Las afirmaciones del grupo de ransomware Everest de haber vulnerado Atlas Air y su proveedor Tsunami Tsolutions demuestran cómo los ataques modernos de ransomware están explotando la complejidad de la cadena de suministro para crear riesgos, incluso cuando las brechas no están confirmadas.
Por Kate O'Flaherty
En febrero, el grupo de ransomware Everest afirmó haber desviado Se han robado 1.2 TB de datos de la aerolínea de carga Atlas Air. Las afirmaciones publicadas en un foro de la web oscura por el cártel de ransomware estaban respaldadas por capturas de pantalla de la información supuestamente robada, incluidos datos técnicos de aeronaves Boeing.
Días después, los piratas informáticos afirmaron haber comprometido también a Tsunami Tsolutions, proveedor estadounidense de soluciones de información y soporte para la ingeniería aeroespacial, haciendo referencia a un conjunto de datos más pequeño en lo que parecía ser un ataque coordinado a la cadena de suministro.
Atlas Air negó la violación y Tsunami Tsolutions no respondió a las afirmaciones de Everest, pero los incidentes muestran cómo los ataques modernos de ransomware están explotando complejidad de la cadena de suministro y la ambigüedad crea riesgos, incluso cuando las filtraciones no están confirmadas.
¿Cómo pueden las organizaciones fortalecer su resiliencia y capacidad de defensa ante escenarios de amenazas inciertos y de rápida evolución que escapan a su control directo?
Problemas con las capturas de pantalla
Everest afirmó tener pruebas de la fuga de Atlas Air, pero los documentos que presentó podrían haber sido falsificados fácilmente. En lugar de la liberación de En lugar de muestras de datos completas, el grupo publicó capturas de pantalla de lo que describió como documentos de mantenimiento y reparación, registros logísticos y catálogos de piezas. Las afirmaciones basadas únicamente en capturas de pantalla se sitúan en una zona deliberadamente ambigua, afirma Sergiu Zaharia, doctor y CISO de Pentest-Tools.com. "Pero esa ambigüedad es precisamente el objetivo", explica. IO“Everest no necesita probar la infracción de forma concluyente para ejercer presión. Simplemente quiere generar la suficiente duda como para que el riesgo reputacional y contractual de la inacción supere el coste de la negociación. Es una táctica de extorsión bien conocida.”
Los investigadores observaron anomalías en las capturas de pantalla, incluida una referencia a Malaysia Airlines que no parecía tener una relación directa con Atlas Air. Cuando Everest reivindicó posteriormente el ataque contra Tsunami Tsolutions, las capturas de pantalla mostraban información similar.
Esto plantea dudas legítimas sobre si los datos se originaron realmente en los sistemas de Atlas Air o en los de un proveedor. Incluso podrían provenir de una plataforma compartida o de «una fuente ajena que el grupo agrupó en una sola reclamación para obtener el máximo beneficio», sugiere Zaharia.
Por lo tanto, la cuestión de la credibilidad es menos simple de lo que parece, afirma Zaharia. «Las capturas de pantalla tal vez no demuestren una brecha en los sistemas centrales de Atlas Air. Pero casi con toda seguridad demuestran que alguien, en algún punto de la cadena de suministro, tuvo acceso a documentos de este tipo de forma que permitiera la exfiltración».
Las denuncias relacionadas con Atlas Air y el grupo de ransomware Everest ilustran un patrón recurrente en la extorsión cibernética moderna: los ciberdelincuentes publican capturas de pantalla y declaraciones contundentes, mientras que la organización objetivo niega haber sido comprometida, afirma Tracey Hannan-Jones, directora de consultoría de seguridad de la información de UBDS Digital.
En sectores altamente interconectados como el aeroespacial y el de carga aérea, el impacto posterior de estos incidentes "no probados" aún puede ser significativo, afirma.
Las filtraciones verificables suelen proporcionar señales más contundentes. Estas incluyen árboles de archivos, archivos de muestra, hashes, marcas de tiempo, identificadores internos únicos o confirmación independiente de terceros afectados, explica Hannan-Jones. Las capturas de pantalla «rara vez proporcionan información suficiente para validar la procedencia» sin la telemetría interna de la víctima, añade.
Riesgo del mundo real
Por lo tanto, si bien no existe una prueba definitiva de que se haya producido una violación de seguridad, las reclamaciones siguen generando riesgos en el mundo real.
Negar una brecha de seguridad no elimina el riesgo, simplemente cambia su naturaleza, afirma Dana Simberkoff, directora de riesgos, privacidad y seguridad de la información en AvePoint. «Una vez que un actor de amenazas creíble hace una declaración pública, las organizaciones se enfrentan a consecuencias operativas, regulatorias y reputacionales, independientemente de si se demuestra o no».
La negación no es lo mismo que la garantía, añade Rob Demain, director ejecutivo de e2e-assure. «La declaración de Atlas Air de que sus sistemas no se vieron comprometidos solo se refiere a su propio entorno», señala. «No confirma ni refuta si los datos asociados a la organización pueden existir en otros puntos de la cadena de suministro».
Este es el problema fundamental de la cadena de suministro, afirma. «Una organización puede ejercer control sobre sus propios sistemas, pero no necesariamente sobre los sistemas de los proveedores que almacenan, procesan o acceden a sus datos».
Complejidad de la cadena de suministro
Con entornos de datos interconectados entre operadores, fabricantes y socios de ingeniería, el sector aeroespacial ofrece un claro ejemplo de cómo el riesgo de terceros puede propagarse por todo un ecosistema.
El sector aeroespacial es uno de los más ilustrativos para este problema, ya que la complejidad de su cadena de suministro es «estructural e inevitable», según Zaharia. «Un solo programa aeronáutico involucra a miles de proveedores en decenas de países, conectados mediante sistemas de gestión de mantenimiento, bases de datos de piezas, plataformas logísticas y repositorios de documentación técnica diseñados para la eficiencia operativa, no para la seguridad. Muchas de estas conexiones conllevan una confianza implícita que nunca se ha validado explícitamente».
El problema resultante es la opacidad de la cadena de suministro, según Stew Parkin, director de tecnología de Assured Data Protection. «La gestión tradicional de riesgos de terceros —cuestionarios, revisiones anuales, garantías contractuales— simplemente no está diseñada para ecosistemas altamente interconectados con múltiples niveles de dependencia y plataformas compartidas».
Cuando ocurre un incidente como el de Atlas, las organizaciones se enfrentan al problema de demostrar una negación. «No es fácil demostrar que no se accedió a los datos, sobre todo si la exposición pudo haber ocurrido a través de un socio», afirma Parkin. «Esa brecha entre lo que se sabe internamente y lo que se puede comunicar con seguridad externamente es donde el riesgo aumenta más rápidamente».
Expectativas regulatorias en evolución
Este problema se enmarca en un contexto de creciente escrutinio regulatorio en torno a la seguridad, la resiliencia y la rendición de cuentas de la cadena de suministro. Redes y sistemas de información 2 (NIS2), el Ley de Resiliencia Operativa Digital (La Ley DORA y la creciente ola de regulaciones sobre infraestructuras críticas en toda la UE están impulsando la rendición de cuentas en materia de seguridad de la cadena de suministro, desde el proveedor hasta el operador.
Según Zaharia, de Pentest-Tools.com, «en virtud de la NIS2, las entidades esenciales e importantes son responsables de gestionar los riesgos de ciberseguridad en sus cadenas de suministro, no solo en sus propios sistemas. Esto supone un cambio significativo respecto a los marcos que consideraban la seguridad de la cadena de suministro como una buena práctica, y que la tratan como una obligación de cumplimiento con consecuencias legales».
A medida que la rendición de cuentas se extiende más allá del ámbito de la organización, las empresas también deben demostrar que cuentan con medidas eficaces. «Las expectativas están cambiando: de "muéstrame la política" a "muéstrame cómo se identifica, supervisa y gestiona el riesgo de forma continua"», afirma Simberkoff, de AvePoint.
Esto ejerce presión sobre las organizaciones para que demuestren un modelo funcional y ejemplos de gobernanza, toma de decisiones y acciones de respuesta, especialmente cuando los incidentes involucran a terceros o escenarios de violación ambiguos.
Pasos prácticos
La amenaza a la cadena de suministro es real, especialmente cuando las reclamaciones no están comprobadas. Para contrarrestar este problema, los expertos recomiendan que las organizaciones vayan más allá de los modelos estáticos de garantía de proveedores y adopten una supervisión continua basada en sistemas que proporcione visibilidad de los flujos de datos, las dependencias y la respuesta a incidentes.
En términos prácticos, esto significa centrarse en la visibilidad y la integración en lugar de en controles aislados, según Simberkoff. Recomienda mapear los flujos de datos, comprender dónde reside la información confidencial y alinear a los proveedores con expectativas compartidas de seguridad y respuesta.
En el contexto de Atlas Air, comprender qué partes externas tenían acceso legítimo a la documentación de mantenimiento de Boeing y a través de qué sistemas sería "el punto de partida para cualquier respuesta significativa a la reclamación del Everest", afirma Zaharia.
Zaharia añade que también es fundamental validar el plan de respuesta ante incidentes frente a un escenario específico de vulneración de la cadena de suministro. «La mayoría de las organizaciones cuentan con planes para las brechas de seguridad en sus propios sistemas. Sin embargo, son muchas menos las que han probado su respuesta ante un escenario en el que la brecha se produce en un proveedor, los datos en cuestión pueden o no ser suyos y la evidencia forense es incompleta».
Sistemas de gestión integrados y alineados con el marco, como los construidos en torno a ISO 27001,También son útiles. Proporcionan un «lenguaje y una estructura comunes para gestionar el riesgo en ecosistemas complejos», según Simberkoff. «Estándares como la ISO 27001 no se centran en el cumplimiento por sí mismo. Permiten a los equipos poner en práctica y posibilitan la visibilidad, la garantía y la rendición de cuentas continuas».
Esto proporciona un proceso demostrable para poder explicar lo que se hace y probarlo, afirma. «En entornos donde el riesgo en la cadena de suministro es inevitable, estos marcos ayudan a las organizaciones a pasar de una gestión reactiva a una gobernanza proactiva, lo cual es esencial al lidiar con la ambigüedad, las reclamaciones de terceros y los modelos de amenazas en constante evolución».
Amplíe su conocimiento
Blog: ¿Pagar el rescate o no? Consideraciones del gobierno sobre el pago como una solución al cibercrimen.
Podcast: Phishing para problemas, episodio n.° 09: Qué no hacer en caso de desastre
