La Nueva Amenaza Invisible: Los Ataques a la Cadena de Suministro de Software Más que Se Duplican en 2025
Los incidentes de la cadena de suministro de software más que se duplicaron a nivel global en 2025, exponiendo brechas críticas en la preparación empresarial. El ataque a tj-actions en marzo de 2025 comprometió pipelines CI/CD en miles de repositorios. El caso de XZ Utils de 2024, donde un atacante pasó dos años construyendo confianza antes de insertar un backdoor, definió el estándar de la amenaza moderna.
El ataque que definió el estándar de la amenaza moderna de la cadena de suministro de software no fue rápido. Fue paciente. Durante más de dos años, un actor desconocido contribuyó regularmente a XZ Utils, una herramienta de compresión de Linux presente en prácticamente todas las distribuciones del sistema operativo. Ganó la confianza de la comunidad, obtuvo acceso de mantenedor y, en marzo de 2024, insertó un backdoor cuidadosamente diseñado en las versiones oficiales del proyecto. El descubrimiento fue accidental: un ingeniero de Microsoft notó un comportamiento anómalo de rendimiento antes de que el código malicioso llegara a las distribuciones de producción.
XZ Utils no fue el pico. Fue el precedente.
Los Incidentes de 2025
En marzo de 2025, el compromiso de tj-actions, una herramienta ampliamente utilizada en pipelines de integración continua en GitHub, demostró que el riesgo de CI/CD no es teórico. Secretos fueron expuestos a través de un volcado de memoria en tiempo de ejecución en miles de repositorios que utilizaban la herramienta.
En agosto de 2025, versiones maliciosas del paquete Nx incluyeron scripts de post-instalación que barrían sistemas afectados en busca de tokens, claves SSH y secretos de API, exfiltrando los datos a repositorios controlados por los atacantes. En septiembre, la campaña TinyColor inyectó scripts maliciosos en el popular paquete de colores y decenas de paquetes relacionados, transformándolos en un gusano autorreplicante que recogía credenciales durante la instalación.
Los incidentes de la cadena de suministro de software más que se duplicaron a nivel global en 2025, según investigadores de seguridad que monitorean repositorios públicos y privados.
La Diferencia Estructural en Relación al Ataque Convencional
En un ataque convencional, el adversario intenta invadir el perímetro de la organización. En el ataque a la cadena de suministro, el adversario compromete algo en lo que la organización ya confía. La diferencia es fundamental: los controles de detección y respuesta que protegen el perímetro son ineficaces contra el código malicioso que entra como una actualización legítima de una dependencia.
SolarWinds demostró esto en 2020 con 18,000 organizaciones instalando actualizaciones comprometidas. El costo promedio por organización afectada fue de $12 millones, con el incidente permaneciendo no detectado durante aproximadamente nueve meses.
Lo Que Están Haciendo las Organizaciones Maduras
La respuesta al riesgo de la cadena de suministro implica capas de control que van más allá del antivirus y el firewall. Software Bill of Materials (SBOM): inventario de cada componente de software y su procedencia, exigido por mandato ejecutivo estadounidense para proveedores del gobierno federal desde 2021 y adoptado progresivamente por grandes corporaciones. Verificación de integridad de paquetes: chequeo criptográfico de hashes antes de la instalación de dependencias en entornos de producción. Fijación de versiones: evitar dependencias que se actualizan automáticamente a la versión más reciente, priorizando versiones específicas auditadas. Monitoreo de comportamiento de pipeline: detección de exfiltración de datos o acceso a credenciales por procesos de construcción que no deberían tener ese acceso.
El riesgo de la cadena de suministro no es eliminable. Es gestionable con el nivel de atención que antes se reservaba solo para el perímetro externo.