Los ataques a la cadena de suministro de software aumentan un 650% en un año

  • Seguridad Inteligente

La insaciable demanda mundial de paquetes de código fuente abierto ha provocado un aumento interanual de tres dígitos en los ataques a la cadena de suministro de software.

El informe 2021 State of the Software Supply Chain está elaborado a partir de datos patentados y disponibles públicamente.

Afirma que los desarrolladores globales tomarían prestados más de 2,2 billones de paquetes o componentes de código abierto de ecosistemas de terceros para acelerar el tiempo de comercialización. Esto incluye Java descargado del repositorio central de Maven, paquetes de Python descargados de PyPi, JavaScript de npmjs y paquetes de .NET NuGet.

Estos paquetes de código compartido a menudo contienen vulnerabilidades divulgadas públicamente que los actores de amenazas pueden explotar. Sin embargo, cada vez más los ciberdelincuentes son más proactivos.

“Los ataques a la cadena de suministro de software de próxima generación son mucho más siniestros, porque los malos actores ya no esperan la divulgación pública de vulnerabilidades para perseguir un exploit. En cambio, están tomando la iniciativa e inyectando nuevas vulnerabilidades en proyectos de código abierto que alimentan la cadena de suministro global, y luego explotan esas vulnerabilidades antes de que sean descubiertas”, señaló el informe.

"Al cambiar sus ataques 'ascendentes', los malos actores pueden obtener influencia y el beneficio crucial del tiempo que permite que el malware se propague a lo largo de la cadena de suministro, lo que permite ataques mucho más escalables a los usuarios 'descendentes'".

Dichos ataques han aumentado en un asombroso 650% interanual, en comparación con una cifra del 430% el año pasado.

Se detectaron 216 ataques de este tipo durante cuatro años entre febrero de 2015 y junio de 2019. Sin embargo, esta cifra aumentó a 929 durante solo un año (julio de 2019-mayo de 2020). Ese número aumentó a la asombrosa cifra de 12.000 durante el año pasado.

Las principales campañas de amenazas cibernéticas, incluidos los ataques a SolarWinds y Codecov, destacan las repercusiones potencialmente graves de los compromisos de la cadena de suministro de código.

Descubre la innovación

Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.