65 SEGURIDAD seguridad a productos/servicios/ proveedores que utilizan en sus vidas diarias (vehículos, infraestructuras críticas, prótesis-implantes médicos, juguetes infantiles conectados, etc.). • (2) Daños a activos: (a) Daños o perdidas de activos de información. Son los ciber-ataques que afectan a datos, metadatos, código, etc. debidos a malware, que realizan DoS/DDoS, secuestro, espionaje, inhabilitan infraestructuras IT/OT que soportan el ecosistema de la cadena de suministro. (b) Daño o pérdida de instalaciones físicas. Es el caso de ataques terroristas que se aprovechan de las vulnerabilidades de la cadena de suministro para dañar instalaciones físicas causando pérdidas humanas, daños al medio ambiente. (c) Perdida de la propiedad intelectual. Robando, espiando, exfiltrando información de empresas, gobiernos, organizaciones, particulares, etc. (d) Daño o pérdida de partes de componentes o suministros. Es difícil gestionar los ciber-ataques a los activos digitales cuando la cadena de suministro se transforma en una Web de suministro caótica (donde existen nubes, ecosistemas IoT, Dark-Web, etc.). (e) Daño o pérdida de activos de información. Los activos de información son ciber-atacado tratando de obtener conocimientos técnicos, protocolos, prácticas, secretos, etc. • (3) Daños a las operaciones: (a) Incapacidad o capacidad limitada para realizar funciones/misiones de negocios en el futuro. Las vulnerabilidades crecen día a día en las organizaciones lo que dificulta la recuperación frente a los ciberataques continuos. (b) Incapacidad para realizar las funciones/misiones de negocio. Los ciber-ataques a través de las cadenas de suministro es un lugar común donde las organizaciones son más vulnerables. (c) Daños en las relaciones. Las relaciones de confianza entre organizaciones suelen perderse al gestionar la cadena de suministro si no utilizan los mismos patrones de madurez/eficiencia/ciber-resiliencia y tecnología ZT (Zero Trust, verificar antes de confiar). (d) Daños (costos financieros, sanciones) debido a un no cumplimiento. Muchas veces las regulaciones no se implementan adecuadamente. • (4) Daños en las relaciones con otras organizaciones: La naturaleza interconectada de las cadenas de suministro causa daños a todos los integrantes si el ecosistema no se puede ciber-proteger con un nivel muy alto de madurez. • (5) Daños en las relaciones a nivel nacional/internacional y geopolítico: La pérdida de relaciones con otras naciones, la pérdida de reputación nacional, la pérdida de seguridad nacional debido a impactos en las infraestructuras críticas. TÉCNICAS DE CIBERATAQUE CONTRA LAS CADENAS DE SUMINISTRO Las principales categorías de ciberataques a las cadenas de suministro ICT (Information Communications Technology) para obtener acceso a sus activos son: (a) Ciberataques sobre software. Se basa en explotar vulnerabilidades del software para inhabilitar, destruir trastornar recursos, procesos o servicios de la cadena de suministro. Log4j es una utilidad de logging/ open-source que contiene una vulnerabilidad RCE (Remote Code Execution)/ CVE-2021-44228. (b) Ciberataques con software. Un ciber-atacante se infiltra en la red del fabricante de software y emplea malware para comprometer el software antes que el fabricante lo envía a sus clientes. Este software contaminado infecta los datos y sistemas de sus clientes. El objetivo se dirige al diseño, desarrollo, entrega omejora del propio software. (c) Ciberataques con hardware. Un ciber-atacante modifica/ reemplaza componentes hardware/ firmware de la cadena de suministro, por ejemplo, insertando 'backdoorhardware' en las redes del cliente (en servidores, estaciones de trabajo, periféricos/impresoras, infraestructura de red como routers, etc.) para controlar los sistemas del cliente. Entre las técnicas de ciberataque más importantes de tipo software se pueden identificar: • (1) Firma de código no determinista. La firma de código se utiliza para validar la identidad del autor del código y la integridad de dicho código. Los ciber-atacantes socavan la firma del código auto-firmado de certificados, rompiendo sistemas de
RkJQdWJsaXNoZXIy Njg1MjYx