Ataques de cadena de suministroSupply chain attacks

Los ataques de la cadena de suministro constituyen una amenaza emergente que se dirige a los programadores y proveedores de software.Supply chain attacks are an emerging kind of threat that target software developers and suppliers. El objetivo es acceder a códigos de origen, procesos de compilación o mecanismos de actualización infectando aplicaciones legítimas para distribuir malware.The goal is to access source codes, build processes, or update mechanisms by infecting legitimate apps to distribute malware.

Cómo funcionan los ataques en la cadena de suministroHow supply chain attacks work

Los atacantes capturan los protocolos de red no seguros, las infraestructuras de servidor desprotegidas y las prácticas de programación no seguras.Attackers hunt for unsecure network protocols, unprotected server infrastructures, and unsafe coding practices. Se pueden dividir, cambiar códigos de origen y ocultar malware en procesos de compilación y actualización.They break in, change source codes, and hide malware in build and update processes.

Dado que el software es creado y publicado por proveedores de confianza, estas aplicaciones y actualizaciones se firman y certifican.Because software is built and released by trusted vendors, these apps and updates are signed and certified. En los ataques de la cadena de suministro de software, es probable que los proveedores desconozcan que sus aplicaciones o actualizaciones están infectadas con código malicioso cuando se liberan al público.In software supply chain attacks, vendors are likely unaware that their apps or updates are infected with malicious code when they’re released to the public. Después, el código malicioso se ejecuta con la misma confianza y los mismos permisos que la aplicación.The malicious code then runs with the same trust and permissions as the app.

La cantidad de víctimas potenciales es importante, dada la popularidad de algunas aplicaciones.The number of potential victims is significant, given the popularity of some apps. Se produjo un caso en el que una aplicación de compresión de archivos gratuita fue envenenada e implementada para los clientes en un país donde se encontraba la aplicación de utilidad superior.A case occurred where a free file compression app was poisoned and deployed to customers in a country where it was the top utility app.

Tipos de ataques de la cadena de suministroTypes of supply chain attacks

  • Herramientas de creación de software comprometidas o infraestructura actualizadaCompromised software building tools or updated infrastructure

  • Código robado: firma de certificados o aplicaciones malintencionadas firmadas con la identidad de la empresa de desarrolloStolen code-sign certificates or signed malicious apps using the identity of dev company

  • Código especializado comprometido que se envía a componentes de hardware o de firmwareCompromised specialized code shipped into hardware or firmware components

  • Malware preinstalado en dispositivos (cámaras, USB, teléfonos, etc.)Pre-installed malware on devices (cameras, USB, phones, etc.)

Para obtener más información sobre los ataques en la cadena de suministro, lea esta entrada de blog llamada Inicio de ataque: la cadena de suministro comprometida dentro de una cadena de suministro impone nuevos riesgos.To learn more about supply chain attacks, read this blog post called attack inception: compromised supply chain within a supply chain poses new risks.

Cómo protegerse contra los ataques de la cadena de suministroHow to protect against supply chain attacks

  • Implemente directivas de integridad de código sólido para permitir que solo se ejecuten las aplicaciones autorizadas.Deploy strong code integrity policies to allow only authorized apps to run.

  • Use las soluciones de detección y respuesta de extremos que pueden detectar y corregir automáticamente actividades sospechosas.Use endpoint detection and response solutions that can automatically detect and remediate suspicious activities.

Para proveedores y desarrolladores de softwareFor software vendors and developers

  • Mantener una infraestructura de compilación y actualización de alta seguridad.Maintain a highly secure build and update infrastructure.

    • Aplicar inmediatamente revisiones de seguridad para el sistema operativo y el software.Immediately apply security patches for OS and software.
    • Implemente controles de integridad obligatorios para asegurarse de que solo se ejecuten las herramientas de confianza.Implement mandatory integrity controls to ensure only trusted tools run.
    • Requerir la autenticación multifactor para los administradores.Require multi-factor authentication for admins.
  • Cree actualizadores de software seguros como parte del ciclo de vida del desarrollo de software.Build secure software updaters as part of the software development lifecycle.

    • Requerir SSL para canales de actualización e implementar el anclaje de certificados.Require SSL for update channels and implement certificate pinning.
    • Firme todo, incluidos los archivos de configuración, los scripts, los archivos XML y los paquetes.Sign everything, including configuration files, scripts, XML files, and packages.
    • Compruebe si hay firmas digitales y deje que el actualizador del software acepte los datos genéricos y los comandos.Check for digital signatures, and don’t let the software updater accept generic input and commands.
  • Desarrolle un proceso de respuesta a incidentes para ataques en la cadena de suministro.Develop an incident response process for supply chain attacks.

    • Divulgar los incidentes de la cadena de suministro y notificar a los clientes información precisa y oportunaDisclose supply chain incidents and notify customers with accurate and timely information

Para obtener sugerencias más generales sobre cómo proteger sus sistemas y dispositivos, consulte evitar infecciones por software malintencionado.For more general tips on protecting your systems and devices, see prevent malware infection.