Inicio Ethical Hacking Ciberseguridad ISO 27001 Blog

A03:2025 – Software Supply Chain Failures

owasp

Software Supply Chain Failures son fallas o compromisos en el proceso de construir, distribuir o actualizar software, causados por cambios maliciosos o vulnerabilidades en dependencias, herramientas, repositorios, pipelines o proveedores que el sistema necesita para operar.

Origen del problema

  • No se controla ni inventaría bien la versión de componentes (directos y transitivos).

  • Dependencias obsoletas, sin soporte o sin parches se mantienen por inercia.

  • Falta de monitoreo continuo de boletines y vulnerabilidades de componentes usados.

  • Cambios en la cadena sin trazabilidad (repos, CI/CD, extensiones, registros, artefactos).

  • Uso de componentes o fuentes no confiables que terminan impactando producción.

Ejemplo de escenario de ataque

Paso 1 – Contexto del sistema
Un equipo actualiza una librería ampliamente usada desde un proveedor que se considera confiable.

Paso 2 – Acción general del atacante
El proveedor o un punto de distribución es comprometido y la actualización incluye un cambio malicioso.

Paso 3 – Resultado o impacto
Al desplegar la actualización, el sistema ejecuta código no confiable, exponiendo datos o comprometiendo el entorno.

 

Impacto real si no se gestiona

  • Compromiso masivo a gran escala (un cambio afecta a muchos sistemas).

  • Robo de información sensible desde ambientes productivos.

  • Introducción de backdoors difíciles de detectar.

  • Interrupción operativa y costos altos por respuesta e investigación.

  • Pérdida de confianza en el software y en el proceso de entrega.

Conclusión

Aquí el enemigo no siempre está “afuera”: a veces entra por la puerta principal, firmado como una actualización normal. Y cuando eso pasa, tu seguridad depende de lo que confíes… sin verificar.

¿Quieres dominar el nuevo OWASP Top 10 2025 de manera práctica?

Tengo disponible mi Taller: Practical OWASP Top 10:2025 (Actualizado), donde aprenderás desde cero a identificar, prevenir y probar con laboratorios prácticos los riesgos más críticos en aplicaciones web.

👉 Accede al taller aquí: Practical OWASP TOP 10 2025

Nos vemos en la siguiente entrada

Fernando Conislla

Categories

All Categories cyber cybersecurity forense hacking infosec iso27001 lcspc malware osint owasp phishing