XIX Jornadas STIC CCN-CERT | VII Jornadas de Ciberdefensa ESPDEF-CERT | Congreso RootedCON  La amenaza silenciosa que compromete los sistemas de armas: la cadena de suministro, nuevo frente de la ciberseguridad

La creciente complejidad tecnológica de fragatas, cazas, blindados y sistemas críticos ha multiplicado el riesgo de que un ataque informático se infiltre a través de pequeños proveedores. La mitad de estas intrusiones proviene de actores estatales altamente cualificados: la vulnerabilidad se ha desplazado a toda una cadena global de subcontratistas. Esta es una de las amenazas que se analizaron en las XIX Jornadas STIC CCN-CERT | VII Jornadas de Ciberdefensa ESPDEF-CERT | Congreso RootedCON, organizadas por el Centro Nacional de Inteligencia (CNI) a través del Centro Criptológico Nacional (CCN). Enrique Cubeiro, capitán de navío de la Armada (R) es director de defensa de S2Grupo y abordó en detalle la cadena de suministros de los sistemas de armas frente a las ciberamenezas.

La ciberseguridad de la cadena de suministro se ha convertido en una de las mayores preocupaciones para la defensa contemporánea. Aunque el término se ha popularizado en los últimos años, su impacto real aún no se comprende del todo: los atacantes ya no necesitan vulnerar directamente a un gran fabricante, sino que pueden infiltrarse a través de pequeñas empresas proveedoras, muchas veces pymes con recursos limitados. Esta dinámica, que afecta a todos los sectores, adquiere una gravedad especial cuando se trata de sistemas de armas y plataformas militares.

Cubeiro describe este tipo de ataques como una secuencia de dos fases. Primero, los cibercriminales comprometen a un proveedor, casi siempre más vulnerable y con menor inversión en seguridad. Después, utilizan ese acceso para alcanzar su objetivo final: una gran corporación tecnológica, una institución crítica o una fuerza armada. El resultado es que la seguridad del proveedor —fuera del control del cliente principal— se convierte en un punto débil estructural.

Patrones repetidos

En una revisión de casos recientes, destacan patrones repetidos en este tipo de ciberataques: proliferación de campañas APT (amenaza persistente avanzada), uso de software como vector principal, intrusiones en servicios en la nube y un crecimiento exponencial de incidentes registrados. Un dato mencionado habitualmente en conferencias del sector resume la situación: el 91% de las empresas ha sufrido ataques a su cadena de suministro, mientras que se estima que buena parte del resto ni siquiera ha detectado la intrusión.

El caso de SolarWinds

El punto de inflexión llegó tras el ataque global a SolarWinds en 2020–2021. Los atacantes alteraron el código de las actualizaciones de un software de gestión de sistemas utilizado mundialmente. Miles de clientes —entre ellos grandes compañías tecnológicas y organismos públicos estadounidenses vinculados a seguridad y defensa— instalaron sin saberlo versiones comprometidas. Aquellas actualizaciones incluían una puerta trasera que proporcionaba a los intrusos acceso privilegiado a redes corporativas de altísimo nivel.

Ese incidente reveló el alcance real del problema: un solo proveedor comprometido puede abrir una brecha en cientos o miles de organizaciones. Desde entonces, gobiernos y sistemas de defensa han empezado a tratar esta amenaza con mayor rigor.

Un riesgo exponencial para las Fuerzas Armadas

Si este tipo de ataques ya es crítico para cualquier empresa, en el ámbito de los sistemas de armas se convierte en un riesgo estratégico. Las plataformas militares modernas son el resultado de cadenas de fabricación extremadamente extensas: una fragata puede tener más de 200 proveedores directos, cada uno de ellos con a su vez decenas de subcontratistas repartidos por el mundo.

Esta fragmentación genera tres consecuencias principales:

1. El fabricante es más un integrador que un productor. Los sistemas llegan desde múltiples orígenes y se ensamblan como piezas de un gran ecosistema tecnológico.

2. Todos los componentes contienen software. Incluso elementos tradicionalmente mecánicos ahora integran electrónica, sensores, telemetría o lógica de control.

3. La interconexión es total. Sistemas IT y OT conviven en las plataformas, aunque tienen requisitos de seguridad muy distintos y, en ocasiones, opuestos.

La seguridad se vuelve especialmente compleja porque garantizar la integridad de un sistema implica asegurar también la de cada empresa que participa en su fabricación. La obsolescencia añade más dificultades: mientras el software puede requerir actualizaciones cada pocos años, una plataforma militar debe mantenerse operativa durante 30 o 40.

A ello se suma la reducción de dotaciones en buques y unidades terrestres. Esa limitación de personal reduce la capacidad de supervisar anomalías y hace inviable desplegar especialistas en ciberseguridad en cada unidad.

Pero la amenaza principal es quién está detrás de estos ataques. Más del 50% de las intrusiones en cadenas de suministro se atribuyen —aunque sin identificación pública formal— a grupos APT vinculados a servicios de inteligencia y organismos militares de países como China, Rusia, Irán o Corea del Norte. Su motivación y sus recursos los sitúan entre los actores más cualificados del ciberespacio.

El caso hipotético que podría ser real

Para ilustrar los riesgos, el director de Defensa de S2Grupo recurrió a un ejemplo plausible: una pequeña empresa desarrolla un software que regula las revoluciones de una turbina utilizada en fragatas. Ese módulo se integra en un sistema de control que a su vez se conecta con el SICP (Sistema Integrado de Control de Plataforma) del buque. Si los atacantes introducen una alteración en el software mediante un ataque previo a la pyme desarrolladora, pueden manipular remotamente el funcionamiento de la turbina.

En una navegación por un canal estrecho, una subida súbita e incontrolada de revoluciones podría inutilizar los sistemas de seguridad, provocar un fallo crítico y poner en riesgo la estabilidad del buque. Los precedentes exigen tomarse estos escenarios en serio: si Stuxnet —un ataque industrial real— logró alterar centrifugadoras nucleares, manipular un sistema naval sería, en términos técnicos, menos complejo.

Las hipótesis con las que debe trabajar la defensa

Los responsables de diseño y construcción de sistemas de armas parten ya de varias premisas:

• La plataforma será objetivo de potencias adversarias desde la fase conceptual.

• El riesgo prioritario es el sabotaje a través del software o el hardware.

• La amenaza evolucionará en intensidad a lo largo del ciclo de vida del sistema.

• El ataque más probable llegará por la cadena de suministro.

• Parte del riesgo procede de amenazas internas o personal con acceso legítimo.

• Es necesario aplicar los estándares de seguridad más altos desde el principio.

Esta visión obliga a que cada nuevo programa militar incorpore la ciberseguridad como un requisito esencial, no como un añadido tardío.

Así se afronta el problema

Cubeiro considera que la solución no depende únicamente de los fabricantes. El primer actor que debe actuar es el cliente: las Fuerzas Armadas y las agencias de contratación deben exigir formalmente productos ciberseguros.

Esto implica incluir en los pliegos especificaciones que definan qué niveles de protección requiere cada sistema, qué acreditaciones deben poseer las empresas y qué controles deben aplicarse a subcontratistas. Si un gran contratista adopta medidas estrictas pero no las extiende a sus proveedores, el problema persiste.

La estrategia se articula en tres capas:

1. Ciberseguridad corporativa

Las empresas deben contar con certificaciones, políticas de seguridad de la información, controles internos, zonas seguras y personal habilitado.

2. Seguridad del proyecto

Toda la información relacionada con el diseño, desarrollo e integración debe intercambiarse en entornos seguros y auditados.

3. Seguridad de los procesos de producción

Se exige desarrollo seguro, medidas de seguridad desde el diseño, controles físicos en laboratorios y talleres, y pruebas de verificación y auditorías independientes.

El software recibe una atención especial, y aquí entra en juego una herramienta fundamental: el SBOM (Software Bill of Materials), una especie de lista de ingredientes que detalla cada componente de software integrado en un sistema. Esta información permite detectar si alguna librería, módulo o dependencia ha sido comprometida o presenta vulnerabilidades.

En un contexto en el que las plataformas militares dependen cada vez más del software y en el que los adversarios disponen de capacidades sofisticadas, la cadena de suministro se ha convertido en el eslabón más frágil. Fortalecerla exige una combinación de regulación, vigilancia, certificaciones y cultura de seguridad compartida entre cientos de actores. En esta nueva fase, la defensa ya no se libra solo en el campo de batalla: empieza mucho antes, en cada pequeña empresa que fabrica una pieza, un chip o una línea de código.