La seguridad de la cadena de suministro se ha convertido en un tema importante en nuestra industria debido al impacto de infracciones de alto perfil como Kaseya y SolarWinds. Cuando SolarWinds fue pirateado en 2020, se hizo evidente el problema del riesgo de terceros dado su impacto en los principales departamentos gubernamentales e innumerables empresas del sector privado, como Microsoft y Cisco. Kaseya agregó combustible a ese fuego, y el FBI describió el ataque de Kaseya como un ataque de ransomware de la cadena de suministro que aprovecha una vulnerabilidad en el software Kaseya VSA contra múltiples MSP y sus clientes.
Incluso antes de estos incidentes, la comunidad de InfoSec estaba analizando y enfocándose en los riesgos introducidos por el software de terceros. ¿Es seguro trabajar con los socios en la cadena de suministro? ¿Cómo pueden las organizaciones proteger sus procesos comerciales, los secretos comerciales y los datos de los clientes que administran de posibles amenazas a la seguridad de la cadena de suministro?
Hay un elemento de riesgo de la cadena de suministro de terceros que a menudo se pasa por alto, y es uno que tiene un impacto más inmediato y claramente cuantificable en el resultado final de una organización víctima potencial. Estamos hablando de la dinámica de la seguridad del sitio web y el riesgo de que JavaScript de terceros juegue en todo, desde el robo de tarjetas de crédito hasta el fraude generalizado y las multas regulatorias potencialmente masivas.
Ataques del lado del cliente: riesgo de la cadena de suministro digital de terceros
La gran mayoría de los sitios web que operan en el mundo tienen cadenas de suministro vulnerables. Es probable que las organizaciones tengan una docena o más de socios externos que ayuden a potenciar la experiencia de su sitio web. Estos socios están cargando JavaScript en el lado del cliente que a menudo se usa como vector de ataque.
Cuando estos socios cargan JavaScript en el lado del cliente, presentan problemas de seguridad que están fuera de todas las protecciones del lado del servidor que han implementado los equipos de seguridad. Debido a que el enfoque principal en la seguridad del sitio web (hasta este punto) ha estado en el lado del servidor, el lado del cliente se ha convertido en un área de exposición en las cadenas de suministro, ampliamente desatendida y con demasiada frecuencia pasada por alto.
Ya este año ha habido numerosos titulares que detallan los principales ataques del lado del cliente: miles de sitios web se vieron afectados recientemente y millones de consumidores quedaron expuestos. Segway es un ejemplo: su tienda de comercio electrónico fue infiltrada por un atacante Magecart que robó datos de tarjetas de crédito e información de clientes. Entonces, ¿cómo le sigue pasando esto a las grandes corporaciones que seguramente tendrían implementadas medidas de seguridad de primer nivel?
La respuesta: la mayoría de las organizaciones no comprenden el alcance y la materialidad del riesgo al que se enfrentan.
Comprender los ataques del lado del cliente
JavaScript habilita la mayoría de las funciones en las que confían las organizaciones, y que sus usuarios dan por hecho, en el sitio web de la empresa, como el comportamiento interactivo, el llenado de formularios web y la ejecución de transacciones con tarjeta de crédito.
Al mismo tiempo, JavaScript se ha vuelto atractivo para los atacantes debido a su papel en el paso de datos entre usuarios, particularmente datos personales y financieros. Esto abre un tremendo riesgo de incumplimiento y los consiguientes costos de respuesta de limpieza. También abre el riesgo de costos secundarios importantes en forma de multas y juicios. A medida que las leyes de privacidad de datos se vuelven más comunes, las organizaciones podrían ser consideradas responsables si los datos de los consumidores son robados debido a la vulnerabilidad de JavaScript en su sitio web.
En estos casos, la lógica se carga y se ejecuta en el lado del cliente (en el navegador), más allá de la protección de la seguridad del lado del servidor. Los scripts de terceros tienen el mismo nivel de control que el propio script interno del propietario del sitio web. Cada script en la página, sin importar su origen, tiene capacidad de acceso y autoría, lo que significa que pueden cambiar la página web, acceder a toda la información e incluso pueden registrar las pulsaciones de teclas y guardarlas.
Todo lo que se necesita es que un actor de amenazas piratee a un tercero y cambie el código fuente. Ese código se descarga dinámicamente desde un servidor remoto, lo que significa que pasa por alto la infraestructura de seguridad tradicional del lado del servidor, incluidos los firewalls y WAF del propietario del sitio web.
El daño que los ataques de JavaScript de terceros pueden causar a las cadenas de suministro
La amenaza de los ataques basados en JavaScript existe para cualquier organización que recopile datos confidenciales o realice transacciones a través de sus propiedades web. Estos ataques incluyen:
- secuestro de clics;
- Desnatado digital;
- secuestro de formas;
- Desfiguración;
- carro mágico;
- Recolección de credenciales.
Estos ataques del lado del cliente han dañado a algunas de las marcas más importantes del mundo. En 2020, la ICO exigió a British Airways que pagara 26 millones de dólares por una filtración de datos que afectó a más de 400 000 clientes. Los datos robados incluían: información de inicio de sesión; detalles de la tarjeta de pago; detalles de la reserva de viajes; e información de nombre y dirección.
La seguridad de la cadena de suministro de software se ha convertido en una de las principales preocupaciones de las organizaciones de todos los tamaños e industrias. Y esto debe extenderse más allá de lo que las empresas podrían enfocar actualmente para incluir la priorización de la cadena de suministro digital en su sitio web. Las organizaciones no pueden darse el lujo de ignorar las preocupaciones de seguridad cibernética del lado del cliente si quieren evitar problemas de cumplimiento y violaciones de seguridad importantes que podrían afectar negativamente su reputación.
