Por Rogelio Saavedra, auditor de seguridad de LEET Security

El aprovechamiento de las vulnerabilidades de seguridad de los proveedores no es, por desgracia, una novedad dentro del panorama actual de la ciberseguridad. Más bien al contrario. Y tenemos ejemplos recientes que parecen haber puesto a las aerolíneas en el punto de mira de los ciberdelincuentes.

Es cierto que grandes corporaciones de todas los ámbitos del espectro empresarial han sido víctimas de ciberataques por medio de partners, proveedores y, en general, entidades pertenecientes a la cadena de suministros, ya sea a través de puntos débiles desconocidos hasta entonces (conocidos como ‘vulnerabilidades 0-day’) o bien acreditadas y registradas por los CERTs (Equipo de Respuesta para Emergencias Informáticas) más importantes, incluso cuando aquellas empresas tenían implementadas ya medidas de seguridad. 

Vulnerabilidades conocidas

Las vulnerabilidades que afectan a los sistemas de acceso seguro a través de internet, como es el caso de VPN (Virtual Private Network), son hoy bastante habituales. Y este ha sido el caso de Airbus, que a través de puntos débiles como los que hemos citado, los ciberdelincuentes encontraron una vía de entrada a sus sistemas.

En esta ocasión fueron proveedores de la propia compañía, como Rolls-Royce y Expleo, entre otros, los que tenían vulnerabilidades en el software de acceso remoto seguro (VPN), -que eran ya conocidas pero que no habían sido actualizadas-, lo que facilitó a los ciberdelicuentes el acceso al fabricante de aeronaves con el objetivo de conseguir información restringida sobre tecnología de última generación para propulsores de determinados modelos, tanto comerciales como militares, tal como nos indican fuentes consultadas.

Hace poco, a finales de septiembre, algunos medios publicaron que Vueling sufrió un ciberataque basado en una vulnerabilidad de un software de terceros. Un caso diferente al de Airbus. Según la propia compañía, fue el software de Arold Solutions el que sufrió la vulnerabilidad, aplicación que no se encuentra integrada en su página web. Especifican que han colaborado con el proveedor de este software en la detección y corrección de la falla y consideran no haber sufrido ningún robo de información.

Pero, según algunos medios de comunicación, la vulnerabilidad fue descubierta por el experto en ciberseguridad y bug hunter -cazador de fallos de software– Touseef Gul. Se trata de una vulnerabilidad muy conocida e incluida en la mayoría de frameworks de ayuda a la seguridad en el desarrollo, denominada SQL Injection. Esta fisura estriba en la desactualización de los scripts que permiten interactuar, vía código SQL, con el programa, enviándole información y comandos a la base de datos, por un error en la validación de entrada de estos datos.

Este error puede acarrear desde una extracción de información de la base de datos no permitida, hasta el envío de comandos a la base de datos que ponga en peligro su integridad y la de la información que contiene. Aunque no se especifica – ni hay noticias al respecto -, se indica que otras seis compañías que usaban el aplicativo de Arold han podido verse afectadas. 

¿Cómo fortalecer los sistemas de seguridad de las aerolíneas?

Una de las primeras medidas a tomar es fortalecer los niveles de ciberseguridad de la cadena de valor y revisar el cumplimiento de una serie de controles específicos para vigilar el uso de las tecnologías más críticas, así como el nivel de control de las organizaciones sobre ellas. 

Para ello, es fundamental realizar una evaluación que determine si nuestros proveedores cuentan con una política de actualización de los dispositivos de seguridad más críticos (principalmente, y como se ha visto en el caso de Airbus, de los que permiten un acceso seguro a sus infraestructuras). Y revisar que la seguridad es una parte crítica en el diseño de aplicaciones, para evitar que vulnerabilidades conocidas, como las ya indicadas, puedan colarse en nuestra aplicación.

No podemos olvidar que contar con la colaboración de la cadena de suministro es imprescindible. Por ello, muy acertadamente Vueling ha anunciado que va a trabajar con su proveedor en la resolución del problema.

Porque el nivel de seguridad que tengamos en nuestros sistemas, sobre todo aquellos que conectan con los clientes y/o proveedores, va a depender, directamente, de lo robustas que sean las medidas que se implementen para protegerlos. Una máxima de la que dependerá el éxito o no de un acceso no autorizado o un ataque.