Historia del año: interrupciones globales de TI y ataques contra la cadena de suministro

Una actualización defectuosa de la empresa de ciberseguridad CrowdStrike desencadenó una de las mayores interrupciones de IT en la historia, que afectó a unos 8.5 millones de sistemas en todo el mundo. Este incidente sirve como un recordatorio contundente de los graves riesgos que representan las interrupciones globales de TI y las debilidades de la cadena de suministro. Ahora que las crisis de seguridad a gran escala son una de las amenazas más relevantes a nivel mundial, es más importante que nunca reflexionar sobre los eventos pasados, evaluar las amenazas emergentes y, más crucial aún, identificar y aplicar estrategias que reduzcan el riesgo de incidentes futuros.

Como parte del Boletín de Seguridad de Kaspersky 2024, nuestra “Historia del año” se centra en estos problemas urgentes. Empezaremos con una retrospectiva de los incidentes más destacados que afectaron a la cadena de suministro en 2024 y luego exploraremos escenarios de ataques que podrían ser aún más dañinos, así como las formas en que podemos prepararnos para enfrentarlos.

¡Empecemos!

Resumen de las interrupciones a la cadena de suministro de 2024

Interrupción causada por CrowdStrike Linux

¿Qué fue lo que pasó? Solo semanas antes del incidente con Windows, CrowdStrike causó problemas en Linux. Una actualización de software publicada en abril causó problemas en varias distribuciones, como Red Hat, Debian y Rocky.

¿Qué importancia tiene el incidente? Linux es el sistema operativo utilizado en muchos sistemas de infraestructura y seguridad de importancia crítica. Otra actualización defectuosa ya había sugerido que existían problemas más amplios en el software de seguridad de CrowdStrike en aquel momento, pero el asunto no recibió tanta publicidad.

Puerta trasera XZ para eludir la autenticación SSH

¿Qué fue lo que pasó? En marzo, el proyecto de Seguridad de Software de Código Abierto Openwall (oss-security) informó sobre una puerta trasera en XZ, una popular utilidad de compresión y una biblioteca de código utilizada en muchas distribuciones de Linux. A diferencia de los ataques anteriores contra la cadena de suministro en Node.js, PyPI, FDroid y el kernel de Linux, que se basaban en pequeñas inyecciones maliciosas o la entrega de paquetes falsos, resultantes del abuso de la cadena de suministro, este fue un ataque en varias etapas que afectó a millones o al menos cientos de miles de servidores SSH en todo el mundo, en el que los atacantes aplicaron tácticas de ingeniería social e incluso crearon miembros falsos de la comunidad para ganar la confianza del mantenedor de XZ Utils. Kaspersky presentó un análisis técnico detallado de este caso, que se publicó en tres partes. Los productos de Kaspersky detectan los objetos maliciosos relacionados con el ataque.

¿Qué importancia tiene el incidente? Gracias a estas tácticas, los atacantes implantaron una puerta trasera. Este caso pone de manifiesto el grave riesgo que representan las técnicas de ingeniería social y los ataques a la cadena de suministro para los proyectos de código abierto. Además, enfatiza la importancia de implementar medidas de seguridad más estrictas, adoptar un enfoque más vigilante hacia la gestión de proyectos y mantener una supervisión cuidadosa sobre los programadores que contribuyen a los proyectos.

Ataque con buscapersonas en Medio Oriente

¿Qué fue lo que pasó? Los recientes sucesos en Medio Oriente que involucraron buscapersonas han puesto de manifiesto los riesgos asociados con los ataques a la cadena de suministro de hardware. Un ataque selectivo hizo explotar un lote de buscapersonas utilizados por Hezbollah, causando bajas y caos generalizado. Los medios de comunicación informaron que se habían ocultado explosivos dentro de los dispositivos.

¿Qué importancia tiene el incidente? Este incidente demuestra la posibilidad de realizar ataques para causar daño físico, y varios actores de amenazas pueden estar usando componentes electrónicos o completamente digitales para llevarlos a cabo. El infame ataque de Stuxnet sirve como un duro recordatorio de su potencial destructivo. Al apuntar a los sistemas de control industrial, Stuxnet demostró cómo una ciberarma podría infligir daño tangible y real, subrayando que vigilar las amenazas tanto en sistemas de hardware como de software es una necesidad crítica.

Abuso de JavaScript que lleva al compromiso de los sitios web de grandes corporaciones

¿Qué fue lo que pasó? Alrededor de 385 000 sitios web que utilizan Polyfill.io, un fragmento de código de programación alojado de forma remota, fueron víctimas de un ataque masivo a la cadena de suministro cuando, después de la adquisición del dominio polyfill.io, el script cargado fue alterado para redirigir a los usuarios a sitios maliciosos y fraudulentos. El servicio Polyfill.io proporciona soporte y funcionalidad que las versiones antiguas de navegadores web no poseen. Permite a los desarrolladores utilizar herramientas modernas, incluso si no son compatibles con una versión específica del navegador. A partir de julio de 2024, entre los hosts afectados aparecieron sitios web asociados con plataformas importantes como Warner Bros, Hulu, Mercedes-Benz.

¿Qué importancia tiene el incidente? Según Cloudflare, Polyfill.io era utilizado por decenas de millones de sitios web, aproximadamente el 4% de todos los sitios en internet, hecho que destaca la gravedad del incidente, cuyo impacto total aún está por determinarse.

Violación de datos de la cadena de suministro de Cisco Duo

¿Qué fue lo que pasó? Ninguna corporación es inmune a la amenaza de ataques contra la cadena de suministro. Los datos de usuarios fueron robados de Cisco Duo, sistema que proporciona a las organizaciones autenticación de múltiples factores (MFA) y acceso a la red de inicio de sesión único (SSO) como consecuencia de un ataque de phishing dirigido a un empleado de un proveedor de telefonía de terceros. La brecha permitió al actor de amenaza descargar registros de mensajes SMS.

¿Qué importancia tiene el incidente? Este incidente resaltó los riesgos de los ataques donde los proveedores de servicios de terceros funcionan como punto de entrada. La externalización de TI está creciendo en popularidad, ofreciendo beneficios como el ahorro de tiempo y recursos. No obstante, delegar tareas también conlleva nuevos desafíos en materia de seguridad de la información. En 2023, los ciberataques que explotan las relaciones de confianza ya se habían convertido en uno de los tres vectores más comunes, y esta tendencia siguió ganando impulso en 2024.

Vulnerabilidad de “regreSSHion” en OpenSSH

¿Qué fue lo que pasó? Se descubrió una vulnerabilidad crítica llamada “regreSSHion” en OpenSSH a principios de este año. OpenSSH se utiliza en una amplia gama de escenarios donde se requiere una comunicación de red segura. Es una herramienta de importancia crítica en varios campos, entre ellos la administración de sistemas, el desarrollo y la ciberseguridad. El protocolo SSH es utilizado por empresas en todas las industrias, y tiene la potencialidad de permitir a los delincuentes ejecutar código malicioso y obtener privilegios de root.

¿Qué importancia tiene el incidente? Es poco probable que esta vulnerabilidad se explote a gran escala debido a los altos requisitos de potencia computacional; dado que depende de una condición de carrera, los atacantes necesitarían realizar múltiples intentos de autenticación en el servidor objetivo. Según Qualys, se necesitan 10 000 intentos para una explotación exitosa, lo cual puede llevar desde varias horas hasta varios días, dependiendo de la configuración del servidor OpenSSH objetivo. Sin embargo, los ataques selectivos siguen siendo una posibilidad viable. El problema sirve como un recordatorio de los riesgos potenciales propios del software de uso generalizado.

Vulnerabilidades en Fortinet

¿Qué fue lo que pasó? En octubre de 2024, se informó que se estaban explotando activamente CVE críticos en 4 productos de Fortinet. Los investigadores informaron que más de 87 000 IPs de Fortinet podrían ser susceptibles a una de las vulnerabilidades identificadas en ese momento. Esta información fue difundida, y convirtió a la compañía en objetivo de alta visibilidad para los actores de amenazas, ante todo porque los productos de Fortinet son de uso común en el gobierno, la atención médica y otros sectores críticos.

¿Qué importancia tiene el incidente? Los productos de Fortinet son fundamentales para la seguridad de la red de muchas organizaciones. Cuando se explotan vulnerabilidades críticas en productos tan difundidos, se abre una vía para que los atacantes violen la seguridad de varias organizaciones a través del software o los dispositivos de un solo proveedor.

Algunos de los ataques más relevantes a la cadena de suministro en 2024 son:

• Los hackers inyectaron malware directamente en el código fuente de la mayor plataforma de bots de Discord.
• Los atacantes intentaron subir cientos de paquetes maliciosos a PyPI, utilizando nombres casi idénticos a los de proyectos legítimos.
• Se encontró otro conjunto de paquetes maliciosos en el repositorio PyPI. Los paquetes eran muy parecidos a bibliotecas para LLMs, pero en realidad descargaban el malware JarkaStealer en el sistema de la víctima.
• Un actor de amenazas tomó el control del mezclador de criptomonedas Tornado Cash.

Más allá de los incidentes en la cadena de suministro de 2024: Explorando escenarios de riesgo aún mayores

Los incidentes que acabamos de revisar plantean una pregunta crítica: ¿qué tipo de escenarios podrían llevar a consecuencias más devastadoras? En la siguiente sección profundizaremos en las posibles perturbaciones globales.

Una gran falla de un proveedor de IA

La IA ha liderado nuestra “Historia del año 2023“, porque la adopción de herramientas generativas ya había influido en casi todos los aspectos de nuestras vidas en aquel entonces. Este año, la tendencia se profundiza con la integración oficial de la IA en servicios utilizados por millones. Por ejemplo, OpenAI, con tecnologías que se utilizan en una amplia gama de asistentes, desde Apple y GitHub Copilot hasta las herramientas propietarias de Morgan Stanley. Las empresas también dependen de modelos de Meta (Llama), Anthropic (Claude) y Google (Gemini). Por un lado, esta transformación mejora las experiencias diarias, pero por otro, aumenta los riesgos asociados con la dependencia de unos pocos proveedores clave. Es más, esta tendencia crea puntos concentrados de fallas. Si una de las principales empresas de IA experimenta una interrupción crítica, podría tener un enorme impacto en decenas, cientos o incluso miles de servicios que dependen de ellas. En el peor de los casos, dicho fallo en los servicios podría acarrear fallos operativos generalizados en diversas industrias.

Otra amenaza en cierneses la filtración de datos. Un incidente en cualquier proveedor importante de IA podría resultar en una de las filtraciones más extensas, dado que los sistemas impulsados por IA suelen recopilar y almacenar grandes cantidades de información confidencial. Mientras que las cuentas de chatbots de IA ya están siendo comercializadas en la web oscura como resultado de la actividad de malware dirigida a individuos, una violación de almacenamiento de un proveedor de IA que afecte a los clientes a nivel corporativo podría afectar a datos aún más confidenciales.

Las empresas que adoptan la IA deben considerar la diversificación de proveedores, así como priorizar la resiliencia de la infraestructura, la configuración cuidadosa de las restricciones de acceso para los componentes integrados de IA, y estar atentos al personal que maneja datos sensibles, ya que las violaciones de datos no siempre provienen de ciberataques externos; también podrían ser orquestadas (de forma intencional o no) por infiltrados que pueden instrumentalizar la IA como una herramienta para el robo de datos.

Explotación de herramientas de IA en el dispositivo

La integración de IA se está acelerando tanto en dispositivos y herramientas orientados al consumidor como en los orientados a los negocios. Por ejemplo, hace poco Apple Intelligence fue lanzada en beta para los usuarios de sus sistemas más recientes. Esta funcionalidad está impulsada en gran medida por núcleos neuronales, o un “Motor neuronal“. Estos motores, y la IA en el dispositivo en general, proporcionan una experiencia realmente nueva, optimizada para aplicar grandes modelos de lenguaje a tareas cotidianas.

Sin embargo, junto con la excelente experiencia de usuario, surgen grandes riesgos cibernéticos, porque a medida que la IA logra más difusión, la probabilidad de que sea utilizada como un vector de ataque también aumenta. En la campaña Triangulation, descubierta por Kaspersky el año pasado, los atacantes comprometieron la integridad del software y hardware del sistema explotando vulnerabilidades de día cero para cargar software espía avanzado en los dispositivos. Vulnerabilidades similares asistidas por software o hardware en hipotéticas unidades de procesamiento neural, podrían extender o presentar un vector de ataque aún más peligroso. En tal escenario, los atacantes no sólo obtendrían acceso a la información almacenada en el dispositivo objetivo, sino que también podrían extraer datos contextuales de las utilidades de IA, lo que les permitiría construir perfiles muy detallados de sus víctimas y aumentar el daño potencial.

Nuestra investigación sobre Operation Triangulation también reveló el primer caso de su tipo reportado por Kaspersky: el abuso del aprendizaje automático para la extracción de datos en el dispositivo, destacando que las funciones diseñadas para mejorar la experiencia del usuario también pueden ser utilizadas como armas por actores de amenazas sofisticadas.

Estos riesgos subrayan la importancia de que los proveedores tomen medidas proactivas, como realizar investigaciones de seguridad y pruebas rigurosas, para construir defensas más fuertes contra las amenazas emergentes.

Ciberataques al Internet por satélite

Los satélites desempeñan un papel crítico en la vida cotidiana, porque son imprescindibles para la navegación, la transmisión de medios, la respuesta a emergencias, la infraestructura de comunicación y muchos otros servicios, aunque su presencia a menudo pasa desapercibida para la gente común. A medida que aumenta nuestra dependencia de las tecnologías satelitales, estos sistemas se están convirtiendo en objetivos atractivos para los actores de amenazas. Por ejemplo, en 2024, un actor APT atacó la industria espacial con puertas traseras. En otro caso, se informó que un actor causó problemas de comunicación por satélite a la compañía de energía finlandesa Fortum.

Aunque estos incidentes no llevaron a graves alteraciones globales, destacan los crecientes riesgos para la infraestructura satelital. Una amenaza potencialmente más impactante reside en la cadena de suministro de internet por satélite. Tomemos como ejemplo a Starlink y Viasat: estas empresas ofrecen internet satelital de alta velocidad en todo el mundo, especialmente en áreas remotas. Al mismo tiempo, los proveedores de Internet tradicionales tienden a asociarse con los que prestan servicios de Internet por satélite para ampliar su alcance, lo que podría ser un campo fértil para campañas maliciosas.

El Internet satelital es un componente importante de la cadena de conectividad global. Las comunicaciones por satélite son esenciales para proporcionar enlaces temporales de comunicación, sobre todo en situaciones donde otros sistemas están inactivos. Este tipo de tecnología es fundamental para diversas plataformas móviles, como aerolíneas y barcos, que dependen de ella para ofrecer conectividad a bordo y otros servicios. Aquí vienen los riesgos cibernéticos: un ciberataque selectivo o una actualización defectuosa de un proveedor de satélites líder o dominante podría causar interrupciones de Internet y posibles fallas de comunicación, afectando a individuos, empresas e infraestructuras críticas.

Amenazas físicas a Internet

Siguiendo con la conectividad, Internet también es vulnerable a amenazas físicas. A pesar de que el uso de satélites como medio de comunicación se está acelerando, el 95% de los datos internacionales se transmiten a través de cables submarinos. Hay unos 600 de estos cables en funcionamiento en todo el mundo, con diferentes niveles de calidad y capacidad. Además de estos cables, Internet depende de casi 1500 Puntos de Intercambio de Internet (IXPs), que son ubicaciones físicas, a veces dentro de centros de datos, donde diferentes redes intercambian tráfico.

Una interrupción de sólo unos cuantos componentes críticos de esta cadena, como cables o IXPs, podría sobrecargar la infraestructura restante, lo que podría causar cortes generalizados y tener un gran impacto en la conectividad global. El mundo ya ha sido testigo de tales interrupciones. Por ejemplo, en un caso reciente, se informó que dos cables submarinos en el Mar Báltico resultaron dañados. Esto subraya la creciente importancia de la seguridad física, incluida la protección del hardware, como una preocupación crítica para los próximos años.

Explotación del kernel en Windows y Linux

Los dos principales sistemas operativos se usan para operar muchos de los activos críticos del mundo, como servidores, equipos de fabricación, sistemas de logística y dispositivos IoT. Una vulnerabilidad del kernel en cada uno de ellos podría exponer innumerables dispositivos y redes en todo el mundo a posibles ataques. Por ejemplo, en 2024, se reportaron varias vulnerabilidades del kernel, como la vulnerabilidad de escalada de privilegios del kernel de Linux. En lo que a Windows se refiere, en 2024 Microsoft reveló la CVE-2024-21338, que era una nueva vulnerabilidad de elevación de privilegios de “administrador a kernel” utilizada en condiciones reales.

Dichas vulnerabilidades crean una situación de alto riesgo donde las cadenas de suministro globales podrían enfrentar una interrupción significativa. Estos riesgos subrayan la importancia de estrategias proactivas de ciberseguridad, parches oportunos y configuraciones seguras para salvaguardar la continuidad de la cadena de suministro.

Por último, pero no menos importante: Cómo mitigar los riesgos asociados con las cadenas de suministro

Aunque los escenarios y casos descritos pueden parecer alarmantes, la conciencia es el primer paso para prevenir tales ataques y mitigar sus consecuencias. A pesar de la naturaleza diversa de los riesgos de la cadena de suministro, creemos que pueden abordarse a través de varias estrategias unificadas. Para lograrlas, se requiere un enfoque multifacético que combine medidas tecnológicas, organizacionales y culturales en el lugar de trabajo.

Desde el punto de vista de seguridad, las actualizaciones regulares deben ser rigurosamente probadas antes de su implementación, y los proveedores deben adoptar el principio de actualizaciones granulares para minimizar las interrupciones. La detección de anomalías impulsada por IA puede mejorar la revisión humana al reducir la fatiga causada por la gran cantidad de alertas. En lo que concierne al usuario, la gestión de parches y las actualizaciones oportunas son vitales para mantener un entorno seguro.

Desde una perspectiva de resiliencia, diversificar los proveedores reduce el impacto de las fallas en puntos únicos, mejorando la solidez del sistema. También es fundamental fomentar una cultura de responsabilidad e integridad entre el personal, ya que la vigilancia humana sigue siendo una piedra angular de la seguridad y la estabilidad.

Juntas, estas medidas constituyen un marco sólido para mejorar la resiliencia de la cadena de suministro, proteger contra posibles interrupciones y guiar a los sistemas y economías globales hacia un futuro más brillante y seguro.