La ciberseguridad en la cadena de suministro, una tendencia al alza

20 oct 2022

Luca Urciuoli, profesor de MIT-Zaragoza

POR LUCA URCIUOLI
Profesor adjunto de Gestión de la Cadena de Suministro del Programa MIT-Zaragoza

La ciberseguridad en la cadena de suministro preocupa cada vez más a las empresas. Solo en 2021, los expertos en seguridad informática detectaron un aumento del 15,1% en el número de ciberataques y violaciones de datos en comparación con el año anterior. La previsión es que la cifra siga creciendo debido a tendencias pujantes como la industria 4.0 y la digitalización de procesos, que adoptan empresas de todo el mundo. Tanto las industrias como los gobiernos a escala global deben gestionar estas tendencias con cautela, asegurándose de la correcta implementación de soluciones y estrategias que mejoren la ciberseguridad en la cadena de suministro.

Motivaciones detrás de los ciberataques

Las razones de los ciberataques pueden ser muy diversas, si bien destacan tres: motivaciones económicas, ideológicas y geopolíticas. Los problemas de seguridad, como el robo y la falsificación en las cadenas de suministro, no son nuevos para las empresas. Sin embargo, reforzar la protección con medidas de seguridad física puede desplazar los ataques a capas más vulnerables, concretamente, a los sistemas informáticos. Mediante ciberataques como, por ejemplo, la manipulación y copia de datos o el sabotaje de dispositivos de seguridad, las organizaciones criminales tienen una mayor facilidad para robar dinero o cualquier otro tipo de activo, así como cometer delitos contra la propiedad intelectual.

En algunos casos, los ataques se perpetran tomando como base ideologías específicas ─lo que se conoce como hacktivismo─, enviando un mensaje "para perturbar, avergonzar o dar un castigo ejemplar a su objetivo o a todos" (Urciuoli et al. 2013). Por ejemplo, se han registrado ciberataques para condenar acciones de industrias que no respetan las políticas de sostenibilidad. El terrorismo y los ideales religiosos también pueden estar detrás de los ataques a fin de castigar a grupos de personas e, incluso, sumir a un país en el miedo o el pánico.

En último término, las tensiones geopolíticas a menudo se convierten en una guerra cibernética, es decir, grupos de hackers que causan daños y alteran las funciones vitales de la sociedad. Recientemente, las empresas italianas de energía y electricidad fueron objeto de ciberataques que provocaron la interrupción del suministro de gas y electricidad. Además, los hackers podrían robar y recopilar información confidencial de los países o usar medios y canales de comunicación con fines propagandísticos para debilitar los regímenes existentes.

Sofisticación en los ataques a las cadenas de suministro

La ciberamenaza es cualquier actividad que tiene como objetivo realizar acciones ilícitas contra individuos u organizaciones por medio de ordenadores, redes o dispositivos de hardware. Las empresas pueden ver comprometido no solo el acceso a datos confidenciales de los empleados, clientes o proveedores, sino también a la propiedad intelectual, como diseños de nuevos productos.

La ciberseguridad en la cadena de suministro es clave para la expansión de la industria 4.0

Las infracciones cibernéticas pueden llegar a detener la actividad de cualquier empresa, afectando a la productividad, las ventas, el cumplimiento de pedidos y la satisfacción de los clientes. En casos muy extremos, los hackers podrían manipular los PLC (Programmable Logic Controller) de las plantas de producción, lo que tendría un impacto en la calidad y la reputación de la marca e, incluso, podría generar problemas de seguridad para la sociedad.

Ataques aislados

Echando la vista atrás, los hackers han causado daños sustanciales atacando nodos aislados de una cadena de suministro. Por ejemplo, el 4 de diciembre de 2020, un grupo de hackers atacó PickPoint, un e-commerce especializado en casilleros para paquetes. La empresa contaba con una red de 8.000 casilleros situados en las ciudades de Moscú y San Petersburgo, en espacios abiertos y de libre acceso. Mediante un ciberataque, abrieron 2.732 taquillas ubicadas en Moscú y robaron los paquetes que contenían, demostrando la vulnerabilidad de la última milla en las cadenas de suministro.

Ataques relacionados con el secuestro de datos

Otra técnica para atacar las cadenas de suministro consiste en utilizar programas informáticos maliciosos que pueden infectar ordenadores en cadena. Por ejemplo, en 2017, el virus NotPetya comprometió los sistemas del conglomerado logístico Maersk y se extendió a través de industrias y puertos marítimos, infectando más de 200.000 ordenadores en 150 países y causando daños por miles de millones de dólares. Cuando Maersk se dio cuenta de lo rápido que se estaba propagando el virus en su red de socios y clientes, decidió apagar por completo sus sistemas informáticos durante tres días. Como consecuencia, las terminales portuarias tuvieron que detener sus operaciones, dejando miles de embarcaciones marítimas esperando en los muelles o ancladas en el mar.

El virus NotPetya siguió un patrón similar al ciberataque WannaCry, al bloquear el acceso a los ordenadores con el mensaje “un disco contiene errores y necesita ser reparado”. Para desbloquear los ordenadores, se pidió a las personas afectadas que pagaran un rescate. Maersk logró reconstruir toda la infraestructura de IT en 10 días y restaurar gradualmente sus operaciones. No obstante, se estima que la empresa sufrió pérdidas por valor de 300 millones de dólares y un daño inconmensurable a su reputación, sobre todo a raíz de la cobertura mediática tras el ciberataque.

Ataques en la cadena de suministro

Durante los últimos años, los ciberataques se han vuelto más complejos y sus causantes son más conscientes de la trascendencia que tiene la cadena de suministro en las organizaciones atacadas. Como consecuencia, muchas de las grandes empresas han reforzado su protección contra los ataques cibernéticos. Pese a ello, los hackers han comprobado que las empresas más pequeñas que forman parte de la misma cadena de suministro son más vulnerables y pueden utilizarlas como trampolín para infectar a sus proveedores o compradores, entre ellos grupos más grandes de vendedores. Los ciberexpertos han acuñado el término “supply chain attack” para categorizar estos eventos.

Por ejemplo, en 2020, los hackers lograron infiltrarse en SolarWind, un proveedor de soluciones de software para la cadena de suministro. Introdujeron un virus conocido como backdoor (troyano de puerta trasera) en el software Orion utilizado por SolarWind, comprometiendo los datos, redes y sistemas de todas las empresas que utilizan el software Orion. Este hackeo afectó a más de 18.000 organizaciones y se cree que comprometió a nueve agencias federales y a un centenar de empresas del sector privado. El aspecto más preocupante es que los hackers estuvieron varios meses sin ser detectados, probablemente robando y exponiendo enormes cantidades de datos. Este no fue un ataque aislado, ya que se registraron incidentes similares en mayo y julio de 2021 con los ciberataques a Colonial Pipeline (principal operador de oleoductos de Estados Unidos) y Kaseya (compañía de software), respectivamente.

Pasos importantes para proteger las cadenas de suministro de las ciberamenazas

Es evidente que las cadenas de suministro y tendencias actuales como la automatización y la digitalización aportan numerosos beneficios a las empresas y a la sociedad. Los investigadores han demostrado, en varias ocasiones, que estas tecnologías pueden mejorar significativamente la productividad, la rentabilidad de las operaciones, los plazos de comercialización y el tiempo de respuesta a los clientes, entre otros.

Una responsabilidad de las compañías es la protección de datos de clientes

El intercambio de información que se produce a lo largo de la cadena de suministro reduce el efecto látigo y ayuda a los responsables a optimizar el stock de seguridad y sincronizar los traspasos en la supply chain. Otra información que las empresas deben compartir en la cadena de suministro es el diseño de nuevos productos u otros documentos internos relacionados con planes estratégicos vinculados a programas de desarrollo de los proveedores. Todo ello contribuye a hacer más competitiva la cadena de suministro y a ganar cuota de mercado.

Medidas de ciberseguridad en la cadena de suministro

La interconexión entre los actores logísticos debe reforzarse con una protección cibernética especializada que asegure una cadena de suministro libre de ciberataques de principio a fin. Es decir, una organización por sí sola no puede proteger sus operaciones y equipos sin involucrar a todos sus proveedores y profesionales de seguridad informática.

Existen estándares y certificaciones para apoyar a las organizaciones que desean mejorar su protección contra las ciberamenazas como, por ejemplo, la norma internacional ISO/IEC 27001 y la NIST 800-55 del Instituto Nacional de Estándares y Tecnología (NIST), una agencia del Departamento de Comercio de Estados Unidos. El estándar ISO/IEC 27001 incorpora varios procedimientos de control para que las empresas puedan garantizar la seguridad de sus capas de TIC. Estos procedimientos incluyen control de acceso, seguridad física, adquisición de sistemas, procedimientos de mantenimiento y relaciones con proveedores, entre otros. El estándar NIST 800-55 propone una metodología robusta para identificar y medir los impactos de los controles de seguridad en tres categorías: implementación, eficiencia y eficacia, y medidas de impacto organizacional.

El NIST, en particular, ha desarrollado una aproximación especializada ─la guía NIST Cybersecurity Supply Chain Risk Management (C-SCRM) practices─ para abordar la ciberseguridad en las cadenas de suministro, enfocándose principalmente en la adquisición, contratación de proveedores e intercambio de información. Por consiguiente, actividades como la selección de proveedores, ofertas, solicitudes de cotización, evaluación de propuestas y términos contractuales deben realizarse conforme los requisitos de ciberseguridad establecidos.

La interconexión entre los actores logísticos debe reforzarse con una protección especializada que asegure una cadena de suministro libre de ciberataques de principio a fin

Asimismo, se espera que la auditoría y el seguimiento del desempeño de los proveedores integre los riesgos de ciberseguridad y se reevalúen las condiciones contratadas con los proveedores con el fin de establecer una respuesta que mitigue el daño en caso de detectar una infracción. La guía del NIST también engloba prácticas relevantes para capacitar a los responsables como, por ejemplo, normativas y acuerdos a la hora de compartir información, flujos de trabajo para publicar y consumir información, protección de datos o soporte continuo para cualquier tipo de información compartida con proveedores.

Protección de datos del consumidor

Otra responsabilidad primordial de las compañías está relacionada con la protección de datos de los consumidores a lo largo de la cadena de suministro. Las empresas que operan en el sector e-commerce y retail han de contar con sistemas que protejan la información de sus clientes para evitar que los hackers puedan perpetrar ataques y robar identidades o tarjetas de crédito (un grupo de hackers, por ejemplo, se apropió de los datos de millones de tarjetas de crédito de la red PlayStation de Sony). Para la sociedad, la privacidad es sinónimo de confianza, respeto y libertad de pensamiento. Y lo que es más importante, limita el poder político: “cuanto más sabe alguien sobre nosotros, más poder puede tener sobre nosotros”. Por lo tanto, la protección de datos se convierte en una necesidad todavía más crítica desde una perspectiva geopolítica y de seguridad nacional cuando, por ejemplo, se utiliza para aplicar estrategias de propaganda por parte de grupos de hackers.

Los países europeos están trabajando intensamente en la preparación de marcos legislativos que puedan garantizar la protección de los datos personales. Las páginas web u otras aplicaciones, como tiendas online, espacios de aprendizaje digitales o apps de transporte, suelen solicitar datos personales para registrarse. El Reglamento General de Protección de Datos (GDPR) de la Unión Europea (UE) 2016/679 contiene normas estrictas para proteger el tratamiento de datos, estableciendo directrices para “el procesamiento por parte de un individuo, una empresa o una organización de datos personales relacionados con individuos en la Unión Europea”. Según el GDPR, los datos personales se refieren a información o partes de información que podrían recopilarse para poder identificar a una persona en particular. Sin embargo, las políticas y regulaciones existentes no han sido redactadas para regir específicamente las operaciones del Transporte Público Inteligente (IPT) y, por tanto, es probable que en los próximos años se produzcan avances en nuevos marcos legislativos.

La ciberseguridad, en conclusión, juega un papel preponderante en el proceso de transformación que está experimentando la cadena de suministro a raíz de las prácticas recomendadas por la industria 4.0. Las juntas directivas deben abordar estos desafíos mediante el desarrollo de nuevas estrategias que incorporen un modelo de ciberseguridad conocido como Zero Trust (redes de confianza cero), así como sistemas que permitan la detección y respuesta frente a ciberataques.

La seguridad informática tiene que mejorar y extenderse a toda la cadena de suministro, de principio a fin, así como a sus funciones internas. Del mismo modo, los estándares existentes están disponibles para implementar medidas de seguridad a lo largo de la cadena de suministro, eliminando las debilidades del sistema que los hackers podrían aprovechar para perpetrar sus ataques.

 

 

Dr. Luca Urciuoli es profesor adjunto en el Programa Internacional de Logística MIT-Zaragoza. También es profesor asociado del KTH Royal Institute of Technology (Estocolmo, Suecia) e investigador afiliado del Centro para el Transporte y la Logística del MIT.

 

 

Referencias