Ciberseguridad: ataques a la cadena de suministro

Photo by Soumil Kumar on Pexels.com

Ars Technica nos brinda un interesante acercamiento a los riesgos de ataques a la infraestructura de la cadena de suministro en la industria de TI.

Muestra un escenario de terror para clientes y consumidores de servicios de cómputo en el corto y mediano plazo. El artículo consigue llamar la atención acerca de este riesgo poco conocido para usuarios de a pie y para involucrados en el desarrollo de políticas y regulaciones alrededor de las tecnologías de la información.

Se hace un repaso de los principales incidentes de los últimos años y se plantean un par de posibles soluciones para contener este tipo de ataques en el futuro. Se menciona entre otras cosas:

  • El reciente ataque al software Orion de SolarWinds, con un alcance de por lo menos 18 mil posibles clientes.
  • Ataques comprometiendo la herramienta de desarrollo de la empresa CodeCov.
  • El ataque a la herramienta de mantenimiento de discos CCleaner, de Avast.
  • El incidente NotPeya, debido al ataque en el software e contabilidad de la empresa ucraniana MEDoc.
  • La distribución de una versión de XCode hackeada en la tienda de aplicaciones china de iOS.

El artículo hace mención a la conferencia de 1984 de Ken Thompson (uno de los creadores de Unix), donde concluye: “La moraleja es obvia. No puedes confiar en código que no creaste completamente tu mismo por completo. (Especialmente de código de compañías que emplean a personas como yo)“.

La posible solución que plantea el artículo es llevar las buenas prácticas de la industria automotriz, en especial de Toyota; en cuanto al control de toda su cadena de suministro. Sería una solución mas organizacional, que tecnológica. Nosotros añadiríamos que el Open Source también es una alternativa; y no es que este exento de problemas.

Mas en Ars Rechnica.

Créditos de la imagen: Soumil Kumar, en Pexels.