Cuando pensamos en ciberseguridad es común pensar en la protección de  los datos personales y corporativos frente a  ataques. Sin embargo, también es importante priorizar la seguridad de la Cadena de Suministro, en especial con la presencia, cada vez más fuerte, de la digitalización de operaciones. 

A nivel mundial, las prioridades de los líderes de las Cadenas de Suministro en cuanto a tecnología están orientadas hacia el análisis de datos, IoT y plataformas en la Nube, pero solo el 31% se enfocan en la seguridad de la información (De acuerdo con APQC).  

¿Qué es un ataque a la Cadena de Suministro? 

La cadena de suministro incluye los procesos, personas, organizaciones y distribuidores que participan en la creación y entrega de un producto o servicio. Al ser un ecosistema que abarca una amplia gama de recursos, información almacenada, canales de distribución y software para la gestión de procesos, puede ser un blanco para los ataques informáticos. 

Por norma general, estos ataques de hacen en dos fases. Primero buscan vulnerar a un proveedor, que luego es usado para atacar al objetivo principal (cliente) y acceder a sus activos.  

Algunas de las técnicas más usadas para este fin son: 

• Malware:  se pueden utilizar programas espía para robar las credenciales e información de los empleados. El 62% de los ataques se hacen a través de esta técnica. 
• Ingeniería social: esta modalidad abarca phishing, aplicaciones falsas, suplantaciones de identidad para convencer al proveedor de suministrar alguna información. 

• Exploit: este ataque consiste en buscar y aprovechar las vulnerabilidades del proveedor en cuanto a código, SQL o problemas de configuración. De acuerdo con la Agencia de la Unión Europea para la Ciberseguridad (ENISA) en el 66% de los incidentes reportados durante el 2021, los atacantes se centraron en el código de los proveedores para alterarlo. 
• Open-Source Intelligence (OSINT): consiste en la búsqueda en línea de credenciales, API Keys o nombres de usuario. 

Según ENISA, en el 58% de los incidentes de la cadena de suministro el objetivo eran los datos de los clientes, incluidos los datos personales y de propiedad intelectual. 

¿Cómo fortalecer la ciberseguridad en la Cadena de Suministro? 

1. Capacitar a los colaboradores y crear un plan de capacitaciones regulares sobre ciberseguridad. 

2. Identificar y documentar a los proveedores definiendo cuáles son los criterios de riesgo para cada uno.  

3. Realizar auditorías periódicas a los proveedores para garantizar que cumplan con las políticas de seguridad de la información y la protección de datos. En el 66% de los ataques a la Cadena de Suministro, los proveedores no sabían o no informaron cómo fueron comprometidos. 

4. Clasificar los activos y la información que puede ser compartida o accesible para los proveedores, definiendo también los procedimientos para acceder a ellos. 

5. Implementar políticas de ciberseguridad  que busque la prevención de ataques. Para esto, es importante conocer qué medidas están ya implantadas y cuáles faltan.  

6. Priorizar a los proveedores con políticas de seguridad de la información definidas.