De acuerdo a las predicciones de Gartner, en 2025 el 45 % de las organizaciones de todo el mundo habrán sufrido ataques en el software de su respectiva cadena de suministro, lo cual obligará a las compañías a incorporar la tecnología de Ciberseguridad SAST (Static Application Security Testing) en sus procesos del ciclo de vida de sus aplicaciones para garantizar la calidad y seguridad del software.
La tecnología SAST es aquella que detecta vulnerabilidades de código fuente y es capaz de integrarse de forma automatizada en el ciclo de vida de desarrollo de software dando total cumplimiento a la norma ISO12207, DevOps, alcanzando SecDevOps de forma totalmente natural y sin perjuicio alguno en los tiempos de desarrollo habituales.
“Este proceso es clave para las empresas puesto que les permite la Identificación de vulnerabilidades y puertas traseras en código personalizado y de terceros, escaneo completo al 100% sin carga del servidor, priorizando fallas por nivel de gravedad y probabilidad de explotación; y analizando el código desde la perspectiva del atacante, pero con mayor precisión”, señala Jorge Román Deacon, director de Tecnologías y Ciberseguridad de Soluciones Virtuales Perú ®.
El ejecutivo explica que los ataques a la cadena de suministro comprenden, por un lado, la estafa y suplantación de correo electrónico y, por otro, el software de terceros comercializado en SaaS (Software como Servicio) o en modo On-premises.
En los ataques donde el vector por excelencia es el correo electrónico, menciona, los ciberdelincuentes comprometen a revendedores y a los proveedores de servicios para poder atacar, posteriormente, a sus clientes y socios de negocios. La intrusión inicial del atacante se realiza a menudo mediante ataques dirigidos de phishing o malware.
“Una vez dentro del sistema del proveedor, los ciberdelincuentes pueden suplantar cuentas de emails para iniciar el ciberataque de phishing, suplantación de identidad, fraude de facturas u otras acciones contra los clientes. Cuando los atacantes han conseguido infiltrarse en los sistemas críticos de los clientes, pueden robar datos confidenciales, instalar ransomware o utilizar el acceso para desencadenar ataques redirigidos o a gran escala”, manifiesta.
Asimismo, comenta que las violaciones de seguridad a la cadena de suministro de software son un tanto más sofisticadas en su proceso de infiltración o de cómo se llevan a cabo. Además, la necesidad cada vez mayor de software o aplicaciones externas y gestionadas, ha creado un tipo adicional de riesgo para la cadena de suministro.
“Si un proveedor de servicios que ha sido comprometido proporciona software o soluciones Cloud, los ciberdelincuentes pueden alterar el código fuente e inyectar malware en el proceso de compilación o de actualización. A partir de ahí los programas o servicios infectados se distribuyen a clientes y socios de negocios, junto a una inevitable propagación que comprometería y vale decir que ha comprometido a muchas organizaciones de renombre internacional”.
En este sentido, advierte que las compañías deben confiar en que sus proveedores y editores de software tengan las protecciones adecuadas, pues si se suministra software comprometido a una organización, ésta puede ser susceptible de sufrir una amplia gama de ataques.
Cumplimiento normativo de Borrado Seguro Certificado
Frente a la necesidad de respetar la legislación vigente, y dado el aumento de los ciberataques y casos de robo de información sensible a organizaciones y usuarios, desde Soluciones Virtuales Perú® recomendaron también a las compañías implementar la tecnología de borrado seguro de datos certificado, como una manera de dar cumplimiento a la Ley de Protección de Datos Personales que, a su vez, comprende a la Superintendencia de Banca y Seguros (SBS-Perú), el cumplimiento PCI / RGPD / HIPAA/ SOX / ISO27001, entre otros.
“En el Perú sólo el 4% de las compañías, tanto públicas como privadas, tienen una política sólida de cumplimiento en lo que respecta al proceso de borrado seguro de datos certificado. Esta situación, representa una alarmante brecha de seguridad y un desafío muy grande para las autoridades que se encargan de velar y proteger los datos personales y confidenciales”, asevera.
Además, advierte que la eliminación convencional de datos, es decir, aquella que se realiza manualmente no es segura, dado que puede ser recuperada fácilmente con una multitud de software libre o propietario que se pueden encontrar en internet.
Finalmente, resaltó que el prestigioso estudio Morante & Abogados se ha convertido en el primer despacho legal del Perú en contar con esta tecnología de borrado seguro certificado.
