Septiembre de 2018. La aerolínea British Airways, una de las más conocidas y concurridas de todo el mundo, descubre una circunstancia fatal para sus intereses y el de todos sus usuarios: alguien ha robado cerca de 380.000 transacciones de los clientes que habían hecho pagos a la aerolínea entre el 21 de agosto y el 5 de septiembre.
Los ciberdelincuentes no solo habían conseguido los datos básicos de las tarjetas de crédito de los usuarios (nombre y número de la tarjeta), sino también el código de seguridad (CVV). ¿Cómo pudieron conseguir ese código, si ni siquiera la propia aerolínea lo almacena? Al parecer, alguien había modificado el script para que, en el momento del pago, se pudiera robar dicho código juntos al resto de datos de la tarjeta. El resultado: un robo de dimensión mundial y una grave crisis de reputación para toda la compañía.
Cadena de suministro: el peligro está en tu propio código
British Airways había sufrido lo que se conoce como ciberataque a la cadena de suministro (supply chain), un tipo de ataque informático que, generalmente a través de software de terceras personas o entidades, consiste en introducir un código malicioso en el proceso de desarrollo de software. Una vez aplicado, el código permite a los ciberdelincuentes acceder a toda la información que querían robar.
La aerolínea no fue la única. Apenas tres meses antes, la web de entradas Ticketmaster descubrió un robo similar que había afectado al 5% de sus clientes. La raíz del problema radicaba en uno de sus proveedores externos, cuyo código había sido modificado para acceder a los datos económicos de sus clientes.
Pero también podemos irnos a casos que en principio son más pequeños, aunque a la larga acaban siendo más graves: es lo que le pasó a Github, el mayor proyecto de código abierto del mundo, que sufrió una modificación maligna dentro de un código antiguo que cada vez se usa menos. El problema de este fallo es que, teniendo en cuenta que muchas empresas acuden a los repositorios de Github, los problemas derivados de la intrusión podrían ser exponenciales.
Los peligros de un ataque en la cadena de suministro
Que la cadena de suministro de una empresa sufra un ciberataque no solo supone un problema a corto plazo, sino también varios a medio y largo:
1.- Pérdida de información externa. La consecuencia obvia: los ciberdelincuentes conseguirán información o datos de los usuarios de una plataforma cuando ellos creían estar en un ambiente seguro.
2.- Pérdida de información interna. No solo se trata de un problema hacia los clientes o usuarios, sino también hacia la propia compañía, que verá muy perjudicada su ciberseguridad empresarial y podría sufrir un robo de datos internos o de información confidencial que resulte imprescindible en su actividad diaria.
3.- Reputación. Si un usuario sufre el robo de sus datos en una plataforma externa, es evidente que difícilmente volverá a confiar en dicho portal. Y ese es uno de los retos a los que se enfrentan British Airways o Ticketmaster: que sus usuarios vuelvan a confiar en ellos.
4.- Sanciones. Desde el pasado 25 de mayo, los órganos encargados de velar por el cumplimiento del GDPR (General Data Protection Regulation) vigilan muy de cerca a las compañías que infringen el nuevo reglamento, y una de las consecuencias del robo de datos personales puede ser que la empresa afectada acabe incumpliendo la normativa. Todas las empresas que lo hagan podrían enfrentarse a sanciones millonarias.
Una tendencia al alza
Tal y como destacamos en nuestro informe PandaLabs 2018, es muy probable que en 2019 se produzcan nuevos casos de ciberataques a la cadena de suministro, dada su efectividad, su impacto (se pueden expandir rápidamente a millones de sistemas) y la confianza que los usuarios depositan en un software que creían legítimo.
En este sentido, Panda Adaptive Defense no solo monitoriza en tiempo real todos los procesos que se estén llevando a cabo en el sistema, sino que también se centra en todos los desarrollos de una compañía, asegurando la integridad y confidencialidad de la cadena de suministro y garantizando la ciberseguridad empresarial.
Y es que a menudo el mayor peligro de los ciberataques puede estar en las propias entrañas informáticas de la empresa, lo cual no solo afecta a su propia ciberseguridad, sino también a la información y los datos de terceras personas, usuarios, clientes, proveedores, etc. Parece evidente que esta tendencia va en aumento, así que las compañías están obligadas a vigilar que nada falle en su cadena de suministro.