A menudo, las violaciones tardan meses o más en hacerse de conocimiento público. Es posible que a las víctimas les haya llevado semanas o meses descubrir una infracción, que puede no aparecer en los informes públicos durante semanas o meses posteriores (si es que alguna vez aparece).
Las vulnerabilidades de la cadena de suministro de tecnología permiten a los actores de amenazas escalar sus operaciones con un mínimo esfuerzo. El 75% de las relaciones externas de empresa a empresa (B2B) que permitieron infracciones de terceros involucraron software u otros productos y servicios tecnológicos. El 25% restante de las infracciones de terceros involucraron productos o servicios no técnicos.
Infracciones de terceros vinculadas a grupos de delitos cibernéticos
El notorio grupo de ciberdelincuencia Cl0p fue responsable del 64% de las infracciones de terceros atribuibles en 2023, seguido sólo por LockBit con apenas el 7%. La preeminencia de Cl0p se debió en gran parte a su explotación a gran escala de una vulnerabilidad de día cero en el software de transferencia de archivos MOVEit, que también fue la vulnerabilidad mencionada con más frecuencia.
Esta creciente desproporcionalidad en la distribución de las infracciones entre grupos tiene sentido si se considera, en primer lugar, por qué los actores de amenazas eligen vectores de ataque comunes de terceros. Estos métodos a menudo permiten a los atacantes comprometer a un gran número de víctimas a la vez, lo que otorga a sus operaciones una escalabilidad mucho mayor. Por ejemplo, comprometer a un proveedor de servicios gestionados (MSP) podría permitir a un actor comprometer a docenas o incluso cientos de sus clientes con un esfuerzo relativamente mínimo. Por lo tanto, tiene sentido que los actores de amenazas que utilizan vectores de ataque de terceros con mayor frecuencia sean responsables de una proporción desproporcionadamente grande de las víctimas.
El 61% de las infracciones de terceros se atribuyen a MOVEit ( CVE-2023-34362 ). Las víctimas recientemente identificadas de esta campaña masiva continuaron apareciendo en los informes meses después de los ataques originales. Las tres vulnerabilidades más explotadas (MOVEit, CitrixBleed y Proself) estuvieron involucradas en el 77% de todas las infracciones de terceros que involucraron una vulnerabilidad específica. Una de las razones del impacto generalizado del día cero de MOVEit fue que permitió compromisos de terceros, cuartos e incluso quintos partidos.
Un vector de ataque de terceros
Aproximadamente el 29 % de todas las infracciones en 2023 fueron atribuibles a un vector de ataque de terceros. Es probable que esta cifra subestime el porcentaje real, ya que muchos informes sobre infracciones no especifican un vector de ataque.
Los servicios de salud y financieros surgieron como los sectores más afectados por las infracciones de terceros: la atención de salud representó el 35% del total de infracciones y los servicios financieros el 16%.
El complejo ecosistema de relaciones con terceros puede arrojar luz sobre por qué la atención médica experimenta tantas violaciones en general y de terceros en particular. La industria de la salud tiene muchos otros factores de riesgo distintivos que pueden explicar sus frecuentes violaciones, como dispositivos médicos vulnerables, una vulnerabilidad percibida a la extorsión de ransomware, la mayor utilidad de una PHI más detallada para el fraude, etc.
La preponderancia de las relaciones técnicas en las infracciones de terceros también es clara en la industria financiera, y la mayor parte de esta actividad se atribuye a software o tecnología de servicios financieros especializados.
Sólo Estados Unidos representa el 63%. Sin embargo, las variaciones geográficas pueden ser más difíciles de detectar debido a la abrumadora atención de los medios de comunicación y los proveedores de seguridad en las violaciones en los EE. UU. y otros países de habla inglesa.
Si bien las infracciones de terceros son comunes a nivel mundial, Japón se destacó con una tasa significativamente más alta (48%). Como centro de servicios automotrices, manufactureros, tecnológicos y financieros, las empresas japonesas enfrentan un importante riesgo cibernético en la cadena de suministro debido a las dependencias internacionales.
Ryan Sherstobitoff , vicepresidente senior de investigación e inteligencia de amenazas de SecurityScorecard, afirmó: “El ecosistema de proveedores es un objetivo muy deseable para los grupos de ransomware. Las víctimas de violaciones de terceros a menudo no se dan cuenta de un incidente hasta que reciben una nota de ransomware, lo que les da tiempo a los atacantes para infiltrarse en cientos de empresas sin ser detectados”.
El riesgo cibernético de terceros es un riesgo empresarial
Según Gartner, «el coste de una infracción cibernética de un tercero suele ser un 40% mayor que el coste de remediar una infracción de ciberseguridad interna». Dado que el costo promedio de una filtración de datos alcanzará los 4,45 millones de dólares en 2023, las organizaciones deben operacionalizar de manera proactiva la gestión del riesgo cibernético de la cadena de suministro para mitigar el riesgo empresarial.
“En la era digital, la confianza es sinónimo de ciberseguridad. Las empresas deben mejorar la resiliencia mediante la implementación de una gestión de riesgos cibernéticos continua, basada en métricas y alineada con el negocio en sus ecosistemas digitales y de terceros”, afirmó el Dr. Aleksandr Yampolskiy , director ejecutivo de SecurityScorecard.
Fuente y redacción: helpnetsecurity.com
