Las obviedades de la ciberseguridad se han descrito durante mucho tiempo en términos simples de confianza: Tenga cuidado con los archivos adjuntos de correo electrónico de fuentes desconocidas y no entregar credenciales a un sitio web fraudulento. Pero cada vez más, los piratas informáticos sofisticados socavan ese sentido básico de confianza y plantean una pregunta que induce a la paranoia: ¿qué pasa si el hardware y el software legítimos que componen su red se han visto comprometidos en la fuente?
Esa forma insidiosa y cada vez más común de piratería se conoce como “ataque a la cadena de suministro”, una técnica en la que un adversario desliza un código malicioso o incluso un componente malicioso en una pieza de software o hardware confiable. Al comprometer a un solo proveedor, los espías o saboteadores pueden secuestrar sus sistemas de distribución para convertir cualquier aplicación que vendan, cualquier actualización de software que envíen, incluso el equipo físico que envían a los clientes, en caballos de Troya. Con una intrusión bien ubicada, pueden crear un trampolín hacia las redes de los clientes de un proveedor, a veces con cientos o incluso miles de víctimas.
“Los ataques a la cadena de suministro dan miedo porque son realmente difíciles de manejar y porque dejan en claro que confías en toda una ecología”, dice Nick Weaver, investigador de seguridad del Instituto Internacional de Ciencias de la Computación de UC Berkeley. “Confía en todos los proveedores cuyo código está en su máquina, y
La gravedad de la amenaza de la cadena de suministro se demostró a gran escala el pasado mes de diciembre, cuando se reveló que los piratas informáticos rusos, posteriormente identificados como trabajadores del servicio de inteligencia exterior del país, conocido como SVR, habían pirateó la empresa de software SolarWinds y colocó un código malicioso en su herramienta de gestión de TI Orion, lo que permite el acceso a hasta 18.000 redes que utilizan esa aplicación en todo el mundo. La SVR utilizó ese punto de apoyo para penetrar profundamente en las redes de al menos nueve agencias federales de EE. UU., Incluida la NASA, el Departamento de Estado, el Departamento de Defensa y el Departamento de Justicia.
Pero por muy impactante que fuera esa operación de espionaje, SolarWinds no fue el único. Los graves ataques a la cadena de suministro han afectado a empresas de todo el mundo durante años, tanto antes como después de la audaz campaña de Rusia. El mes pasado, se reveló que los piratas informáticos habían comprometido una herramienta de desarrollo de software vendida por una empresa llamada CodeCov
De hecho, los ataques a la cadena de suministro se demostraron por primera vez hace unas cuatro décadas, cuando Ken Thompson, uno de los creadores del sistema operativo Unix, quería ver si podía ocultar una puerta trasera en la función de inicio de sesión de Unix. Thompson no se limitó a colocar un código malicioso que le otorgaba la capacidad de iniciar sesión en cualquier sistema. Construyó un compilador, una herramienta para convertir código fuente legible en un programa ejecutable legible por máquina, que secretamente colocó la puerta trasera en la función cuando fue compilada. Luego dio un paso más y corrompió el compilador que compilado el compilador para que incluso el código fuente del compilador del usuario no tenga signos obvios de manipulación. “La moraleja es obvia”, Thompson escribió en una conferencia en la que explicaba su demostración en 1984. “No puedes confiar en un código que no creaste totalmente tú mismo (especialmente en el código de empresas que emplean a personas como yo)”.
Ese truco teórico, una especie de doble ataque a la cadena de suministro que corrompe no solo un software ampliamente utilizado, sino también las herramientas utilizadas para crearlo, también se ha convertido en una realidad. En 2015, los piratas distribuyó una versión falsa de XCode, una herramienta utilizada para crear aplicaciones de iOS, que secretamente colocó código malicioso en docenas de aplicaciones de iPhone chinas. Y la técnica volvió a aparecer en 2019, cuando Los piratas informáticos de Barium de China corrompieron una versión del compilador de Microsoft Visual Studio para que les permitiera ocultar malware en varios videojuegos.
El aumento de los ataques a la cadena de suministro, argumenta Weaver de Berkeley, puede deberse en parte a la mejora de las defensas contra ataques más rudimentarios. Los piratas informáticos han tenido que buscar puntos de entrada protegidos con menos facilidad. Y los ataques a la cadena de suministro también ofrecen economías de escala; piratee un proveedor de software y podrá acceder a cientos de redes. “En parte es que quieres aprovechar tu inversión y, en parte, es solo que los ataques a la cadena de suministro son indirectos. Tus objetivos reales no son a quién estás atacando”, dice Weaver. “Si sus objetivos reales son difíciles, este podría ser el punto más débil para permitirle entrar en ellos”.
Evitar futuros ataques a la cadena de suministro no será fácil; No existe una forma sencilla para que las empresas se aseguren de que el software y el hardware que compran no se hayan corrompido. Los ataques a la cadena de suministro de hardware, en los que un adversario inserta físicamente códigos o componentes maliciosos dentro de un equipo, pueden ser particularmente difíciles de detectar. Mientras que un informe explosivo de Bloomberg en 2018 afirmó que se habían escondido diminutos chips espía dentro de las placas base SuperMicro utilizadas en los servidores dentro de los centros de datos de Amazon y Apple, todas las empresas involucradas negaron con vehemencia la historia, al igual que la NSA. Pero las filtraciones clasificadas de Edward Snowden revelaron que el La propia NSA ha secuestrado envíos de enrutadores Cisco y los bloqueó para sus propios propósitos de espionaje.
La solución a los ataques a la cadena de suministro, tanto en software como en hardware, tal vez no sea tanto tecnológica como organizativa, sostiene Beau Woods, asesor principal de la Agencia de Seguridad de Infraestructura y Ciberseguridad. Las empresas y las agencias gubernamentales necesitan saber quiénes son sus proveedores de software y hardware, examinarlos y hacerlos cumplir con ciertos estándares. Compara ese cambio con la forma en que empresas como Toyota buscan controlar y limitar sus cadenas de suministro para garantizar la confiabilidad. Ahora hay que hacer lo mismo con la ciberseguridad. “Buscan optimizar la cadena de suministro: menos proveedores y piezas de mayor calidad de esos proveedores”, dice Woods. “El desarrollo de software y las operaciones de TI de alguna manera han vuelto a aprender esos principios de la cadena de suministro”.
La Casa Blanca de Biden orden ejecutiva de ciberseguridad emitido a principios de este mes puede ayudar. Establece nuevos estándares mínimos de seguridad para cualquier empresa que desee vender software a agencias federales. Pero la misma investigación es igualmente necesaria en todo el sector privado. Y las empresas privadas, al igual que las agencias federales, no deberían esperar que la epidemia de compromisos de la cadena de suministro termine pronto, dice Woods.
Ken Thompson puede haber tenido razón en 1984 cuando escribió que no se puede confiar plenamente en ningún código que no haya escrito usted mismo. Pero confiar en el código de proveedores en los que confía, y que ha examinado, puede ser la mejor opción.
Esta historia apareció por primera vez en wired.com.