Por Fernando Anaya, responsable de desarrollo de negocio de Proofpoint para España y Portugal

La preocupación por la seguridad de la cadena de suministro es cada vez mayor. Es hora de tomar medidas para defenderse contra ataques de correo electrónico potencialmente devastadores.

Es la pesadilla de cualquier empresa. Recibimos un correo electrónico de un partner logístico informándonos de un retraso en un envío. Después de pinchar en el enlace y acceder al portal, vemos que no se había programado ningún envío. Pensamos que es un error y pasamos al siguiente correo de la bandeja de entrada. De hecho, serán necesarios 197 días de media para detectar que ese enlace ha hecho posible a una infiltración usando las credenciales robadas.

Saber que han derribado las defensas de tu empresa (con un coste medio de 3,57 millones de euros por incidente) es malo, pero constatar que el ataque ha abusado de tu confianza es todavía peor. Y esto es lo que sucede cuando utilizan a un proveedor o a un partner como arma contra la organización. Desafortunadamente, este patrón de abuso se ha hecho tan común que es una de las principales preocupaciones de la mayoría de los responsables de seguridad.

Como las empresas no operan solas, la confianza supone un requisito fundamental en cualquier negocio. Incluso los CISOs que gestionan perímetros de alta seguridad están cada vez más preocupados por el reciente aumento de los ataques a la cadena de suministro (un 78%). Teniendo en cuenta que el 50% de los ataques están dirigidos a las cadenas de suministro, ya es hora de ir más allá de los modelos de seguridad estática. Independientemente del enfoque de seguridad de cada empresa, la creciente complejidad de las cadenas de suministro está obligando a extender la seguridad más allá del perímetro de la empresa.

Desafortunadamente, cada vez se atribuye un número mayor de brechas de seguridad a vulnerabilidades de los proveedores. En Estados Unidos, por ejemplo, el Servicio de Salud de Indiana anunció que un ataque de phishing contra un proveedor provocó el robo de 31.000 registros de pacientes. Más recientemente, Wipro, sufrió una infiltración para atacar a sus clientes. Una vez más, el punto de entrada fue una campaña de phishing dirigida a los empleados, cuyas cuentas fueron utilizadas como arma contra clientes finales como parte de un modelo de fraude con tarjetas de regalo. Y este tipo de casos suceden también en España.

Dado que la mayoría de los negocios modernos se realizan a través de Internet, la protección del correo electrónico supone un aspecto clave para la seguridad. Y como el phishing fue el principal vector de ataque en 2018 (cuando fue responsable del 40% de todas las brechas de datos), el correo electrónico no securizado es responsable del 60% de las aplicaciones web comprometidas. Aplicando esto mismo a los proveedores y socios comerciales, está claro que la seguridad del correo electrónico va más allá de nuestra propia empresa, dando lugar a la «seguridad de la cadena de suministro de correo electrónico».

Aunque la industria de la seguridad ha hecho progresos significativos frustrando las campañas de ataques generalizados por correo electrónico, el compromiso directo de las cuentas correo electrónico corporativo (BEC) es más difícil de detectar y, además, está creciendo en virulencia. Como es más sencillo engañar a un usuario a través de un correo electrónico enviado por un supuesto proveedor o colaborador de confianza, es momento de arrojar algo de luz sobre el abuso en la cadena de suministro.

Desafortunadamente, muchas compañías no conocen personalmente a todos sus proveedores y partners. Sólo el 35% de las empresas afirma ser capaz de identificar incluso a los partners de terceros, por lo que no pensemos en el enésimo proveedor. Además, cuanto más bajemos en la cadena de suministro, encontraremos más pequeñas y medianas empresas, objetivos prioritarios para los ciberdelincuentes.

Sin embargo, y hasta cierto punto, la protección comienza en casa, y hay algunas medidas que pueden tomar las empresas para protegerse de algunos ataques evidentes a la cadena de suministro de correo electrónico: 

1. Autenticación de correo electrónico – Autentifique y envíe correo electrónico de forma segura para que los proveedores puedan verificar la legitimidad del correo.
2. Verificación del correo electrónico – Habilite la verificación del correo electrónico entrante para garantizar que realmente se ha recibido legítimamente de proveedores y colaboradores.
3. Gestión de proveedores – Clasifique a proveedores y partners, y use la detección automatizada de relaciones de confianza (incluyendo servicios de Shadow IT).
4. Proteja a los empleados vulnerables – Identifique a los empleados y departamentos con acceso privilegiado para reforzar las defensas (por ejemplo, protección frente a lookalike, limitaciones en la web o cuarentenas más estrictas).
5. Contratos a terceros: Actualice los contratos para que incluyan requisitos de seguridad relativos al correo electrónico.
6. Protección de la nube: Evalúe el uso de los servicios en cloud por parte de su empresa e implemente la supervisión y protección de acceso a la misma.
7. Gestione la salida de empleados de forma efectiva – Añada procesos de seguridad en la salida de empleados de la compañía para minimizar el riesgo de la cadena de suministro a largo plazo.
8. Formación de seguridad – Use la formación en seguridad para concienciar específicamente sobre los proveedores conocidos.
9. Protección del gateway – Configure el filtro de entrada y la prevención de pérdida de datos para mejorar la protección contra la suplantación de identidad de proveedores y partners.
10. Plan de respuesta a incidentes – Actualice su plan de respuesta ante incidentes para poder incluir a la cadena de suministro.

Cualquier empresa preocupada por el estado de la seguridad del correo electrónico en la cadena de suministro debería encargar los planes necesarios a sus equipos de seguridad de la información y riesgos. Independientemente de la eficacia de las defensas, la seguridad de la cadena de suministro requiere mayor integración de datos y servicios de los que las empresas pueden gestionar habitualmente por su cuenta. La dinámica natural de las cadenas de suministro modernas implica que las listas blancas y negras sencillas o las reglas de enrutamiento personalizadas tienen los días contados. El siguiente paso es llevar la defensa más allá del perímetro de seguridad y aplicarla a todos los proveedores y socios.