La reducción del riesgo cibernético de la cadena de suministro comienza con el reconocimiento de la ingeniería social como la mayor amenaza actual

Para la cadena de suministro, es necesario reconocer que las amenazas de antaño han pasado a un segundo plano frente a los riesgos de las campañas de ingeniería social que están proliferando actualmente.

Estudios publicados alertan sobre un incremento del 78% en los ataques e incidentes de ciberseguridad que afectaron a la cadena de suministro (Resilience 360 - DHL Consulting). Esto no debería sorprender si se considera que, desde analistas de ciberseguridad hasta el propio FBI, han tenido que advertir públicamente sobre los riesgos en el ecosistema global de proveedores.

En un intento por mitigar el riesgo cibernético, muchas organizaciones —especialmente las Fortune 500 con cadenas de suministro amplias y globales— han endurecido la forma de evaluar a nuevos proveedores. Piden conocer protocolos, procesos y procedimientos de ciberseguridad: cuestionarios sobre políticas de firewall, certificaciones de cumplimiento, protecciones de terminales, políticas de datos en tránsito, controles de acceso físico, protecciones antivirus y más. La profundidad de estas evaluaciones parece considerable.

Sin embargo, suelen faltar preguntas como: ¿cuál es su scoring de ciberriesgo humano?, ¿cómo garantiza la ciberconcienciación de sus empleados?, ¿cuál es su estrategia de seguridad de correo electrónico?. Esto es preocupante considerando que nueve de cada diez ciberataques empiezan con phishing por correo electrónico, y más aún sabiendo que los atacantes perfeccionan sus métodos para evadir controles humanos y técnicos.

Un gran número de proveedores, miles de vectores de ataque

Más del 56% de las organizaciones han sido víctimas de una brecha causada por un proveedor, según CSO. Esto refleja que los atacantes buscan explotar proveedores pequeños o medianos con ciberseguridad limitada como vía de acceso para dañar o interrumpir empresas más grandes, en lugar de atacarlas directamente.

Cuando ni humanos ni tecnología logran detener los ataques

Los atacantes cambian rápidamente de estrategia. Actualmente, el vector de ataque más efectivo sigue siendo el correo electrónico.

En los últimos años han resurgido ataques de compromiso de correo electrónico empresarial (BEC), que engañan a los usuarios para realizar acciones como transferencias de dinero o cambios de información de pago. Estos ataques no incluyen adjuntos ni enlaces maliciosos visibles, lo que dificulta su detección por herramientas de seguridad.

A menudo, se hacen pasar por directivos o compañeros de la empresa, y tras una primera respuesta, envían enlaces a páginas falsas para robar credenciales.

El FBI estima que en 2019 las pérdidas por BEC superaron los 1.700 millones de dólares. Además, los sitios web falsos de inicio de sesión están creciendo en número por su facilidad de creación y alto retorno. Bolster reportó más de 800.000 sitios confirmados solo en el primer trimestre de 2020.

Reducir el riesgo requiere un cambio de mentalidad y tecnología

Para mitigar los riesgos, es esencial mantener la alerta y el entrenamiento continuo de empleados en toda la cadena de suministro.

El primer paso es reconocer que el ciberriesgo humano y las campañas de ingeniería social son una amenaza prioritaria. Con este reconocimiento, deberían incorporarse preguntas sobre ciberriesgo humano en los cuestionarios de proveedores, e incluso implementar una herramienta de gestión del ciberriesgo humano que unifique el estándar de seguridad en toda la cadena.