Resumen de riesgos para proveedores: Este año se han producido 3 grandes violaciones (¡hasta ahora!)
Mires donde mires, parece que los ciberataques son cada vez más frecuentes. Los piratas informáticos ocupan los titulares cada día, robando la información personal de millones de personas, desde cumpleaños hasta números de la Seguridad Social.
Estos piratas informáticos atacan cada vez más las cadenas de suministro de software y los servicios de terceros de los que dependen las organizaciones. ¿Por qué?
Porque atacar una cadena de suministro les permite comprometer a muchas personas a la vez, en lugar de tener que atacar a cada organización por separado. Estamos hablando no solo de decenas o centenares, sino a menudo de decenas de miles de personas a través de una sola brecha.
Además, este tipo de ataque elude las medidas de seguridad de la víctima y suele dar lugar a que el pirata tenga un mayor nivel de acceso interno. Este tipo de ataques son muy difíciles de discernir, lo que permite a los hackers más tiempo para infiltrarse, robar datos e instalar ransomware.
Así que, con esta sombría nota, echemos un vistazo a algunas de las filtraciones de datos más notables que hemos visto últimamente causadas por filtraciones de terceros este año.
¿Ejemplos de infracciones de terceros en 2021?
Kaseya
La empresa de tecnologías de la información Kaseya, con sede en Florida, fue objeto de lo que se ha dado en llamar el mayor ataque de ransomware del que se tiene constancia. A principios de julio, se descubrió que los hackers habían explotado una vulnerabilidad en Kaseya VSA (Virtual System Administrator), un paquete de software de monitorización y gestión remota.
Afiliados al grupo ruso de ransomware REvile asumieron la responsabilidad, exigiendo 70 millones de dólares en criptomoneda para liberar una clave de software desencriptador universal para desbloquear todos los sistemas afectados. ¿Por qué este ciberataque fue especialmente cruel?
Kaseya es un "proveedor de servicios gestionados", lo que significa que sus sistemas son utilizados por empresas que son demasiado pequeñas o financieramente incapaces de tener sus propios departamentos de TI. Kaseya envía regularmente actualizaciones que supuestamente protegen los sistemas de sus clientes, pero los hackers consiguieron utilizar esas mismas funciones para distribuir software malicioso a sus clientes.
En términos de daños, más de 1.500 empresas se vieron afectadas por este ataque en todo el mundo. Muchas tuvieron que cerrar por completo. Este acto de dirigirse a sistemas que se supone que protegen a los clientes y utilizar sus funciones en su contra es lo que hace que este ataque sea especialmente atroz.
Audi y Volkswagen
En marzo de 2021, Audi y Volkswagen recibieron la notificación de que un proveedor había dejado datos sin proteger entre agosto de 2019 y mayo de 2021. Estos datos de clientes habían sido obtenidos entonces por un tercero no autorizado.
Los datos incluían información recopilada con fines comerciales y de marketing, desde datos de contacto hasta números de carné de conducir o de préstamos. El asunto sigue bajo investigación, según ellos, pero se vieron afectados unos 3,3 millones de clientes y compradores interesados.
Aunque este incidente no parecía incluir un rescate, como en el caso de Kaseya, es un ejemplo formidable de lo que puede ocurrir cuando se dejan expuestos datos sensibles. Especialmente en la era del GDPR, se trata de una pesadilla de riesgo para los proveedores que puede acarrear graves sanciones.
¿La lección? Para proteger los datos de los clientes, las organizaciones deben comprobar que los proveedores los protegen de forma segura en la nube. No se trata solo de creer en su palabra cuando se trata de medidas de ciberseguridad.
Accellion
De acuerdo, este es técnicamente de diciembre de 2020 - pero el número de personas afectadas por este desafortunado ejemplo de riesgo de proveedor sigue creciendo, por lo que merece un vistazo.
Según el perfil de Bloomberg, "Accellion, Inc. proporciona soluciones seguras de colaboración y transferencia gestionada de archivos. La empresa ofrece productividad, contenido empresarial, intercambio y sincronización de archivos y almacenamiento, sustitución y copias de seguridad y recuperación. Accellion atiende a clientes de todo el mundo". Según su propio sitio web, han protegido a más de 25 millones de usuarios finales en más de 3.000 corporaciones globales y agencias gubernamentales.
Por desgracia, son muchos usuarios finales y mucha información personal podría ser robada. Y eso es lo que ocurrió: Hasta el mes pasado, el número de víctimas afectadas por esta brecha había alcanzado la escandalosa cifra de 3,5 millones. Y, como ya hemos dicho, esta cifra sigue creciendo.
Los piratas informáticos aprovecharon las vulnerabilidades del FTA (File Transfer Appliance) de Accellion para exponer datos sensibles y personales, como información bancaria y sanitaria. El FTA se lanzó hace unos veinte años para permitir a las organizaciones compartir de forma segura archivos demasiado grandes para enviarlos por correo electrónico. Según HIPAA Guide, "el sitio de filtración de datos de la banda de ransomware Clop se utilizó para publicar algunos de los datos robados con el fin de incitar al pago del rescate".
Esto ha dado lugar a una serie de demandas contra Accellion por parte de las víctimas en los tribunales de los estados de California y Washington, ¿y quién puede culparles? Si usted es una empresa que confió en ellos, es posible que también sufra un golpe a su reputación.
Defenderse para no convertirse en un titular de riesgo para el vendedor
Nos detendremos aquí antes de que esto se vuelva demasiado desalentador. La mayoría de estas infracciones se han solucionado o se están solucionando, pero el riesgo de los proveedores externos es un problema real que toda organización debe conocer y tomar medidas para afrontarlo.
Asegúrese de contar con un sistema eficaz de gestión de riesgos de proveedores (VRM) para que tanto usted como sus clientes puedan dormir tranquilos por la noche. ¡Y para evitar aparecer algún día en listas como esta...!
Más para ti:
Guía del experto: Las 7 señas de identidad de un cumplimiento eficaz
Casos prácticos: Explore nuestros Casos de Uso de Automatización de Flujos de Trabajo de Riesgo y Cumplimiento.
Infografía: GRC Hurdles & High Jumps in Building a Culture of Compliance (Obstáculos y grandes saltos de GRC en la creación de una cultura de cumplimiento)
Vea nuestra cumbre sobre el futuro del cumplimiento de la normativa, ¡ahora a la carta!
Escuche los consejos de los mejores expertos en riesgos y cumplimiento sobre cómo crear resistencia y continuidad para su empresa.
