Los ataques a la cadena de suministro explicados: cómo funcionan, ejemplos reales y cómo defenderse de ellos

Todas las organizaciones confían en que sus proveedores de software, cloud y dependencias de código abierto les proporcionen código seguro y legítimo. Los atacantes lo saben, y se aprovechan de ello. Los ataques a la cadena de suministro comprometen a proveedores de confianza situados en las fases iniciales del proceso para eludir por completo las defensas de las fases finales, convirtiendo en armas precisamente las herramientas en las que confían las organizaciones. Según el Informe de Investigaciones sobre Fugas de Datos 2025 de Verizon, el 30 % de todas las fugas de datos implican ahora un compromiso de terceros, el doble que la cifra del año anterior. Dado que el ranking OWASP Top 10 2025 sitúa Supply Chain de software como el tercer riesgo (con el 50 % de los encuestados de la comunidad señalándolo como su principal preocupación), las organizaciones que carecen de visibilidad sobre las conexiones con los proveedores se enfrentan a un punto ciego existencial.

Esta guía explica qué son los ataques a la cadena de suministro, cómo funcionan, los incidentes más destacados que se han producido hasta 2026, y las estrategias de detección, prevención y cumplimiento normativo que los equipos de seguridad necesitan hoy en día.

¿Qué es un ataque a la cadena de suministro?

Un ataque a la cadena de suministro es un ciberataque que tiene como objetivo a proveedores externos de confianza, proveedores de software o socios de servicios para infiltrarse en las organizaciones situadas más abajo en la cadena. En lugar de atacar directamente a un objetivo, los atacantes comprometen el proceso de compilación, el mecanismo de actualización de software o el acceso a los servicios de un proveedor situado más arriba en la cadena; a continuación, distribuyen código malicioso u obtienen acceso a través de la relación de confianza que ya existe entre el proveedor y sus clientes.

Esto hace que los ataques a la cadena de suministro sean especialmente peligrosos. Los controles de seguridad tradicionales dan por sentado que las conexiones con los proveedores son seguras. Los cortafuegos permiten el tráfico de los proveedores. Las herramientas de los puntos finales confían en las actualizaciones firmadas por editores conocidos. Los atacantes se aprovechan de estas suposiciones de confianza para moverse por los entornos sin ser detectados.

Las cifras confirman la gravedad de la situación. El informe DBIR 2025 de Verizon reveló que la participación de terceros en las filtraciones de datos se duplicó, pasando del 15 % al 30 % en un solo año. Un estudio sectorial de Kaspersky indica que el 31 % de las empresas sufrió una amenaza en la cadena de suministro en los últimos 12 meses. Y el OWASP Top 10 2025 elevó Supply Chain de software al tercer puesto, lo que refleja la creciente preocupación de la comunidad de seguridad.

A diferencia de un ciberataque tradicional, que se dirige directamente contra la superficie de ataque de una sola organización, un ataque a la cadena de suministro utiliza la propia confianza como arma. Un solo proveedor comprometido puede distribuir cargas maliciosas a miles de organizaciones al mismo tiempo.

Ataques a la cadena de suministro frente al riesgo asociado a terceros

Un ataque a la cadena de suministro es una intrusión activa: un atacante se infiltra en los sistemas o el código de un proveedor para alcanzar objetivos posteriores. La gestión de riesgos de terceros es el programa de gobernanza continuo que evalúa, supervisa y mitiga los riesgos que plantean las relaciones con los proveedores. El ataque aprovecha esa brecha; el programa de gestión de riesgos tiene como objetivo cerrarla.

Las organizaciones que implementan programas de gestión de riesgos de terceros deben considerar los ataques a la cadena de suministro como el modelo de amenaza que justifica su inversión. Para obtener más información sobre cómo crear marcos de gobernanza de proveedores, consulte los recursos específicos sobre gestión de riesgos de terceros.

Cómo funcionan los ataques a la cadena de suministro

Los ataques a la cadena de suministro siguen un ciclo de vida predecible que se aprovecha de la confianza en cada etapa. Comprender esta cadena ayuda a los equipos de seguridad a identificar en qué puntos los controles de detección y prevención pueden frenarla.

El ciclo de vida de un ataque a la cadena de suministro:

1. Reconocimiento. Los atacantes identifican las organizaciones objetivo y analizan sus ecosistemas de proveedores, buscando proveedores de primer nivel con medidas de seguridad más débiles o con un alcance de alto valor hacia los usuarios finales.
2. Compromiso del proveedor. El atacante logra acceder al proveedor de nivel superior mediante técnicas de phishing, el aprovechamiento de vulnerabilidades, la ingeniería social dirigida a los administradores o el compromiso de la infraestructura de compilación.
3. Inyección de carga útil. Se inserta código malicioso en versiones, actualizaciones, paquetes o mecanismos de prestación de servicios de software legítimo.
4. Distribución fiable. La actualización o el paquete comprometido circula por los canales habituales —firmado, legítimo e incluido en la lista de permitidos— y llega automáticamente a las organizaciones posteriores.
5. Movimiento lateral. Una vez dentro del entorno de la víctima, el atacante se desplaza lateralmente, amplía sus privilegios y establece la persistencia.
6. Fuga de datos o impacto. El atacante logra su objetivo: robo de datos, espionaje, implementación de ransomware o acción destructiva.

‍

Las defensas tradicionales fallan en la cuarta fase. Las herramientas basadas en firmas no pueden detectar una actualización firmada legítimamente por un proveedor de confianza. Las defensas perimetrales permiten el tráfico de los proveedores de forma predeterminada. El EDR confía en los procesos generados por software autorizado. Por eso los ataques a la cadena de suministro se corresponden directamente con MITRE ATT&CK técnica T1195 (Supply Chain ), con subtécnicas relacionadas con el software (T1195.002), hardware (T1195.003), y el compromiso de las dependencias (T1195.001).

El ciclo de vida del ataque también se corresponde con la cadena de ataque cibernético en general, pero con una diferencia fundamental. La fase de acceso inicial es invisible para la organización víctima, ya que la intrusión se produce en una fase anterior. El atacante entra por una puerta que ya estaba abierta y en la que se confiaba.

El lapso de 267 días sin detección

Según un estudio realizado en 2025 por el Ponemon Institute, las brechas en la cadena de suministro tardan una media de 267 días en detectarse y contenerse. Este tiempo de permanencia supera con creces la media de otros tipos de brechas.

Esta vulnerabilidad se debe a que las herramientas de seguridad tradicionales confían en el vector de acceso inicial. Cuando una actualización comprometida llega a través de un canal legítimo, no se activa ninguna alerta en el punto de entrada. El atacante actúa dentro del entorno utilizando vías de acceso de confianza y establece el comando y control (C2) a través de canales que se camuflan entre el tráfico normal del proveedor.

Para salvar esta brecha, es necesario pasar de un modelo de confianza basado en el perímetro a una supervisión continua del comportamiento. En lugar de confiar en el tráfico basándose únicamente en su origen, las organizaciones necesitan herramientas que establezcan una referencia de los patrones normales de comunicación de los proveedores y señalen las desviaciones: volúmenes de datos inusuales, movimientos laterales anómalos desde los puntos de conexión de los proveedores, escaladas de privilegios inesperadas o respuestas C2 camufladas dentro de protocolos legítimos.

Tipos de ataques a la cadena de suministro

Los ataques a la cadena de suministro abarcan múltiples vectores, cada uno de los cuales aprovecha diferentes puntos de la cadena de confianza. Según el análisis de Cyble de 2025, los grupos de amenazas reivindicaron 297 ataques a la cadena de suministro en 2025, lo que supone un aumento del 93 % respecto al año anterior. Los investigadores de seguridad identificaron más de 512 847 paquetes maliciosos en los registros de código abierto solo durante el último año (Sonatype/ReversingLabs, 2025).

Tabla: Tipos de ataques a la cadena de suministro por vector, con incidentes representativos y medidas de defensa recomendadas.

Los ataques a la cadena de suministro de software siguen siendo el vector más habitual. Los atacantes comprometen los procesos de compilación para inyectar código de puerta trasera en actualizaciones de software legítimas que se distribuyen a miles de organizaciones.

Los ataques a través de dependencias de código abierto son el vector de ataque que más rápido crece en 2026. Los atacantes publican paquetes maliciosos en registros como npm y PyPI, o utilizan técnicas de ingeniería social para hacerse pasar por administradores de proyectos críticos de código abierto. La magnitud es abrumadora: más de medio millón de paquetes maliciosos en un solo año.

El «island hopping» consiste en una estrategia en la que los atacantes se aprovechan de un proveedor más pequeño y menos seguro como trampolín para alcanzar un objetivo de mayor envergadura. Este método puede parecerse a las amenazas internas, ya que el atacante actúa utilizando credenciales y vías de acceso legítimas del proveedor.

Ejemplos reales de ataques a la cadena de suministro

Los incidentes reales ponen de manifiesto cómo los ataques a la cadena de suministro han ganado en sofisticación entre 2020 y 2026. Cada uno de los casos prácticos que se presentan a continuación destaca un vector diferente y ofrece lecciones concretas sobre detección.

Tabla: Principales ataques a la cadena de suministro entre 2020 y 2026, que muestran una sofisticación y un impacto cada vez mayores.

El ataque «SolarWinds Sunburst» (2020) sigue siendo el caso más emblemático de ataque a la cadena de suministro. Los atacantes comprometieron el proceso de compilación de Orion, de SolarWinds, e insertaron una puerta trasera en las actualizaciones de software que instalaron aproximadamente 18 000 organizaciones. Los atacantes actuaron sin ser detectados durante unos 14 meses, lo que constituye un ejemplo paradigmático de cómo los canales de actualización de confianza logran eludir todas las defensas tradicionales.

MOVEit Transfer (2023) puso de manifiesto cómo una zero-day en una herramienta de transferencia de archivos muy utilizada podía provocar un ataque masivo a la cadena de suministro. El grupo de ransomware Cl0p aprovechó esta vulnerabilidad para sustraer datos de más de 2.700 organizaciones, lo que afectó a más de 93 millones de personas.

3CX (2023) fue víctima del primer ataque confirmado de doble cadena de suministro. Los atacantes comprometieron primero a Trading Technologies y, a continuación, utilizaron ese acceso para comprometer a 3CX: un ataque a la cadena de suministro dirigido contra un proveedor de la cadena de suministro. Este incidente demostró que evaluar únicamente a los proveedores de primer nivel deja a las organizaciones expuestas a riesgos en las fases iniciales de la cadena. El ataque se atribuyó a actores de amenazas persistentes avanzadas de Corea del Norte.

XZ Utils (2024) puso de manifiesto la fragilidad de la confianza en el código abierto. Un atacante tardó dos años en conseguir, mediante ingeniería social, el puesto de mantenedor de una biblioteca de compresión de Linux de importancia crítica, tras lo cual insertó una puerta trasera con una puntuación CVSS de 10,0. Un desarrollador descubrió el ataque por casualidad mientras investigaba una anomalía en el rendimiento. El incidente estuvo a punto de comprometer la mayoría de los sistemas Linux de todo el mundo.

Marks & Spencer (2025) demostró que los ataques a la cadena de suministro van más allá del software. Los atacantes utilizaron técnicas de ingeniería social para engañar a un contratista externo y obtener acceso, lo que provocó un impacto estimado de 300 millones de libras esterlinas en el beneficio operativo y la interrupción de las operaciones logísticas físicas.

GlassWorm (2026) se centra directamente en las herramientas para desarrolladores. La campaña distribuyó 72 extensiones maliciosas de Open VSX para Visual Studio Code, con 151 repositorios de GitHub que contenían cargas útiles Unicode diseñadas para comprometer los entornos de desarrollo.

El caso UNC6426 (2026) ilustra la rapidez de los ataques modernos a la cadena de suministro. El grupo de ciberdelincuentes comprometió paquetes de npm para obtener acceso completo de administrador a AWS en tan solo 72 horas, lo que demuestra cómo el compromiso de las dependencias de código abierto se traduce directamente en la toma de control cloud .

Lecciones extraídas de los incidentes en la cadena de suministro

Los patrones que se observan en estos incidentes revelan unas prioridades claras para los defensores:

1. La integridad del proceso de compilación es imprescindible. Tanto SolarWinds como 3CX se vieron afectados por sistemas de compilación comprometidos que distribuían código aparentemente fiable, pero malicioso.
2. La confianza en el código abierto requiere verificación. XZ Utils, GlassWorm y UNC6426 se aprovecharon de la confianza implícita depositada en el código mantenido por la comunidad.
3. El riesgo de terceros es una realidad. El ataque a la cadena de suministro de 3CX demostró que no basta con evaluar únicamente a los proveedores directos.
4. La supervisión del comportamiento detecta lo que las firmas no detectan. En todos los casos, la actividad maliciosa se transmitió a través de canales de confianza, firmados o legítimos; solo la detección de anomalías de comportamiento puede identificar la actividad posterior al compromiso.
5. La velocidad va en aumento. Desde los 14 meses que tardó SolarWinds en detectar la intrusión hasta las 72 horas que tardó UNC6426 en hacerse con el control de AWS, el margen para la detección se está reduciendo.

Las consecuencias económicas son graves. El Ponemon Institute señala que, en 2025, las brechas de seguridad en la cadena de suministro costarán una media de 4,91 millones de dólares por incidente. En el sector sanitario, el 92 % de las organizaciones estadounidenses sufrió ciberataques, y el 77 % informó de interrupciones en la atención al paciente, a menudo debido a la vulnerabilidad de los proveedores. Según el DBIR 2025 de Verizon, las brechas motivadas por el espionaje en el sector manufacturero aumentaron del 3 % al 20 %.

Detección y prevención de ataques a la cadena de suministro

La mayoría de las recomendaciones de la competencia se centran exclusivamente en la prevención. Sin embargo, la prevención por sí sola no basta cuando los atacantes acceden a través de canales de confianza. Una defensa eficaz de la cadena de suministro requiere capacidades de detección que identifiquen el comportamiento posterior a la intrusión, incluso cuando el acceso inicial fuera legítimo.

Estrategias de detección

Las herramientas tradicionales confían de forma predeterminada en las conexiones de los proveedores. La detección y respuesta de red (NDR) adopta el enfoque contrario: parte de la base de que el sistema ha sido comprometido y supervisa las anomalías de comportamiento independientemente del origen del tráfico.

‍

‍

La detección de la cadena de suministro basada en NDR funciona de la siguiente manera:

• Definición de los patrones de comunicación de los proveedores. Determinación de cómo es el tráfico normal para cada conexión de proveedor: volumen, frecuencia, destinos y protocolos.
• Detección de movimientos laterales anómalos. Alerta cuando un punto de conexión de un proveedor comienza a comunicarse con sistemas internos a los que nunca antes había accedido.
• Identificación de llamadas de retorno C2. Detección del tráfico de comando y control oculto en los canales de comunicación legítimos de los proveedores.
• Detección de fugas de datos inusuales. Notificación de volúmenes o patrones de datos anormales que salen a través de conexiones de confianza.
• Supervisión para el robo de credenciales. Detectar cuándo se utiliza el acceso comprometido de un proveedor para obtener credenciales con el fin de lograr una persistencia más profunda.

La supervisión continua sustituye a la falsa confianza que generan las evaluaciones puntuales de los proveedores. Las investigaciones revelan que solo el 42 % de las organizaciones tiene visibilidad más allá de los proveedores de primer nivel, y que, de media, las organizaciones solo evalúan al 40 % de los proveedores (Centraleyes, 2025). El análisis del comportamiento subsana esta falta de visibilidad al supervisar los patrones de tráfico reales, en lugar de basarse en cuestionarios.

Estrategias de prevención

Las directrices de defensa de la CISA proporcionan el marco básico. Los ocho pasos siguientes conforman una lista de verificación práctica para la prevención:

1. Implementar zero trust para el acceso de proveedores. No confíe nunca en las conexiones de los proveedores de forma predeterminada; verifíquelas continuamente.
2. Solicitar y validar la lista de componentes de software (SBOM) de los proveedores. Las SBOM en formatos SPDX o CycloneDX permiten una respuesta rápida ante vulnerabilidades cuando surgen nuevas amenazas.
3. Implemente la firma de código y la verificación de la procedencia. Compruebe la integridad de cada componente de software antes de su implementación.
4. Llevar a cabo un seguimiento continuo de la seguridad de los proveedores. Sustituir las evaluaciones anuales por un seguimiento continuo del comportamiento y los riesgos.
5. Aplique el principio del mínimo privilegio a todas las conexiones de proveedores. Limite el acceso de los proveedores únicamente a los sistemas y datos necesarios para la prestación de sus servicios.
6. Realiza análisis periódicos de la composición del software. Comprueba las dependencias con bases de datos de vulnerabilidades conocidas y listas de paquetes maliciosos.
7. Establezca acuerdos de nivel de servicio (SLA) de seguridad con los proveedores que incluyan derechos de auditoría. Exija por contrato el cumplimiento de las normas de seguridad y el derecho a verificar dicho cumplimiento.
8. Prueba respuesta a incidentes para situaciones relacionadas con la cadena de suministro. Los ejercicios de simulación deberían incluir el compromiso de la cadena de suministro como un escenario específico.

La lista de materiales de seguridad (SBOM) como medida de protección de la cadena de suministro

Una lista de materiales de software (SBOM) es un inventario legible por máquina que recoge todos los componentes, bibliotecas y dependencias de una aplicación. Cuando se da a conocer una nueva vulnerabilidad —como la puerta trasera de XZ Utils—, las organizaciones que cuentan con una SBOM pueden identificar de inmediato qué sistemas se ven afectados. Entre los formatos estándar se incluyen SPDX y CycloneDX. Para obtener una guía completa sobre la implementación de programas de SBOM, consulte los recursos específicos sobre SBOM.

Respuesta ante incidentes relacionados con la vulnerabilidad de la cadena de suministro

Cuando se sospecha de un ataque a la cadena de suministro, es necesario adaptar el protocolo estándar de respuesta ante incidentes. Las vulnerabilidades en la cadena de suministro plantean retos específicos, ya que el código malicioso llega a través de canales de confianza y puede estar presente en varios sistemas al mismo tiempo.

Lista de verificación de relaciones con los inversores para la cadena de suministro:

1. Aísle las conexiones de los proveedores. Restrinja inmediatamente el acceso a la red del proveedor que se sospeche que ha sido objeto de un ataque.
2. Evalúa el alcance del incidente. Determina qué sistemas recibieron la actualización o el paquete comprometido y a cuáles se accedió utilizando las credenciales del proveedor.
3. Comprueba si hay movimientos laterales. Busca movimientos laterales anómalos que se originen en sistemas conectados al proveedor.
4. Revoca y renueva las credenciales. Asume que todas las credenciales a las que tiene acceso la conexión del proveedor afectada están comprometidas.
5. Informe a sus socios de la cadena de suministro. Si su organización actúa como proveedor de otras empresas, avise a sus clientes del posible riesgo.
6. Conserve las pruebas. Recopile registros de tráfico de red, datos de los dispositivos finales y el estado del sistema antes de que las medidas correctivas destruyan las pruebas forenses.
7. Póngase en contacto con sus contactos de la cadena de suministro. Coordine con el proveedor afectado y los ISAC pertinentes para compartir información sobre amenazas.

Ataques a la cadena de suministro y cumplimiento normativo

En la actualidad, múltiples marcos normativos exigen controles específicos de seguridad en la cadena de suministro. Los equipos de seguridad y cumplimiento normativo necesitan una correspondencia clara entre los requisitos normativos y los controles prácticos.

Tabla: Requisitos del marco normativo para la seguridad de la cadena de suministro con correspondencias de control.

La norma NIST SP 800-161 Rev. 1 ofrece el marco más completo gracias a su modelo de gobernanza de tres niveles. A nivel empresarial, las organizaciones establecen políticas de riesgo de la cadena de suministro. A nivel de misión o de negocio, los equipos evalúan la importancia de los proveedores y establecen prioridades en los controles. A nivel operativo, los equipos de seguridad implementan controles técnicos: supervisión, gestión de accesos y respuesta ante incidentes.

La NIS2 reviste especial importancia para las organizaciones de la UE. El artículo 21, apartado 2, letra d), establece que la seguridad de la cadena de suministro es un requisito obligatorio para las entidades esenciales e importantes, con mecanismos de aplicación que incluyen multas considerables. La DORA amplía requisitos similares al sector financiero de la UE, exigiendo la gestión de los riesgos de terceros en materia de TIC y la evaluación del riesgo de concentración.

Tendencias futuras y consideraciones emergentes

El panorama de los ataques a la cadena de suministro está evolucionando más rápido de lo que las defensas pueden adaptarse, y varias tendencias marcarán los próximos 12 a 24 meses.

Las herramientas de desarrollo son la nueva primera línea de frente. Las campañas GlassWorm y UNC6426 marcan un cambio fundamental. Los atacantes están apuntando a las herramientas que los desarrolladores utilizan a diario: extensiones de IDE, gestores de paquetes y procesos de CI/CD. Los investigadores de seguridad de Dark Reading han analizado la aparición de gusanos de cadena de suministro que se propagan por sí mismos y que pueden desplazarse automáticamente a través de ecosistemas de paquetes interconectados sin intervención humana.

La IA potencia tanto el ataque como la defensa. Los asistentes de programación basados en IA introducen una nueva superficie de ataque: si una herramienta de IA sugiere un paquete comprometido, los desarrolladores pueden confiar en ella ciegamente. En cuanto a la defensa, el análisis de comportamiento impulsado por IA puede procesar un volumen de tráfico de proveedores que sería imposible de supervisar manualmente por parte de analistas humanos.

La presión normativa se está intensificando. La aplicación de la Directiva NIS2 se está extendiendo de forma activa por todos los Estados miembros de la UE. El hecho de que OWASP haya situado las fallas en la cadena de suministro en el tercer puesto impulsa la inversión de las organizaciones. El marco OSC&R —una referencia similar a ATT&CK específica para las tácticas, técnicas y procedimientos de ataque a la cadena de suministro de software— ofrece un nuevo estándar para clasificar estas amenazas y defenderse de ellas.

Las previsiones de costes ponen de relieve la urgencia. Se prevé que los costes derivados de los ataques a la cadena de suministro global alcancen los 138 000 millones de dólares en 2031, frente a los 60 000 millones de dólares de 2025 (Cybersecurity Ventures). Las organizaciones que inviertan ahora en programas de supervisión continua, detección de comportamientos y SBOM estarán en una posición mucho más ventajosa a medida que estas amenazas vayan aumentando.

Las organizaciones deben dar prioridad a tres inversiones: la supervisión continua del comportamiento de todas las conexiones con proveedores, los programas de SBOM que permitan una respuesta rápida ante vulnerabilidades y los planes de respuesta ante incidentes que aborden explícitamente los casos de compromiso de la cadena de suministro.

Enfoques modernos para la protección de la cadena de suministro

El sector de la ciberseguridad está pasando de modelos basados en la confianza por defecto a modelos que parten de la premisa de que la cadena de suministro está comprometida. Este cambio reconoce que la prevención por sí sola no basta para detener los ataques a la cadena de suministro cuando el acceso inicial se produce a través de canales legítimos y de confianza.

La detección de amenazas basada en la inteligencia artificial es fundamental en esta evolución. En lugar de basarse en firmas o indicadores conocidos, los modelos de análisis de comportamiento aprenden cuáles son los patrones normales de tráfico de los proveedores y señalan las desviaciones en tiempo real. Este enfoque detecta los comportamientos posteriores a la intrusión —movimientos laterales anómalos, conexiones C2 inesperadas, accesos inusuales a los datos— que las herramientas basadas en firmas pasan por alto por completo.

El sector también está apostando por la supervisión continua en lugar de las evaluaciones periódicas. Los cuestionarios puntuales a los proveedores no permiten detectar una filtración que haya ocurrido ayer. La detección continua de amenazas cubre el vacío entre evaluaciones.

Cómo Vectra AI la protección de la cadena de suministro

La metodología Vectra AI se basa en el principio de «asumir la compromisión», es decir, el reconocimiento de que los atacantes sofisticados siempre encontrarán una forma de entrar, y que lo fundamental es detectarlos rápidamente. Attack Signal Intelligence comportamientos posteriores a la intrusión, como movimientos laterales anómalos desde conexiones de proveedores de confianza, llamadas de retorno C2 a través de canales legítimos y patrones de acceso a datos inusuales que indican una intrusión en la cadena de suministro. Este enfoque aborda directamente el retraso de 267 días en la detección al proporcionar una supervisión continua del comportamiento de todo el tráfico de red —incluido el tráfico de proveedores de confianza— en lugar de basarse en políticas de red de «confianza por defecto» que los atacantes de la cadena de suministro aprovechan.

Conclusión

Los ataques a la cadena de suministro se aprovechan de la confianza fundamental que hace posible el mundo empresarial moderno. Desde la campaña de SolarWinds, que pasó 14 meses sin ser detectada, hasta el camino de 72 horas recorrido por UNC6426 para obtener acceso de administrador a AWS, estos ataques son cada vez más sofisticados, rápidos y devastadores. El lapso medio de detección de 267 días y el coste medio de las brechas de seguridad, que asciende a 4,91 millones de dólares, dejan claro que los modelos de seguridad tradicionales basados en la confianza por defecto son insuficientes.

La defensa contra los ataques a la cadena de suministro requiere la combinación de tres capacidades: una supervisión continua del comportamiento que detecte actividades posteriores a la compromisión procedentes de conexiones de proveedores de confianza; controles de prevención basados en zero trust y en la validación de la lista de materiales de seguridad (SBOM); y programas de cumplimiento alineados con marcos como NIST 800-161, NIS2 y DORA. Las organizaciones que combinan estas capacidades cierran la brecha de detección de la que se valen los atacantes.

Descubra cómo la plataformaVectra AI utiliza Attack Signal Intelligence detectar comportamientos que ponen en riesgo la cadena de suministro en su red, sus cloud de identidad y cloud .