Violación de datos de Qantas: Por qué la supervisión de los proveedores debe ser una prioridad de cumplimiento

Una reciente filtración de datos de Qantas, que comprometió la información personal de 5.7 millones de clientes, ha puesto de manifiesto el riesgo continuo de ciberseguridad que los proveedores de servicios externos representan para las empresas. El incidente, ocurrido en junio, expuso datos como nombres, fechas de nacimiento, números de teléfono, correos electrónicos e información de las cuentas de los clientes del programa de fidelización Qantas Frequent Flyer. Sin embargo, la información financiera, de pasaportes y las contraseñas no se vieron afectadas.

Pero en lugar de violar los sistemas informáticos internos de la aerolínea australiana, los autores de la filtración robaron esta información engañando a un centro de contacto externo, haciéndoles creer que eran empleados de Qantas que necesitaban restablecer la información de autenticación multifactor. Tras alterar esta información crucial de seguridad, los hackers obtuvieron acceso no autorizado a una plataforma en la nube externalizada que contenía las bases de datos de los clientes de Qantas.

Se cree que el grupo de ciberdelincuencia Scattered Spider, cuyos hackers están dispersos por Estados Unidos y el Reino Unido, estuvo detrás del ataque. Desde entonces, el FBI ha... prevenido que el grupo está lanzando cada vez más ataques de ingeniería social contra aerolíneas globales. Esto surge a medida que una investigación de la aseguradora cibernética Cowbell muestra que los ataques a la cadena de suministro de software han... aumentado En un 431% en los últimos cuatro años. Con esto en mente, ¿qué pueden hacer las empresas para proteger sus cadenas de suministro y prevenir incidentes como la filtración de datos de Qantas?

Lecciones importantes que aprender

Una de las lecciones más importantes de la ciberfiltración de Qantas es que, si bien la autenticación multifactor está diseñada para actuar como una capa adicional de seguridad, dificultando que los ciberdelincuentes accedan a las cuentas, no es completamente impenetrable. Según Jake Moore, asesor global de ciberseguridad del fabricante de antivirus ESET, quien afirma que personas maliciosas son capaces de hackear "incluso las mejores defensas".

Una segunda lección de Moore es que las empresas deben darse cuenta de que sus cadenas de suministro tienen “debilidades inevitables” que son fáciles de explotar para los piratas informáticos, como simplemente hacerse pasar por empleados genuinos, y que pueden “eliminar mucho a su paso”.

Vijay Dilwale, consultor principal de Black Duck, proveedor de software de seguridad de aplicaciones, comparte esta opinión. Argumenta que, incluso si las empresas cuentan con sólidas protecciones cibernéticas, estas son prácticamente inútiles si los proveedores de los que dependen no prestan la misma atención a la ciberseguridad. En declaraciones a ISMS.online, Dilwale declaró: «Los sistemas centrales de Qantas no sufrieron vulneraciones, pero millones de registros acabaron en las manos equivocadas debido a una brecha de seguridad de un tercero».

Cuando se filtra información personal de esta manera, Dilwale afirma que puede tener consecuencias graves para las empresas. Estas incluyen la pérdida de confianza de los clientes, multas regulatorias y artículos periodísticos que culpan tanto a la empresa como al proveedor, incluso si el primero no tiene la culpa. Añade: «En el mundo digital actual, el perímetro tradicional no existe realmente. Cada proveedor, cada subcontratista, cada plataforma SaaS forma parte de la superficie de ataque».

Implicaciones de cumplimiento

Dado que las protecciones mejoradas de ciberseguridad, como MFA, por sí solas no son suficientes para proteger a las organizaciones de fugas de datos devastadoras mientras los ataques a la cadena de suministro siguen creciendo, las organizaciones claramente necesitan hacer más.

Para Dilwale, de Black Duck, esto significa considerar la evaluación de riesgos de los proveedores como un ejercicio continuo, en lugar de una simple tarea de verificación de requisitos al incorporar nuevos proveedores. Además de investigar cuidadosamente a los proveedores de servicios externos, afirma que las organizaciones deben monitorear continuamente los riesgos cibernéticos que plantean los proveedores y estipular que se tomen en serio la ciberseguridad en los contratos formales. En estos, las organizaciones deben lograr que los proveedores acepten auditorías de ciberseguridad y notificaciones de incidentes.

Pero estos esfuerzos no se limitan a proteger la imagen, sino que también constituyen una obligación regulatoria. Dilwale explica que, en Australia, los Principios de Privacidad Australianos obligan a las empresas a informar sobre cualquier tipo de ciberataque. Mientras tanto, normas del sector como la ISO 27001 subrayan la importancia de la gestión de riesgos en la cadena de suministro. Añade: «El mensaje es claro: supervisar a los proveedores ya no es opcional».

Cuando se trata de gestionar estos riesgos, Dilwale recomienda que las organizaciones adopten un Sistema de Gestión de Seguridad de la Información (SGSI), ya que les permitirá monitorear e identificar las vulnerabilidades de la cadena de suministro en cada etapa de la relación con el proveedor, desde la incorporación hasta la salida.

“Puede asegurarse de que las auditorías no solo se programen, sino que se les dé seguimiento con medidas correctivas. Puede crear una imagen completa de su cadena de suministro extendida, para no pasar por alto esas conexiones con terceros”, afirma. “Y puede incluir a los proveedores en sus simulacros de respuesta a incidentes para que, si algo sale mal, ya sepan cómo responder juntos”.

Además de utilizar un SGSI, Michael Tigges, analista senior de operaciones de seguridad en la plataforma de ciberseguridad empresarial Cazadorainsta a las organizaciones a desarrollar marcos específicos que utilicen normas como la ISO 27001, supervisar y auditar periódicamente a sus proveedores como parte de acuerdos de nivel de servicio “claros”, ser transparentes sobre el movimiento de datos e invertir en sistemas de detección y respuesta.

Otros pasos

Según Tigges de Huntress, las comprobaciones del estado de los proveedores son otro paso crucial para eliminar los riesgos de seguridad en la cadena de suministro. Deben abarcar áreas como controles de acceso adecuados, autenticación multifactor, registros de incidentes y simulaciones de incidentes.

Como parte de estos esfuerzos, anima a las empresas a realizar simulacros de ciberseguridad, en los que se someten a un ciberataque realista y evalúan la respuesta de su equipo, para identificar y subsanar las brechas de seguridad. También pueden participar proveedores externos.

Tigges también enfatiza la importancia de una gestión eficaz de las partes interesadas. Explica a ISMS.online: «Comience por tener conversaciones realistas: ¿qué esperamos lograr aquí, qué riesgos podemos tolerar y dónde podemos reforzar nuestras defensas de otras maneras para ayudar a mitigar ese riesgo?».

Ross Brewer, vicepresidente para EMEA de la firma de gestión de registros y análisis de seguridad Graylog, coincide en que las organizaciones deben tener en cuenta los riesgos de la cadena de suministro en sus simulacros de ciberseguridad. Esto les permitirá evaluar los procedimientos de detección, escalamiento y respuesta dentro de su organización.

Mirando hacia el futuro

Dado que los ciberataques a la cadena de suministro no dan señales de disminuir, Moore, de ESET, cree que las organizaciones no tendrán más remedio que convertir las evaluaciones de seguridad de los proveedores en una parte vital de su gobernanza en el futuro. Esto implica tratar a los proveedores externos como una extensión de la organización, con la misma responsabilidad, para garantizar su supervivencia en un panorama regulatorio en constante evolución.

Dado que muchas empresas ahora externalizan diferentes partes de sus organizaciones a proveedores externos, Dilwale, de Black Duck, afirma que deben considerar la seguridad de los proveedores con la misma importancia que la suya. Continúa: «La seguridad de la cadena de suministro no puede añadirse como algo secundario; debe integrarse en la gobernanza, ya que la rendición de cuentas y el cumplimiento normativo son requisitos fundamentales para hacer negocios».

A largo plazo, Tigges, de Hunttress, afirma que las empresas y sus proveedores deberán ser transparentes y cohesionados en sus prácticas de ciberseguridad y gestión de datos debido a la sensibilidad de la información compartida. Concluye: «La reputación de la organización y los datos individuales están en juego, y todas las personas que manejan esos datos son partes interesadas en este proceso».

Aunque la cibervulneración de Qantas no se debió a una negligencia en ciberseguridad por parte de la aerolínea australiana, el incidente podría haberse evitado si la aerolínea hubiera implementado prácticas de seguridad más sólidas en su cadena de suministro. Para otras organizaciones, esto supone una valiosa lección: la seguridad de sus proveedores es tan importante como la propia. Esto debería reforzarse mediante contratos integrales con los proveedores, revisiones periódicas del estado de la cadena de suministro y simulacros de ciberseguridad que consideren los riesgos de seguridad de la cadena de suministro.