2025: siguen los ataques a la cadena de suministro

Conoce los ataques a la cadena de suministro en 2025, desde phishing de 2FA hasta el gusano de npm, y las mejores medidas y servicios de seguridad de Q2BSTUDIO.

20 sept 2025 • 4 min de lectura • Equipo Q2BSTUDIO

Inteligencia-Artificial-

En 2025 siguen los ataques a la cadena de suministro y conviene entender qué son para poder defenderse. Un ataque a la cadena de suministro es la versión hacker de por qué reventar la caja fuerte cuando puedes sobornar al que fabrica la puerta. En lugar de atacar directamente una aplicación, los atacantes envenenan lo que esa aplicación utiliza: paquetes, dependencias, pipelines de CI/CD o incluso cuentas de desarrolladores. En ecosistemas abiertos como npm, donde muchos desarrolladores hacen npm install de paquetes brillantes sin demasiadas comprobaciones, un paquete comprometido puede propagarse a miles de proyectos en cuestión de horas.

OWASP ya advirtió del problema al incluir en 2021 A08 Software and Data Integrity Failures, una categoría que señala precisamente fallos en la integridad del software y datos relacionados con la cadena de suministro. En 2025 la amenaza no ha desaparecido, solo ha evolucionado: los atacantes son más creativos y la confianza excesiva de desarrolladores y organizaciones sigue siendo una vulnerabilidad crítica.

Los incidentes recientes en npm durante septiembre de 2025 demostraron lo anteriores puntos con claridad. El primer episodio, el 8 de septiembre, fue un ataque de phishing centrado en el restablecimiento de 2FA. Los atacantes montaron un sitio falso de restablecimiento de 2FA con apariencia legítima y consiguieron que un mantenedor popular enlazado a paquetes como chalk y debug cayera en la trampa. Resultado: se publicaron versiones maliciosas que intentaban capturar billeteras de criptomoneda mediante el secuestro de llamadas a APIs del navegador. Las versiones estaban disponibles apenas un par de horas, tiempo suficiente para infectar proyectos que dependían de ellas. El monto robado fue relativamente bajo, alrededor de 500, pero el potencial de daño fue enorme.

La segunda ola, el 15 de septiembre, fue bautizada como el gusano Shai-Hulud. Este código autorreplicante infectó más de 180 paquetes npm, aprovechó cuentas de mantenedores para propagarse, exfiltró secretos y envenenó árboles de dependencias. No fue solo malware clásico: fue el primer gusano real que se movió automáticamente por el ecosistema npm.

Como desarrolladores y empresas debemos tomar medidas prácticas y sostenibles. Algunas acciones directas que recomendamos son: habilitar una 2FA fuerte preferentemente con llaves hardware en lugar de SMS; auditar y fijar versiones de dependencias evitando un npm update ciego; rotar claves y credenciales con periodicidad; ejecutar herramientas de seguridad como npm audit, Snyk o Dependabot en los pipelines de CI/CD; y leer con atención los avisos de seguridad en lugar de ignorarlos.

También existen soluciones de software y prácticas de ingeniería que mitigan el riesgo de forma más estructural: uso de lockfiles como package-lock.json o yarn.lock para evitar tirar actualizaciones maliciosas sin control; escaneo automatizado de dependencias integrado en el pipeline; monitorización del comportamiento en ejecución para detectar llamadas de red sospechosas; verificación de procedencia de paquetes mediante firmas y frameworks como Sigstore; sandboxing de código de terceros para limitar el impacto; generación de SBOMs o lista de materiales de software para conocer exactamente lo que entra en cada build; y escaneo automático de secretos con herramientas como GitGuardian.

Otra buena práctica es introducir ventanas de enfriamiento antes de adoptar versiones recién publicadas: si una release maliciosa es retirada rápidamente tienes tiempo para no incorporarla. Además, es esencial educar a los mantenedores y equipos sobre técnicas de phishing y sobre la gestión segura de cuentas de npm y repositorios.

En Q2BSTUDIO, como empresa de desarrollo de software y aplicaciones a medida, ayudamos a las organizaciones a endurecer sus procesos y productos frente a ataques a la cadena de suministro. Ofrecemos servicios integrales que incluyen desarrollo de aplicaciones a medida y auditorías de seguridad, combinando experiencia en inteligencia artificial y ciberseguridad para crear soluciones robustas y escalables. Si necesita soporte para fortalecer su software y procesos, podemos ayudarle con servicios especializados como desarrollo de aplicaciones a medida y evaluaciones de seguridad, o con servicios dedicados de ciberseguridad y pentesting para comprobar la resiliencia de su cadena de suministro.

Además, Q2BSTUDIO integra estrategias de inteligencia artificial y analítica avanzada para detectar patrones anómalos y automatizar respuestas, ofreciendo servicios de inteligencia de negocio, ia para empresas y agentes IA que complementan la defensa del ciclo de vida del software. Si su empresa trabaja en la nube, aportamos experiencia en servicios cloud aws y azure, implementación de Power BI y soluciones de inteligencia de negocio para que la seguridad y la observabilidad sean parte de la infraestructura, no un añadido posterior.

En resumen, los ataques a la cadena de suministro son una amenaza persistente y sofisticada. Las medidas van desde acciones simples y de bajo coste, como activar 2FA con llaves hardware y fijar dependencias, hasta inversiones en soluciones como verificación de procedencia, monitorización en tiempo real, SBOMs y automatización de escaneos. En Q2BSTUDIO combinamos desarrollo de software a medida, ciberseguridad, inteligencia artificial y servicios cloud para ayudar a su organización a reducir el riesgo y a transformar la seguridad en un pilar de su arquitectura. La seguridad debe tratarse como infraestructura; mientras no lo hagamos, los atacantes seguirán reciclando las mismas trampas con nuevos nombres.

¿UNA PAUSA?

Juega un momento antes de irte

NUESTROS SERVICIOS

Cómo podemos ayudarte

Inteligencia artificial

Agentes de IA, chatbots y asistentes inteligentes que automatizan tareas y atienden a tus clientes 24/7 para mejorar la eficiencia de tu negocio.

Más info

Desarrollo de software

Aplicaciones web, móviles y de escritorio, intranets, e-commerce, SaaS y plataformas de gestión diseñadas para las necesidades concretas de tu empresa.

Más info

Servicios cloud

Migración, infraestructura, hosting gestionado, alta disponibilidad y seguridad en Microsoft Azure y Amazon Web Services para que tu negocio escale sin límites.

Más info

Ciberseguridad y pentesting

Auditorías de seguridad, test de intrusión (pentesting) y protección de aplicaciones, datos e infraestructura on-premise y cloud, con hacking ético y cumplimiento normativo.

Más info

Business Intelligence

Cuadros de mando y análisis de datos con Power BI: integramos tus fuentes, diseñamos dashboards y KPIs y convertimos tus datos en decisiones.

Más info

Automatización de procesos

Automatizamos tareas repetitivas y conectamos tus aplicaciones con n8n, Power Automate, Make y RPA, eliminando trabajo manual y aumentando la productividad.

Más info

Formación para empresas

Formamos a tus equipos en tecnología con criterio: desarrollo web, bases de datos, Git, buenas prácticas y seguridad, automatización con n8n, inteligencia artificial para empresas y creación de soluciones de IA con Azure AI Foundry.

Más info

Auditoría de código

Auditamos el código que creas tú, tu equipo o una IA: te decimos qué está bien y qué mejorar, lo securizamos y lo dejamos listo para producción, web o app.

Más info

Generación de imágenes con IA

Creamos por ti las imágenes que necesita tu negocio con inteligencia artificial: producto, redes, publicidad, ilustración y avatares. Tú nos dices qué quieres y te lo entregamos listo para usar.

Más info

Generación de vídeos con IA

Creamos por ti vídeos con inteligencia artificial: promocionales, para redes, presentadores virtuales, doblaje y animaciones. Nos cuentas la idea y te lo entregamos montado y listo para publicar.

Más info

Avatares conversacionales con IA

Creamos avatares conversacionales con IA —humanos digitales con cara y voz— que atienden a tus clientes y equipos con el conocimiento de tu empresa, en tu web, monitores interactivos, WhatsApp o Teams.

Más info

Marketing Online e IA

Google Ads, Meta Ads, LinkedIn Ads y posicionamiento en motores de IA (GEO/AEO): captamos clientes y hacemos que tu marca aparezca donde te buscan, también en ChatGPT, Gemini y Perplexity.

Más info

¿Tienes un proyecto en mente?

Cuéntanos tu visión y la convertimos en una solución de software. Sea cual sea el alcance, hacemos realidad tu idea.