Aunque habitual, esta práctica no está exenta de riesgos cibernéticos. Una encuesta realizada en 2022 por el Instituto Ponemon  a más de 1.000 profesionales de TI reveló que casi el 60% de las empresas han sufrido una filtración de datos causada directamente por uno de sus proveedores de servicios en los últimos 12 meses.

El reciente ataque al hospital universitario de Rennes (Francia) es una buena ilustración de este riesgo: el hospital tuvo que cortar todas sus conexiones con el exterior el 21 de junio de 2023 tras la detección de un ataque realizado desde una cuenta VPN creada para que un editor de software pudiera realizar el mantenimiento remoto de su aplicación.

Es lo que se conoce como riesgo “Third-Party” o riesgo relacionado con terceros, que está creciendo rápidamente porque la subcontratación funciona en cascada: el propio subcontratista recurre a otras empresas para realizar determinadas tareas, por lo que el ciberriesgo se propaga a lo largo de esta cadena.

El mismo estudio del instituto Ponemon muestra que el 54% de las empresas ha sufrido una fuga de datos causada por un ataque a un subcontratista de nivel 1, y el 38% por un ataque a un subcontratista de nivel 2 o superior.

Los proveedores se han convertido en un objetivo cada vez más popular para los piratas informáticos. Este cambio de enfoque tiene una explicación muy sencilla: cuanto más se desciende en la pirámide de subcontratistas, más pequeñas son las empresas; y estas no siempre cuentan con un CISO y, a veces, ni siquiera con un DSI.

En consecuencia, los medios de protección de estas empresas son extremadamente limitados. Los atacantes no tienen problemas para encontrar vulnerabilidades abiertas en sus sistemas o servidores de correo electrónico.

El ejemplo más llamativo es el de un importante actor de la industria armamentística cuyo sistema de información está altamente protegido, pero que se apoya sobre miles de colaboradores en sus procesos industriales. El responsable de gobernanza de ciberseguridad de Naval Group planteó esta cuestión en el FIC 2023, señalando que el gigante francés del armamento naval recurriera a empresas muy pequeñas y que ahora tuviera que gestionar este riesgo cibernético.

El riesgo asociado al “Third-Party” es claramente el del robo de datos confidenciales por el atacante. Confiar los datos a un tercero es habitual cuando varias empresas trabajan en el mismo proyecto. Los atacantes accederán a estos datos desde el socio con menos protección.

En 2019, al proveedor Citycomp le robaron 516 GB de datos, lo que representa 300.000 archivos con datos de sus clientes, entre ellos Volkswagen, Airbus, Oracle, SAP y Unicredit. Al mismo tiempo, varios proveedores de consultoría en TI de Airbus fueron víctimas de ciberataques. El verdadero objetivo de los atacantes era obvio.

Además de robar datos directamente, el atacante puede infiltrarse en un proveedor de servicios para llevar a cabo un ataque por rebote. Así, explotará los derechos concedidos al proveedor de servicios en tal o cual servidor de archivos o API para llevar a cabo el ataque contra su objetivo real. Una dirección de correo electrónico legítima del proveedor de servicios puede ser todo lo que se necesita para enviar un correo electrónico de “spear phishing”, un ataque de phishing diseñado específicamente para un objetivo concreto.

El objetivo del atacante también puede ser simplemente desestabilizar la cadena de suministro de la empresa inyectando datos erróneos en sus sistemas. El atacante también puede querer destruir tantos archivos como sea posible, o simplemente dañar la imagen del objetivo bloqueando sus sistemas y obligándole a comunicar públicamente el ataque.

El ataque a la editorial Solarwinds en 2020 es un auténtico caso de libro sobre el peligro de un ataque a un subcontratista informático de la cadena de suministro. Los atacantes consiguieron instalar un virus en el sistema de actualización de Orion, su software de supervisión remota de instalaciones informáticas. Este software lo utilizan miles de empresas de todo el mundo. En aquel momento, el editor afirmó que 18.000 clientes se habían visto afectados por el ataque, entre ellos 425 grandes cuentas de la lista Fortune 500 y numerosas organizaciones públicas, incluido el Gobierno estadounidense. Una vez instalado el malware a través de una actualización de Orion, los sistemas informáticos de todas estas organizaciones eran potencialmente accesibles para los atacantes.

Afrontar el riesgo de los proveedores de servicios no es tarea sencilla. Una gran empresa puede tener varios miles de subcontratistas en todo el mundo, y su DSI no tiene control directo sobre sus prácticas de seguridad.

El primer incentivo de acción es contractual. La empresa puede definir una serie de obligaciones en los contratos que firma con sus proveedores. La Comisión Europea propone la inclusión de cláusulas tipo en los contratos de protección de datos personales. Esto recuerda al encargado del tratamiento sus obligaciones y garantiza que cumple el RGPD.

Los DSI deben incluir en sus contratos cláusulas cibernéticas muy pragmáticas, como la simple indicación del nombre de la persona y el suplente a quienes se debe llamar en caso de emergencia por un ciberataque.

Las restricciones técnicas pueden definirse por contrato, como:

La empresa también puede exigir a su socio que audite sus sistemas si son especialmente críticos para sus procesos.

La cuestión contractual es un requisito previo, pero una firma al pie de un contrato no repelerá a los atacantes. Es imposible que una empresa se contente con este complemento:  necesita tener una idea más clara de la madurez cibernética de sus socios.

Lo más habitual es pedir al departamento de compras que envíe un cuestionario de seguridad antes de inscribir a un nuevo proveedor.

Estos cuestionarios suelen contener una gran cantidad de preguntas. El objetivo es que el CISO se haga una idea de las medidas de protección existentes:

¿El inconveniente? Estos cuestionarios son a veces muy detallados, y los proveedores pueden tender a sobrestimar su nivel de seguridad para conseguir un nuevo contrato. Además, como esta práctica se ha generalizado, una empresa recibe decenas de cuestionarios de este tipo al año, y el tiempo que se tarda en redactar las respuestas depende mucho de la talla del solicitante.

Es imposible enviar sus equipos cibernéticos a cientos o incluso miles de proveedores para comprobar su arquitectura de seguridad.

Sólo pueden visitarse unos pocos proveedores críticos al año. Ahora bien, si asumimos que el atacante explotará el eslabón más débil de la cadena para lograr su objetivo, un cliente importante necesita añadir un componente PYME a su estrategia de auditoría.

En los últimos años ha surgido un auténtico mercado dedicado a satisfacer esta necesidad: Third-Party Cyber Security Risk Assessment, o en otras palabras, la gestión de riesgos de ciberseguridad vinculadas a dichos terceros. Su modelo consiste en replicar el sistema de calificación financiera de las empresas en el mundo de la ciberseguridad. A cada proveedor se le concede una calificación de seguridad. Algunos proveedores realizan una evaluación puramente técnica de la seguridad de cada empresa escaneando los datos disponibles en la web.

Esta iniciativa automatizada es una forma de abarcar un gran número de empresas, pero se limita a la punta del iceberg; sólo evalúa la cara visible de los sistemas informáticos desde Internet, no sus equipos y procesos internos.

Estos proveedores también pueden encargarse de enviar cuestionarios de seguridad a todos los terceros de su cliente.

Estos recopilan todas las respuestas, analizan los resultados y elaboran un informe global y detallado. Algunos proporcionan consultores que comprueban la coherencia y veracidad de las respuestas llamando a cada encuestado.

Independientemente de la solución elegida, o más bien de la combinación de soluciones elegidas, actualmente es imposible ignorar este riesgo de terceros. Cada vez más, las grandes empresas seleccionarán a sus proveedores en función de su madurez cibernética, y aquellos que no dispongan de los sistemas de protección y cifrado más actualizados se encontrarán con que se les niega el acceso a muchos clientes potenciales.