ciberseguridad confirmó que los más de 600.000 clientes corporativos y los más de 12 millones de usuarios activos diarios corrían riesgos, quedando en concreto 242.000 sistemas de administración de teléfonos 3CX expuestos públicamente. Entre ellos destacan empresas de la talla del Servicio Nacional de Salud de Reino Unido, Honda, BMW, PepsiCo o Air France, entre otros.

En total se enviaron 2.595 informes de incidentes en los que se apreciaba que el binario coincidía con hashes maliciosos conocidos, afectando a su aplicación Windows Electron en su actualización 7. A su vez, el ataque se basaba en la carga lateral de DLL, algo inapreciable para los clientes.

Las repercusiones del ataque a 3CX

Este es el primer caso en el que un ataque a la cadena de suministro de software de una empresa provoca consecuencias negativas en otras empresas y productos, ya que al menos cuatro organizaciones adicionales se vieron damnificadas.

El boletín del CCN-CERT del 20 de abril anunciaba que organizaciones energéticas de Europa y Estados Unidos habían sido víctimas de ciberataques dirigidos a sus sistemas de comunicación a partir de la vulnerabilidad experimentada por el software de telefonía 3CX. Empresas del sector transportes y de servicios también se vieron afectadas.

Un objetivo común

Reforzar la seguridad de la cadena de suministro de software es la principal consigna en la estrategia de ciberseguridad nacional de la Casa Blanca y de la Agencia de Seguridad de Infraestructura y Ciberseguridad. Algo que incidirá en los proveedores de software, hardware y plataformas a los proveedores que desarrollan y venden estos productos.

De hecho, esto ha provocado que muchos proveedores rechacen principios de seguridad por diseño y seguridad presentes en la estrategia. Ahora es necesario ver el papel de responsabilidad que ocuparán los funcionarios estadounidenses al respecto, siendo necesaria una legislación por parte del Congreso.

Fuente info
Autor: Sergio Delgado