Lecciones de los 5 peores incidentes de ciberseguridad de terceros de 2023

Los incidentes de ciberseguridad de terceros fueron especialmente amplios y dañinos en 2023. Estas son las estrategias para mitigar el impacto de las brechas de proveedores.

Personal de Mitratech
Personal de Mitratech 19 de diciembre de 2023 6 min leer
Decorative image

En lo que se refiere a incidentes de ciberseguridad, 2023 ha sido, bueno, interesante. Aunque hemos visto algunas de las tendencias que esperábamos -como el ransomware, el malware más sofisticado y los ataques de hackers motivados por el estado-nación o la política-, también hemos sido testigos de un número increíble de brechas de terceros fascinantes y de gran impacto. En este post, examinaré los 5 peores incidentes de ciberseguridad de terceros de 2023 y repasaré qué lecciones podemos aprender de ellos.

#1 MOVEit

El impacto generalizado de la vulnerabilidad MOVEit fue el equivalente en ciberseguridad a un choque de trenes a cámara lenta en 2023. En mayo, una banda de ransomware llamada Cl0p comenzó a abusar de un exploit de día cero de la solución de transferencia de archivos empresariales MOVEit Transfer de Progress Software. Progress Software ha publicado numerosos parches, pero en el momento de escribir este artículo, más de 2.000 organizaciones han informado de haber sido atacadas.

A primera vista, este incidente no fue particularmente único. Los ataques de día cero ocurren con frecuencia. Las organizaciones víctimas emiten anuncios y notificaciones de vulnerabilidad "instintivos". Pero en este caso, los anuncios se sucedieron. Muchas organizaciones confiaban en un proveedor de software, y uno tras otro, el proveedor se encontró en apuros debido a los fallos críticos explotados rutinariamente en la naturaleza. Esto llevó a la exposición de datos, sistemas internos comprometidos, y mucho más.

Este ataque a la cadena de suministro de software es la ilustración perfecta de por qué es esencial conseguir la mayor visibilidad posible de su cadena de suministro de software, para que pueda identificar más fácilmente una posible vulnerabilidad, evaluar las prácticas del proveedor en consecuencia y adelantarse a los posibles problemas. Empiece por recopilar una lista de servicios y software en uso.

Determine lo que sabe sobre el ciclo de vida de desarrollo de software (SDLC) del proveedor y los componentes de su solución. Asegúrese de solicitar pruebas de desarrollo, empaquetado y envío seguros del software, a menudo disponibles en una lista de materiales de software (SBOM). Sin los procesos de garantía de calidad (QA) adecuados, su proveedor de software podría ser propenso a los exploits, y eso significa que su organización es propensa a los exploits.

#2 Infracciones en casinos

Aunque los ataques de ransomware no son intrínsecamente nuevos (no me atrevo a decir que son "noticias viejas" en este momento, porque siguen teniendo un enorme impacto), siempre hay algunos ángulos nuevos e interesantes en sus causas fundamentales. En los sonados ataques de ransomware a MGM Resorts y Caesars Entertainment, esos ángulos nuevos e interesantes incluían decididamente vulnerabilidades de terceros. Parte del incidente fue el resultado de la ingeniería social centrada en terceros con acceso remoto a los entornos de los casinos, de forma similar a cómo los atacantes se dirigieron a un proveedor externo de calefacción, ventilación y aire acondicionado en la famosa brecha de Target en 2013.

En el momento de escribir estas líneas, Caesars ha pagado 15 millones de dólares y MGM ha perdido potencialmente 100 millones en este incidente perpetrado por los actores ALPHV y Scattered Spider. Los datos comprometidos incluían nombres, números de carné de conducir, fechas de nacimiento y algunos números de la seguridad social y de pasaporte. También se violaron datos de algunos empleados.

Este incidente representa uno de los principios fundamentales de un programa de seguridad informática: la formación, especialmente la formación del servicio de asistencia. Además, debería servir como recordatorio de la importancia de la autenticación multifactor (MFA) y de las políticas, controles y validación de autenticación para usuarios con privilegios.

#3 Okta

Una de las mayores historias de ciberseguridad del año involucra a Okta. Además de numerosas fallas importantes y anuncios de exposición, la compañía reveló recientemente que un proveedor de atención médica expuso información de 5.000 empleados de Okta. En el primer incidente, los atacantes robaron credenciales para acceder a su sistema de gestión de casos de soporte y robar tokens de sesión cargados por los clientes. Este incidente afectó a todos los clientes de Okta. Esto sigue a un ataque similar en 2022, donde Okta reconoció que los hackers robaron código fuente vinculado a una brecha de terceros en su red.

Incidentes como éste ponen de relieve la vulnerabilidad de los puntos únicos de fallo para las organizaciones. En este caso, las soluciones de gestión de identidades y accesos (IAM) son fundamentales para la mayoría de las interacciones entre empleados y sistemas, ya que actúan como puertas de acceso a los sistemas y datos más sensibles. Al igual que en el caso de las infracciones del casino mencionadas anteriormente, las organizaciones deben examinar detenidamente sus permisos de terceros y sus niveles de acceso privilegiado.

#4 Policía Metropolitana

Nunca es una buena noticia que las fuerzas del orden sufran violaciones de datos e incidentes de seguridad. Este año, la Policía Metropolitana de Londres sufrió una filtración a causa de un aparente ataque de ransomware contra un proveedor informático, Digital ID. La información comprometida incluía una serie de datos sensibles, como nombres de agentes y personal, fotos, rangos, niveles de investigación y números de identificación.

Para ser más proactivo contra ataques similares, primero debe comprender quién tiene sus datos personales y realizar un seguimiento minucioso de esos proveedores, lo que incluye la supervisión continua de amenazas y la observación de señales cibernéticas para identificar pruebas de datos comprometidos que se ponen a la venta en la web oscura. Además, hay que tener en cuenta la sensibilidad de los datos y las relaciones con los proveedores. Cualquier proveedor implicado en IAM debería ser una categoría de riesgo de nivel 1 a vigilar.

#5 Henry Schein

El fabricante y distribuidor de productos sanitarios Henry Schein vio interrumpidas sus operaciones en octubre debido a un ataque de ransomware orquestado por ALPHV (BlackCat). En noviembre, la empresa anunció un nuevo ataque. En el momento de redactar este informe, no se ha confirmado el acceso a datos sensibles en este segundo escenario. El incidente de octubre afectó a una amplia variedad de consultas de odontología, medicina y veterinaria en muchos países diferentes, y redujo su capacidad de realizar comercio electrónico en un 75%.

4 pasos para ser más proactivo en incidentes de ciberseguridad de terceros

Si algo nos han enseñado las 5 principales infracciones de 2023 es que hay que ir por delante de los atacantes. Aparte de las mejoras de seguridad más funcionales que he señalado en los ejemplos de infracciones anteriores, asegúrese de que su programa de GTPR se centra en las siguientes actividades en 2024.

  1. Establezca la gobernanza y la alineación de la organización. Comience con una revisión exhaustiva de su equipo y/o procesos de adquisición. Establezca el proceso de inicio de las revisiones de proveedores, defina y revise las condiciones contractuales, identifique los recursos disponibles en caso de infracción o vulnerabilidad causada por un producto de un proveedor, determine la frecuencia de las revisiones de proveedores posteriores al contrato y documente los procedimientos de revisión de terceros.

  2. Revisar periódicamente a los terceros. Realice evaluaciones de riesgos de terceros en varios puntos del ciclo de vida del proveedor. En primer lugar, decida una lista de controles con respecto a los cuales los terceros deban demostrar su cumplimiento. A continuación, determine la frecuencia de las revisiones de seguridad para las necesidades de cumplimiento internas y normativas. Por último, defina un proceso de corrección y arbitraje para tratar a los terceros que no cumplan actualmente los requisitos de seguridad.

  3. Exigir declaraciones de seguridad del software (por ejemplo, un SBOM, un informe SOC 2 o una certificación ISO) como referencia. Esté preparado para evaluar la capacidad del desarrollador/proveedor para resolver cualquier problema que se descubra en el futuro y obtenga acceso a las "imágenes de oro" de los fabricantes como prueba de que el desarrollo, el embalaje y el envío del software son seguros.

  4. Aproveche las clasificaciones de riesgo. Utilice servicios tecnológicos que ofrezcan clasificaciones de riesgo de los proveedores en comparación con otras organizaciones del sector.

Próximos pasos: Vea el seminario web

Para obtener más lecciones de los incidentes de ciberseguridad de terceros más impactantes del año, vea mi seminario web a petición, "Lecciones de los 5 peores incidentes de ciberseguridad de terceros de 2023."

Asegúrese de ponerse en contacto con Prevalent para programar una demostración sobre cómo pueden ayudar a su organización a reforzar su programa de riesgos de terceros.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.