Kaspersky ha analizado el riesgo que sufren las empresas a nivel global ante los ciberataques a la cadena de suministro. Del estudio, denominado “Supply chain reaction: securing the global digital ecosystem in an age of interdependence”, revela que el 31 % de las empresas ha sufrido un ataque real este año y señala que las empresas de España (40 %), México (43 %) y China (40 %) son las que sufren un riesgo muy superior a la media global.
El informe indica que el riesgo afecta especialmente a las compañías más conectadas y las más grandes (36 %). Estas organizaciones también son las que tienen un mayor número medio de proveedores de hardware y software, gestionando alrededor de 100 proveedores de media, lo que genera una amplia superficie potencial de ciberataque.
Otro riesgo importante se produce por la confianza. Este tipo de ciberataques basados en las relaciones de confianza se situaron entre las cinco ciberamenazas más comunes, afectando a una cuarta parte (25 %) de las compañías a nivel global. Este tipo de ataques fueron especialmente frecuentes en Turquía (35 %), Singapur (33 %) y México (31 %).
El informe indica que, a pesar de que este ataque es uno de los más comunes, los directivos tienen a subestimarlos. Al clasificar los riesgos según su peligrosidad, las organizaciones se centraron en ataques complejos como las amenazas persistentes avanzadas (APT), el ransomware o las amenazas internas, en lugar de aquellos que realmente sufren con mayor frecuencia.
Solo el 9 % de las empresas a nivel global situó los ciberataques a la cadena de suministro como su principal preocupación, un nivel de atención sorprendentemente bajo dada la frecuencia con la que estas amenazas interrumpen sus operaciones. Del mismo modo, solo el 8 % señaló los ataques basados en relaciones de confianza.
“A medida que las organizaciones se vuelven más interconectadas, su exposición a los ataques crece con ellas. En este contexto, proteger a la empresa moderna exige un enfoque de ecosistema completo que refuerce no solo los sistemas individuales, sino toda la red de relaciones que permite que el negocio funcione”, destacó Sergey Soldatov, responsable del Security Operations Center en Kaspersky.
Kaspersky aconseja para mitigar este problema evaluar a fondo a los proveedores antes de formalizar acuerdos, revisando sus políticas de ciberseguridad, establecer requisitos de seguridad contractuales, realizar auditorías periódicas y garantizar el cumplimiento de las políticas de seguridad y adoptar medidas tecnológicas preventivas.
