Saltar al contenido principal
Volver a la biblioteca
Riesgo críticoSistémico· Nivel experto

Ataques a la cadena de suministro

El atacante compromete a un proveedor de software, MSP o servicio externo para llegar simultáneamente a decenas o miles de clientes. SolarWinds, Kaseya, MOVEit son ejemplos recientes. ENISA lo señala como uno de los riesgos de mayor crecimiento.

Qué es

Qué es

Un ataque indirecto. En lugar de atacar a tu organización, el adversario compromete a alguien en quien tu organización ya confía:

  • Tu proveedor de software (un update legítimo lleva malware embebido).
  • Tu MSP / IT externo (tiene credenciales privilegiadas en tu entorno).
  • Una librería de código abierto que usas en tu stack (npm, PyPI, Maven).
  • Tu plataforma SaaS de RRHH, facturación, soporte, etc.

Casos de referencia

  • SolarWinds (2020): troyano insertado en una actualización firmada de Orion. Afectó a unas 18.000 organizaciones, incluidos varios gobiernos y empresas Fortune 500.
  • Kaseya VSA (2021): ransomware desplegado a través de la plataforma de gestión remota. ~1.500 empresas cifradas simultáneamente.
  • MOVEit (2023): vulnerabilidad en el software de transferencia de archivos usado por miles de empresas y administraciones; el grupo Cl0p extorsionó a más de 2.500 organizaciones afectadas.
  • xz / liblzma (2024): backdoor introducido durante años por un contribuidor en una librería usada en distros Linux.

Por qué importa para una pyme

Tu superficie real no son solo tus equipos: es todo lo que ejecuta código o tiene credenciales en tu entorno. Eso incluye desde el plugin de WordPress hasta el proveedor de antivirus.

Prevención

En la práctica

Inventariar y reducir

  • Mantén un inventario actualizado de proveedores con acceso a datos o sistemas.
  • Para cada uno: qué accede, con qué credenciales, durante cuánto tiempo, qué pasaría si lo comprometen.
  • Reduce: prescinde de proveedores cuyo riesgo no compense el valor.

Contratar con criterio

  • Cláusulas de seguridad en el contrato (notificación de incidentes en 24-72h, derecho de auditoría, requisitos de cifrado y MFA).
  • Pide evidencia de certificaciones reales (ISO 27001, SOC 2, ENS si aplica) — no "declaraciones de cumplimiento".
  • Para proveedores críticos: revisión anual con cuestionario o reunión.

Operar con desconfianza

  • Cuentas dedicadas y MFA para cada proveedor que acceda. No "admin compartido".
  • Acceso solo cuando lo necesita, no permanente.
  • Logging de su actividad como cualquier otra cuenta privilegiada.
  • Para el código: SBOM (Software Bill of Materials) cuando sea posible, alertas sobre librerías con CVE críticos.

Probar la cadena

  • En el ejercicio anual de respuesta a incidentes, incluye un escenario donde un proveedor sea el origen del compromiso. Cambia mucho la respuesta.
Si ocurre

Si tu proveedor reporta una brecha que te afecta

  1. Aísla el acceso del proveedor mientras se aclara el alcance.
  2. Rota credenciales y tokens que el proveedor tenía sobre tu entorno.
  3. Revisa logs de actividad de su cuenta en los últimos 30-90 días buscando movimientos sospechosos.
  4. Notificación RGPD si hubo o pudo haber acceso a datos personales (72h al regulador).
  5. Comunicación coordinada con el proveedor y, si procede, con clientes finales.
  6. Tras el incidente: revisar contrato, política de proveedores y considerar alternativas si la respuesta del proveedor no ha estado a la altura.