La cadena de suministro de software es un complejo ecosistema que conecta las fases de desarrollo, distribuci\u00f3n y despliegue del software.<\/p>\n
Debido a esta complejidad, se ha convertido en uno de los principales objetivos de los ciberataques. Como hemos visto en muchos casos, los actores maliciosos pueden aprovechar las vulnerabilidades en cualquier punto de la cadena<\/strong> para inyectar malware, robar datos confidenciales o interrumpir infraestructuras cr\u00edticas.<\/p>\n Por ejemplo, el a\u00f1o pasado el proveedor de voz sobre IP (VoIP) 3CX revel\u00f3 que una versi\u00f3n de su software 3CX Desktop se distribuy\u00f3 a miles de clientes con c\u00f3digos maliciosos. El infame ataque a SolarWinds es otro incidente en la cadena de suministro de software que dej\u00f3 vulnerables durante meses a varios gobiernos estadounidenses.<\/p>\n Microsoft, por su parte, est\u00e1 siendo atacada por piratas inform\u00e1ticos que violan el c\u00f3digo fuente de la empresa.<\/strong><\/p>\n En respuesta a esta creciente amenaza, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) present\u00f3 la semana pasada un nuevo formulario de certificaci\u00f3n para proveedores de software.<\/p>\n El formulario obliga a los fabricantes de software que colaboran con el Gobierno Federal de EE.UU. a confirmar su adhesi\u00f3n a pr\u00e1cticas de desarrollo seguras.<\/p>\n No se trata de un mero requisito, sino de un movimiento estrat\u00e9gico para abordar de forma preventiva las posibles vulnerabilidades en la fase de desarrollo de los productos inform\u00e1ticos.<\/p>\n Sin embargo, la iniciativa ha suscitado reacciones encontradas en el sector<\/strong>: algunos la consideran un paso adelante necesario, mientras que otros expresan su preocupaci\u00f3n por los posibles obst\u00e1culos.<\/p>\nPuntos clave<\/span><\/h2>\n
\n