Comprender los riesgos de terceros en ciberseguridad es fundamental en la era digital actual. A medida que las empresas recurren cada vez más a terceros para la prestación de aspectos clave de sus servicios, los riesgos cibernéticos asociados se multiplican. Hoy nos centraremos en analizar la naturaleza de dichos riesgos y en aprender de ejemplos de riesgos de terceros ocurridos en el mundo real.
Un ciberriesgo de terceros se produce cuando sus datos, o los de sus clientes, quedan expuestos debido a vulnerabilidades de seguridad de un proveedor externo. Analicemos estos escenarios para comprender mejor estos riesgos.
Ejemplo 1: La violación de la corporación objetivo
Uno de los ejemplos más destacados de riesgos de terceros que conducen a importantes incidentes de ciberseguridad es la violación de datos de Target Corporation de 2013. Los piratas informáticos se infiltraron en la red de Target a través de un proveedor de HVAC, lo que resultó en la filtración de información de tarjetas de crédito y débito de 40 millones de clientes.
Esta brecha no solo se debió a una vulnerabilidad de seguridad en el proveedor externo de Target, sino también a la falta de segregación y control sobre el acceso a la red interna. La brecha provocó una pérdida estimada de 162 millones de dólares tras el reembolso de las aseguradoras. Es un ejemplo de la magnitud que puede controlar un ciberriesgo de terceros, tanto en términos de pérdidas financieras como de daño a la reputación.
Ejemplo 2: El escándalo de Facebook y Cambridge Analytica
El escándalo de datos de Facebook de 2018, que involucró a Cambridge Analytica, fue uno de los casos más publicitados de uso indebido de datos por parte de terceros. Cambridge Analytica, consultora política, obtuvo la información personal de unos 87 millones de usuarios de Facebook y la utilizó para publicidad política sin su consentimiento explícito. En este caso, Facebook permitió que aplicaciones de terceros accedieran colectivamente a grandes cantidades de datos de usuarios, lo que provocó una grave violación de la privacidad.
Este incidente pone de relieve la necesidad de que las empresas controlen los datos a los que acceden sus proveedores externos, garantizando la implementación de estrictas medidas de seguridad y confidencialidad. Monitorear las actividades de los proveedores es esencial para mitigar los riesgos de terceros.
Ejemplo 3: El ataque Cloud Hopper
Cloud Hopper fue una campaña de ciberespionaje descubierta en 2016 que tenía como objetivo a proveedores de servicios de TI gestionados (MSP) para acceder a las redes de sus clientes. Una vez dentro, los hackers podían acceder y robar información de los distintos clientes MSP, lo que pone de relieve los riesgos que plantean los servicios en la nube de terceros y la necesidad de contar con sólidos controles de ciberseguridad.
La filtración subraya la importancia de una investigación rigurosa y la monitorización continua de los proveedores externos de servicios en la nube. También sirve como recordatorio de que no todos los actores de amenazas buscan un beneficio económico inmediato; algunos, en cambio, realizan espionaje corporativo y robo de propiedad intelectual.
Ejemplo 4: El ataque de SolarWinds
El ciberataque de SolarWinds de 2020 es un ejemplo de ataque a la cadena de suministro y sirve como alerta para las organizaciones sobre los peligros que representan las vulnerabilidades de terceros. Un grupo de amenazas persistentes avanzadas, presuntamente de origen estatal, inyectó código malicioso en las actualizaciones de software de SolarWinds para su producto Orion.
Como resultado, alrededor de 18.000 organizaciones descargaron e instalaron la actualización comprometida, lo que provocó importantes brechas de seguridad, incluyendo a agencias gubernamentales estadounidenses y otras corporaciones globales. Esto pone de relieve cómo una pequeña vulnerabilidad en un software de terceros puede tener consecuencias devastadoras.
En conclusión, comprender los riesgos de terceros y sus implicaciones reales es fundamental para gestionar el entorno de ciberseguridad. Si bien es posible que no tenga control sobre las medidas de ciberseguridad de un tercero, sí tiene control total sobre con quién trabaja, el nivel de acceso a la red que les otorga y cómo supervisa sus operaciones. Aplicar las lecciones de Target, Facebook, Cloud Hopper y SolarWinds allana el camino para una mejor gestión de riesgos y estrategias de protección proactivas.