Barracuda full logo

Informe de Malware: Cuando la cadena de suministro se convierte en la superficie de ataque

Temas:
5 mar 2026
|
Tony Burgess

Cómo los ataques a la cadena de suministro de software están redefiniendo los límites de la seguridad empresarial

Conclusiones

  • Los ataques a la cadena de suministro de software permiten a los actores de amenazas comprometer a miles de organizaciones a la vez al atacar a proveedores, desarrolladores o dependencias de software de confianza.
  • En 2025, los atacantes se centraron cada vez más en las credenciales de los desarrolladores, los repositorios de código fuente y los mantenedores de código abierto.
  • Estos ataques a menudo eluden los controles de seguridad tradicionales porque el código malicioso llega a través de actualizaciones y herramientas legítimas.
  • Defenderse contra el riesgo de la cadena de suministro requiere visibilidad, resiliencia y detección más rápida, no solo seguridad perimetral.

Durante mucho tiempo, los defensores se centraron en reforzar el perímetro: parchear sus sistemas, capacitar a sus usuarios, asegurar sus endpoints. Pero a medida que las amenazas a la cadena de suministro se multiplican, los atacantes están evadiendo cada vez más las defensas perimetrales y entrando directamente a través de software, servicios y dependencias de confianza.

Eso es lo que hace que los ataques a la cadena de suministro de software sean tan efectivos. En lugar de comprometer una empresa a la vez, los actores de amenazas apuntan a un solo proveedor, cuenta de desarrollador o sistema de construcción y dejan que la confianza haga el resto del trabajo por ellos.

En este Informe sobre Malware, analizaremos tres recientes ciberataques de gran escala a la cadena de suministro que ilustran cuán frágiles se han vuelto los ecosistemas de software modernos.

Robo de código fuente de F5 BIG‑IP

En 2025, un grupo de amenazas vinculado a China conocido como UNC5221 violó el entorno de desarrollo de F5 Networks y robó el código fuente relacionado con su plataforma BIG‑IP ampliamente implementada .

A diferencia de los ataques de ransomware de tipo smash-and-grab, esta operación se centró en el valor estratégico a largo plazo. Al exfiltrar el código fuente, los atacantes obtuvieron una comprensión profunda de cómo funciona un producto empresarial crítico, y podrían utilizar ese conocimiento para descubrir vulnerabilidades no divulgadas o desarrollar futuros exploits.

Instantánea del ataque:

  • Vector de acceso inicial: Compromiso del entorno de desarrollo de F5 (método de intrusión exacto no divulgado públicamente)
  • Qué fue robado: código fuente de BIG‑IP, incluidos detalles sensibles de lógica y configuración
  • Tipo de ataque: Robo de código fuente que permite futuras explotaciones
  • Impacto potencial: Riesgo elevado a largo plazo para las organizaciones que operan sistemas BIG‑IP debido a la mayor visibilidad para los atacantes

Por qué es importante:
El robo de código fuente no siempre desencadena incidentes inmediatos, pero crea un desequilibrio duradero. Los atacantes adquieren conocimientos que los defensores no saben que han perdido, preparando el terreno para ataques más silenciosos y dirigidos en el futuro.

secuestro de mantenedor de npm: Envenenamiento del código abierto a gran escala

Los ecosistemas de código abierto fueron atacados en septiembre de 2025, cuando los atacantes secuestraron 18 paquetes npm populares al comprometer cuentas de mantenedores a través de campañas de phishing.

No eran bibliotecas oscuras. Los paquetes afectados se descargaban miles de millones de veces por semana, lo que significa que una sola cuenta de mantenedor comprometida tenía el potencial de afectar a organizaciones de diversos sectores casi instantáneamente.

Instantánea del ataque:

  • Vector de acceso inicial: Ataques de phishing dirigidos a mantenedores de paquetes npm
  • Qué se comprometió: Credenciales de mantenedor para 18 paquetes npm ampliamente utilizados
  • Tipo de malware: Código malicioso introducido en bibliotecas de código abierto de confianza
  • Alcance estimado: Paquetes descargados colectivamente miles de millones de veces semanalmente

Por qué es importante:
El código abierto acelera el desarrollo, pero también puede concentrar el riesgo. Cuando los atacantes comprometen una biblioteca de confianza, heredan la confianza de cada desarrollador y organización que depende de ella.

Ataque a la cadena de suministro de S1ngularity en GitHub: apuntando a la confianza de los desarrolladores

En noviembre de 2025, el ataque a la cadena de suministro S1ngularity sacudió a la comunidad de código abierto cuando los atacantes comprometieron múltiples repositorios de GitHub de alto perfil. Al explotar debilidades en los permisos de los repositorios y al dirigirse a los desarrolladores mediante ingeniería social, los atacantes inyectaron código malicioso en proyectos de uso generalizado. Esta brecha les permitió acceder no solo al código fuente, sino también a las canalizaciones de construcción, procesos de liberación y artefactos de implementación, amplificando el riesgo para los consumidores aguas abajo.

El incidente pone de relieve las vulnerabilidades inherentes a las cadenas de suministro de software, especialmente cuando se enfocan en cuentas de desarrolladores de confianza y herramientas de automatización. Las organizaciones que dependen de estos repositorios comprometidos enfrentaron una posible exposición a puertas traseras, robo de credenciales y manipulación de datos, lo que enfatiza la rapidez con la que un ataque a la cadena de suministro puede propagarse a través de industrias y geografías.

  • Vector de acceso inicial: Cuentas de desarrolladores comprometidas y permisos de repositorio manipulados
  • Qué se comprometió: Código fuente, artefactos de construcción y pipelines de lanzamiento para proyectos importantes de código abierto
  • Tipo de vulnerabilidad: Manipulación de la cadena de suministro a través de ingeniería social y controles débiles de repositorio
  • Alcance estimado: Miles de organizaciones y millones de usuarios que dependen de los proyectos afectados de GitHub

Por qué es importante: Este ataque demuestra la importancia crítica de asegurar las credenciales de los desarrolladores, aplicar permisos estrictos en los repositorios y monitorear los sistemas de compilación automatizados. La auditoría continua y la detección proactiva de amenazas son esenciales para prevenir ataques a la cadena de suministro que pueden socavar la confianza en los proyectos de código abierto y interrumpir las operaciones a escala global.

Asegurando lo que no controlas

Los ataques a la cadena de suministro son especialmente desafiantes porque apuntan a sistemas y relaciones fuera de su control directo. Pero puede reducir el riesgo para su organización al centrarse en:

  • Controles más estrictos sobre el acceso de los desarrolladores, incluyendo MFA y permisos de menor privilegio.
  • Mejor visibilidad de las dependencias de terceros, especialmente los componentes de código abierto
  • Detección más rápida de comportamiento anómalo, incluso en herramientas y actualizaciones de confianza
  • Ciberresiliencia, asumiendo que el software de confianza puede fallar y planificando una contención y recuperación rápidas

La detección y respuesta extendida puede ayudar. Servicios como Barracuda Managed XDR monitorizan continuamente la actividad de la red, del endpoint y de la identidad para identificar comportamientos anómalos y maliciosos, incluidas las amenazas que llegan a través de actualizaciones comprometidas, herramientas de desarrollo o software de terceros.

Los ataques a la cadena de suministro no van a desaparecer. Pero mejorar la detección, respuesta y recuperación puede hacerlos mucho menos disruptivos.

Obtenga más información sobre Barracuda Managed XDR
Tony Burgess

Tony Burgess es un veterano de veinte años en la industria de la seguridad informática y es el redactor senior de Barracuda para contenido y marketing al cliente. En este puesto, investiga temas técnicos complejos y traduce sus hallazgos en prosa clara, útil y legible por humanos.

Puedes conectar con Tony en LinkedIn aquí.

Publicaciones relacionadas:
Threat Spotlight: Tycoon 2FA didn’t die — it’s scattered everywhere
Threat Spotlight: Tycoon 2FA didn’t die — it’s scattered everywhere
 Informe de Google: Más vulnerabilidades de día cero que afectan a las empresas
Informe de Google: Más vulnerabilidades de día cero que afectan a las empresas
 El ataque a Notepad++ y los nuevos riesgos en la cadena de suministro
El ataque a Notepad++ y los nuevos riesgos en la cadena de suministro
 Sandworm: La brigada rusa que destruye infraestructuras a nivel global
Sandworm: La brigada rusa que destruye infraestructuras a nivel global
Busque en el blog

Informe sobre brechas de seguridad del correo electrónico 2025

Principales hallazgos sobre la experiencia y el impacto de las brechas de seguridad del correo electrónico en organizaciones de todo el mundo

Obtener el informe

Suscríbase al blog de Barracuda.

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Informe sobre perspectivas de clientes MSP 2025 

Una perspectiva global sobre lo que las organizaciones necesitan y desean de sus proveedores de servicios gestionados de ciberseguridad.

Obtener el informe

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Reciba en su bandeja de entrada todas las últimas noticias, estudios y análisis.