Las amenazas en la cadena de suministro de hardware pueden afectar tu infraestructura de puntos finales.
Las organizaciones deben abordar las amenazas a la seguridad relacionadas con el hardware y el firmware.
La infraestructura tecnológica global se ha vuelto cada vez más interconectada e interdependiente. Esto ha llevado a que la resiliencia operativa se convierta en una prioridad para los responsables de seguridad en las organizaciones. Aunque las empresas han avanzado en la gestión de amenazas de software, muchas enfrentan dificultades debido a la falta de visibilidad y herramientas insuficientes para defenderse contra amenazas menores que atacan hardware y firmware, lo que representa un obstáculo para lograr una resiliencia efectiva.
Los ataques a la cadena de suministro pueden manifestarse de diversas maneras, desde grupos de ransomware que comprometen la infraestructura de los proveedores hasta la manipulación de hardware y firmware. La gravedad de estos ataques radica en que socavan las bases de hardware y firmware de los dispositivos, lo que a menudo resulta difícil de detectar y reparar. Esto implica que ni el software ni los datos pueden considerarse completamente seguros.
Las autoridades regulatorias han comenzado a tomar medidas para fortalecer la seguridad en la cadena de suministro. En el Reino Unido, se han implementado nuevas regulaciones de ciberseguridad para el Internet de las Cosas (IoT) y se está preparando un Proyecto de Ley de Ciberseguridad y Resiliencia que ampliará la regulación para proteger más servicios digitales y cadenas de suministro. En Estados Unidos, la Orden Ejecutiva 14028 ha acelerado el desarrollo de requisitos de seguridad de la cadena de suministro de software para las adquisiciones gubernamentales, incluyendo explícitamente el firmware. La Unión Europea también está introduciendo nuevos requisitos de ciberseguridad a lo largo de toda la cadena de suministro, comenzando con softwares y servicios mediante la directiva de Redes y Sistemas de Información (NIS2), y abarcando los dispositivos con la Ley de Resiliencia Cibernética para garantizar que el hardware y software sean más seguros.
Un estudio realizado por HP Wolf Security reveló que el 30% de las organizaciones en el Reino Unido asegura haber sido afectada por actores patrocinados por el estado que intentaron insertar hardware o firmware maliciosos en PCs o impresoras, lo que destaca la necesidad de abordar los riesgos de seguridad de los dispositivos físicos.
Las consecuencias de no proteger la integridad del hardware y firmware de los dispositivos finales son graves. Un compromiso exitoso en estas capas puede otorgar a los atacantes una visibilidad y control sin precedentes sobre un dispositivo. Durante años, el hardware y firmware han sido un objetivo para actores de amenazas bien capacitados, como estados-nación, proporcionando un punto de apoyo furtivo por debajo del sistema operativo. Sin embargo, a medida que disminuyen el costo y la complejidad de los ataques a hardware y firmware, esta capacidad se está extendiendo a otros actores maliciosos.
Dado el carácter sigiloso y la complejidad de las amenazas de firmware, los ejemplos en el mundo real son menos frecuentes que aquellos relacionados con malware dirigido al sistema operativo. Entre los casos destacados, se encuentra LoJax, que en 2018 atacó el firmware UEFI de PCs para sobrevivir a reinstalaciones del sistema operativo y sustituciones de disco duro en dispositivos sin protección. Más recientemente, el bootkit BlackLotus fue diseñado para eludir los mecanismos de seguridad de arranque y dar a los atacantes control total sobre el proceso de arranque del sistema operativo. Otros malware UEFI, como CosmicStrand, pueden lanzar ataques antes de que el sistema operativo y las defensas de seguridad se activen, facilitando la persistencia y el control de mando sobre el ordenador infectado.
Las empresas también se preocupan por los intentos de manipulación de dispositivos en tránsito, con muchas de ellas expresando no tener visibilidad ni equipamiento para detectar y detener tales amenazas. El 75% de las organizaciones en el Reino Unido afirma que necesita un método para verificar la integridad del hardware con el fin de mitigar el riesgo de manipulación de dispositivos.
Para mejorar la seguridad del hardware y firmware de los dispositivos finales, es necesario seguir ciertos pasos. Las organizaciones deben gestionar de manera segura la configuración del firmware a lo largo del ciclo de vida del dispositivo, utilizando certificados digitales y criptografía de clave pública. Esto permite la gestión remota del firmware y elimina la autenticación débil basada en contraseñas. Además, se debe aprovechar los servicios de fábrica de los proveedores para habilitar configuraciones robustas de seguridad desde el momento de la fabricación. Implementar tecnología de certificado de plataforma también ayuda a verificar la integridad del hardware y firmware tras la entrega de los dispositivos. Por último, es importante monitorizar continuamente el cumplimiento de la configuración del hardware y firmware de los dispositivos, un proceso que debe mantenerse durante todo el tiempo que los dispositivos estén en uso.
En resumen, la seguridad de los endpoints depende de una sólida seguridad de la cadena de suministro, comenzando por asegurar que los dispositivos, ya sean PCs, impresoras o cualquier dispositivo IoT, se construyan y entreguen con los componentes adecuados. Por ello, las organizaciones deben enfocarse cada vez más en proteger las bases de hardware y firmware de sus endpoints, gestionando, monitoreando y corrigiendo la seguridad de hardware y firmware a lo largo de la vida útil de cualquier dispositivo en su flota.
