Ataque a Kaseya: Lecciones del mayor incidente de ransomware de 2021

El ataque de ransomware contra Kaseya en julio de 2021 afectó a más de 1.500 empresas en todo el mundo – mediante una única vulnerabilidad de software. El incidente evidencia lo vulnerables que son las cadenas de suministro globales y por qué la seguridad de la cadena de suministro debe convertirse en una prioridad estratégica para la dirección.

En resumen

• Ataque a la cadena de suministro: REvil explotó una vulnerabilidad zero-day en Kaseya VSA para infectar, a través de proveedores de servicios gestionados (MSP), a más de 1.500 clientes finales.
• Rescate exigido: 70 millones de USD: la cantidad más alta jamás solicitada para un único ataque de ransomware.
• Efecto dominó: Un proveedor de software comprometido → cientos de proveedores de servicios gestionados → miles de clientes finales.
• El parche ya estaba disponible: Kaseya ya trabajaba en una solución cuando REvil lanzó el ataque.
• La clave de descifrado llegó tarde: Kaseya recibió la clave de descifrado tres semanas después del ataque.

Anatomía del ataque

El 2 de julio de 2021 – justo durante el fin de semana del Día de la Independencia estadounidense – actuó el grupo REvil. Los atacantes aprovecharon una vulnerabilidad zero-day en Kaseya VSA, una herramienta de gestión remota utilizada principalmente por proveedores de servicios gestionados (MSP). A través de las instancias de MSP comprometidas, la ransomware se distribuyó automáticamente a los sistemas de los clientes finales.

La elección del momento no fue casual: en días festivos los equipos de TI están menos presentes y los tiempos de respuesta se alargan. En cuestión de horas, empresas de 17 países resultaron afectadas, entre ellas la cadena sueca de supermercados Coop, que tuvo que cerrar 800 tiendas.

Por qué los ataques a la cadena de suministro son tan eficaces

El caso Kaseya ilustra el principio multiplicador de los ataques a la cadena de suministro. En lugar de atacar individualmente a miles de empresas, basta con un único punto de entrada en la cadena de suministro. La relación de confianza entre el proveedor de software y su cliente se convierte en un arma: las actualizaciones y los accesos remotos no se cuestionan, pues forman parte del funcionamiento habitual.

Tras SolarWinds a finales de 2020, Kaseya fue el segundo ataque masivo a la cadena de suministro en cuestión de meses. Este patrón seguirá repitiéndose: los atacantes han comprendido que el efecto palanca obtenido a través de los proveedores es mucho mayor que el ataque directo.

Lecciones para las empresas

Las empresas deben evaluar sistemáticamente sus dependencias respecto de terceros. Un «Software Bill of Materials» (SBOM) para todas las herramientas empleadas, principios de «confianza cero» incluso para proveedores considerados fiables, segmentación de redes para limitar los daños y planes de respuesta ante incidentes probados y con vías de escalado claramente definidas constituyen los requisitos mínimos. El caso Kaseya demuestra también que las copias de seguridad offline son el último ancla de salvamento.

Key Facts en un vistazo

Fecha del ataque: 2 de julio de 2021 (fin de semana festivo estadounidense)

Atacantes: REvil (grupo ruso de ransomware)

Afectados: Más de 1.500 empresas en 17 países

Rescate exigido: 70 millones de USD (la cantidad más alta jamás exigida)

Vector de ataque: Vulnerabilidad zero-day en Kaseya VSA (CVE-2021-30116)

Fuente: Aviso de CISA, Informe de incidente de Kaseya, julio de 2021

Dato: Según Cybereason, el 77 % de las víctimas de ransomware que pagaron el rescate fueron atacadas de nuevo.

Dato: Según el Allianz Risk Barometer 2025, los ciberataques son el mayor riesgo empresarial a nivel mundial.

Preguntas frecuentes

¿Qué es exactamente un ataque a la cadena de suministro?

En un ataque a la cadena de suministro, los atacantes no comprometen directamente el objetivo final, sino a un proveedor o fabricante de software dentro de dicha cadena. Mediante la conexión de confianza (por ejemplo, actualizaciones de software), el malware se distribuye entonces a todos los clientes. El caso Kaseya afectó a más de 1.500 empresas mediante un único punto de entrada.

¿Por qué los hackers atacan en días festivos?

Durante fiestas y fines de semana, los equipos de TI están menos presentes, el monitoreo se revisa con menor frecuencia y los tiempos de respuesta son más largos. REvil eligió deliberadamente el fin de semana del Día de la Independencia estadounidense. El FBI y CISA advierten periódicamente sobre el aumento del riesgo de ataques en fechas festivas.

¿Cómo puede protegerse una empresa contra los ataques a la cadena de suministro?

Una protección total es difícil, pero las empresas pueden reducir el riesgo mediante la segmentación de redes, una arquitectura de «confianza cero» incluso para proveedores de confianza, auditorías de seguridad periódicas de sus proveedores, un «Software Bill of Materials» (SBOM) y copias de seguridad offline como última línea defensiva.

¿Qué ha sido de REvil?

El grupo REvil desapareció brevemente de la vista en julio de 2021, reapareció en septiembre y fue finalmente desarticulado en enero de 2022 por el FSB ruso – bajo presión de Estados Unidos – . Varios de sus miembros fueron detenidos. Sin embargo, su infraestructura fue asumida posteriormente por grupos sucesores.

¿Qué es un «Software Bill of Materials» (SBOM)?

Un SBOM es un inventario completo de todos los componentes de software, bibliotecas y dependencias incluidos en un producto. Permite a las empresas comprobar inmediatamente, tras conocerse una vulnerabilidad, si se ven afectadas. Tras el caso Kaseya y la crisis de Log4j, los reguladores exigen cada vez más la implementación de SBOM.

Lectura complementaria en la red

Riesgos de la cadena de suministro en el entorno cloud en cloudmagazin: cloudmagazin.com

Estrategias de ciberseguridad para pymes en mybusinessfuture: mybusinessfuture.com

Cómo los CIO gestionan los riesgos de la cadena de suministro en Digital Chiefs: digital-chiefs.de

Artículos relacionados

• SOC impulsado por IA: cómo las operaciones de seguridad automatizadas resuelven la escasez de talento
• ChatGPT y ciberseguridad: por qué la IA está transformando tanto los ataques como la defensa
• Entrada en vigor de la Directiva NIS2: qué implica ahora para las empresas

Fuente de imagen: Pexels / Brett Sayles

Sobre el autor: Tobias Massow

Más artículos de Tobias Massow