CIBERSEGURIDAD, BIGDATA Y DIGITALIZACIÓN

La vulnerabilidad del software en la cadena de suministro

18/09/2024

CATEGORíA: General MARCA: INCIBE

Para la seguridad de un sistema, es esencial no olvidar la seguridad de su cadena de suministro. La naturaleza global de las cadenas de suministro amplía la superficie de ataque e incrementa el potencial impacto del mismo, en particular con los despliegues de servicios sobre cloud, 5G e IoT, pudiendo afectar a usuarios finales, empresas y Administración pública.


En el desarrollo y creación de software se reutilizan componentes software de terceros que no siempre están exentos de vulnerabilidades, y es por ello que están sujetos a continuas actualizaciones y parches. En las actualizaciones de seguridad de cualquier software comercial está involucrada toda la cadena de suministro del software, que abarca desde las empresas que lo comercializan hasta los desarrolladores de los componentes que lo forman. 

 

 

La cadena de suministro del software ha sido recientemente la protagonista de importantes incidentes como el de la plataforma SolarWinds de Orion, Kaseya, Log4j o Asus SadowHammer, caracterizados por su gran impacto al afectar a empresas y organismos de todo el mundo, con sospechas de implicaciones geopolíticas. 

 

Se estima que entre el 85 y el 97% del código utilizado por la industria del software es reutilizado. Los atacantes, muchas veces consiguen acceder al código fuente de un componente software muy utilizado, lo modifican para incluir puertas traseras o cualquier tipo de malware y lo distribuyen, por ejemplo, incorporándolo como parte de una actualización legítima. Los ciberdelincuentes consiguen, de este modo, perpetrar el espionaje, el robo de datos o propiedad intelectual y todo tipo de extorsiones. 

 

Igualmente, aunque con una dificultad añadida, pues requiere acceso físico al dispositivo, los chips, firmware, tarjetas, interfaces y otro hardware que forma los sistemas TI podrían ser comprometidos intencionalmente durante su diseño, fabricación, distribución o mantenimiento en los sistemas finales, conteniendo vulnerabilidades que pueden llevar a exfiltrar o corromper datos que manejan o bien afectar a su funcionamiento. 

 

La industria de la tecnología y los responsables de la ciberseguridad se ven ante un problema que precisa de un enfoque innovador, pues mina la confianza en el ecosistema del desarrollo de software tradicional.

 

Si bien existen iniciativas para atajar los problemas de seguridad inherentes a la cadena de suministro software desde el diseño del mismo, como Google SLSA y MITRE D3fend, es necesario innovar en las medidas proactivas y reactivas para incrementar la ciberresiliencia ante posibles incidentes, que afecten tanto al software como al hardware que actualmente está operativo en las empresas. Es por ello que desde INCIBE, se ha querido impulsar el desarrollo de este tipo de soluciones mediante la publicación del reto 6 “Ciberresiliencia de cadena de suministro” en el lanzamiento de la segunda Compra Pública de Innovación, que describe del siguiente modo la necesidad actual de soluciones en este ámbito: tanto los compradores como los integradores/proveedores de productos software y hardware necesitan de soluciones innovadoras para extender sus requisitos, políticas y controles de seguridad a los proveedores en su cadena de suministro, y en particular a los proveedores de servicios que incorporen IoT, 5G, cloud o servicios gestionados. La seguridad en la cadena de suministro es un problema complejo con muchas interdependencias y efectos en cascada, que requiere un enfoque multidisciplinar que incluya, entre otros aspectos, el modelado de las amenazas, la trazabilidad, la identificación de puntos de penetración y propagación, los indicadores de compromiso y la ciberresiliencia.

 

En el reto se proponían algunos casos de uso, con el objetivo de guiar a los investigadores potenciales en su investigación, no siendo los indicados exclusivos:

 

  • Desarrollar sistemas innovadores de seguridad en la cadena de suministro colaborativos y globales para gestionar todo el ciclo de vida del software y hardware, detectando posibles ataques en todas sus fases (diseño, construcción y distribución) para que puedan aplicarse a productos ya comercializados para garantizar su integridad y fiabilidad. 
  • Aplicar estas innovaciones en áreas o dominios específicos, poniendo el foco en el cumplimiento de la normativa (por ejemplo, industria 4.0, IoT, cloud o 5G) con proyectos que puedan aplicarse a gran escala. 
  • Creación de soluciones que faciliten al usuario final la gestión de la cadena de la cadena de suministro, incluyendo el control, verificación y cumplimiento, según el riesgo asociado.

 

La industria española ha respondido al reto presentando 4 soluciones de I+D que han acabado siendo adjudicatarias y que actualmente se están ejecutando de manera satisfactoria. Estos proyectos de I+D cuentan con una inversión total presupuestada de casi 5 millones y medio de euros. Para garantizar la evolución de los mismos hacia niveles de madurez precomerciales se exige, entre otras medidas:

 

  • Que deberán evidenciar su carácter innovador durante todo el proyecto y su utilidad en un entorno operacional.
  • Que cada proyecto cuenta con al menos un usuario final que validará e incluirá sus necesidades durante la ejecución, siendo los primeros beneficiados de estas nuevas tecnologías, y asegurando así la calidad de las mismas.
  • Que se deberá probar la solución en un entorno real. 
  • Que la prueba de concepto resultante deberá estar en funcionamiento durante al menos 3 meses.

 

INCIBE hace una apuesta en firme para dar solución a los retos que nos plantea un sector cada vez más en el foco de los ciberatacantes, con el objetivo de aportar al mercado soluciones que mejorarán la seguridad y resiliencia de un sector de gran impacto en la seguridad de las empresas.

 

Autora: Verónica De Mata Ugidos

Publicado en https://www.incibe.es

 




Volver al listado Volver al listado





vimeo twitter facebook linkedin


Financiado por la Unión Europea Next GenerationEU Plan de Recuperación, Transformación y Resilencia