El tema de las cadenas de suministro controladas está de plena actualidad. Se menciona con frecuencia en la industria agroalimentaria, donde un agente corrupto puede contaminar toda la cadena y comprometer el producto final que llega a las estanterías, lo que causa daños tanto al consumidor como a todos los que participan en la cadena de suministro.
Por supuesto, en una realidad cada vez más basada en los intercambios y las conexiones, el mundo cibernético no está exento de este tipo de riesgos. Especialmente en aquellas empresas en las que participan no solo los empleados, sino también muchos proveedores. La ampliación de la red se convierte fácilmente en una amplificación del riesgo, ya que los «hackers» simplemente multiplican las posibilidades de acceso y, por tanto, los puntos débiles. En este caso hablamos de ataques perpetrados a través de la cadena de suministro o cadena de abastecimiento, es decir, el proceso de llevar un producto o servicio al mercado, trasladándolo de un proveedor a otro, hasta llegar al cliente.
Son precisamente estos ámbitos los que se están convirtiendo en los favoritos de los ciberdelincuentes, hasta el punto de que, según los últimos datos, los ciberataques han aumentado hasta un 400 % en 2020. El último caso que ha saltado a los titulares ha sido el de Ikea, la multinacional sueca del mueble, que fue víctima de los «hackers» a través de una vulnerabilidad en su sistema de correo, lo que allanó el camino para la propagación de «malware» entre los correos electrónicos de los empleados.
Se trata de un caso que llamó la atención sobre este tipo de ataque, mucho más retorcido y difícil de identificar que las campañas de «phishing» más conocidas. De hecho, los correos electrónicos que contienen archivos adjuntos o enlaces «infectados» llegan a través de las cuentas de compañeros o socios de confianza, por lo que instintivamente se abren o se remiten a otros, lo que desencadena el contagio. En resumen, el concepto es siempre el mismo: se engaña al usuario mediante un espejismo que reduce su umbral de atención. Una trampa en la que es muy fácil caer y que crea un error que afecta a todas las empresas de la cadena de suministro. Obviamente, cuanto más extensa sea la cadena de suministro, mayor puede ser el daño.
¿Cómo protegerse de este riesgo cada vez mayor?
Las consignas son siempre las mismas: formación y concienciación. Para la empresa y también para sus proveedores o socios.
En lo más alto de la lista de medidas de protección informática está, sin duda, la formación adecuada sobre ciberseguridad empresarial. Una formación que debe consolidarse y luego actualizarse periódicamente mediante una formación específica, respaldada por programas de formación adecuados.
No obstante, esto puede no ser suficiente, especialmente en el caso de las empresas con muchos contactos externos. Por lo tanto, resulta necesario verificar el nivel de seguridad de los proveedores a lo largo de la cadena de suministro, sopesando también la inclusión de una formación adecuada de concienciación sobre la ciberseguridad como requisito de colaboración.
Además, para estar seguros de que hay una alineación en el tema de la seguridad informática, el socio en cuestión debe haber recibido el mismo programa de formación que la empresa matriz. En resumen, por muy valioso que sea un proveedor, su formación en materia de seguridad ya no puede considerarse un mero detalle. Especialmente cuando la vulnerabilidad informática de alguien puede generar importantes daños económicos y comprometer los resultados de todo el mundo.
Más información sobre los itinerarios formativos de Cyber Guru