En 2025 siguen los ataques a la cadena de suministro y conviene entender qué son para poder defenderse. Un ataque a la cadena de suministro es la versión hacker de por qué reventar la caja fuerte cuando puedes sobornar al que fabrica la puerta. En lugar de atacar directamente una aplicación, los atacantes envenenan lo que esa aplicación utiliza: paquetes, dependencias, pipelines de CI/CD o incluso cuentas de desarrolladores. En ecosistemas abiertos como npm, donde muchos desarrolladores hacen npm install de paquetes brillantes sin demasiadas comprobaciones, un paquete comprometido puede propagarse a miles de proyectos en cuestión de horas.
OWASP ya advirtió del problema al incluir en 2021 A08 Software and Data Integrity Failures, una categoría que señala precisamente fallos en la integridad del software y datos relacionados con la cadena de suministro. En 2025 la amenaza no ha desaparecido, solo ha evolucionado: los atacantes son más creativos y la confianza excesiva de desarrolladores y organizaciones sigue siendo una vulnerabilidad crítica.
Los incidentes recientes en npm durante septiembre de 2025 demostraron lo anteriores puntos con claridad. El primer episodio, el 8 de septiembre, fue un ataque de phishing centrado en el restablecimiento de 2FA. Los atacantes montaron un sitio falso de restablecimiento de 2FA con apariencia legítima y consiguieron que un mantenedor popular enlazado a paquetes como chalk y debug cayera en la trampa. Resultado: se publicaron versiones maliciosas que intentaban capturar billeteras de criptomoneda mediante el secuestro de llamadas a APIs del navegador. Las versiones estaban disponibles apenas un par de horas, tiempo suficiente para infectar proyectos que dependían de ellas. El monto robado fue relativamente bajo, alrededor de 500, pero el potencial de daño fue enorme.
La segunda ola, el 15 de septiembre, fue bautizada como el gusano Shai-Hulud. Este código autorreplicante infectó más de 180 paquetes npm, aprovechó cuentas de mantenedores para propagarse, exfiltró secretos y envenenó árboles de dependencias. No fue solo malware clásico: fue el primer gusano real que se movió automáticamente por el ecosistema npm.
Como desarrolladores y empresas debemos tomar medidas prácticas y sostenibles. Algunas acciones directas que recomendamos son: habilitar una 2FA fuerte preferentemente con llaves hardware en lugar de SMS; auditar y fijar versiones de dependencias evitando un npm update ciego; rotar claves y credenciales con periodicidad; ejecutar herramientas de seguridad como npm audit, Snyk o Dependabot en los pipelines de CI/CD; y leer con atención los avisos de seguridad en lugar de ignorarlos.
También existen soluciones de software y prácticas de ingeniería que mitigan el riesgo de forma más estructural: uso de lockfiles como package-lock.json o yarn.lock para evitar tirar actualizaciones maliciosas sin control; escaneo automatizado de dependencias integrado en el pipeline; monitorización del comportamiento en ejecución para detectar llamadas de red sospechosas; verificación de procedencia de paquetes mediante firmas y frameworks como Sigstore; sandboxing de código de terceros para limitar el impacto; generación de SBOMs o lista de materiales de software para conocer exactamente lo que entra en cada build; y escaneo automático de secretos con herramientas como GitGuardian.
Otra buena práctica es introducir ventanas de enfriamiento antes de adoptar versiones recién publicadas: si una release maliciosa es retirada rápidamente tienes tiempo para no incorporarla. Además, es esencial educar a los mantenedores y equipos sobre técnicas de phishing y sobre la gestión segura de cuentas de npm y repositorios.
En Q2BSTUDIO, como empresa de desarrollo de software y aplicaciones a medida, ayudamos a las organizaciones a endurecer sus procesos y productos frente a ataques a la cadena de suministro. Ofrecemos servicios integrales que incluyen desarrollo de aplicaciones a medida y auditorías de seguridad, combinando experiencia en inteligencia artificial y ciberseguridad para crear soluciones robustas y escalables. Si necesita soporte para fortalecer su software y procesos, podemos ayudarle con servicios especializados como desarrollo de aplicaciones a medida y evaluaciones de seguridad, o con servicios dedicados de ciberseguridad y pentesting para comprobar la resiliencia de su cadena de suministro.
Además, Q2BSTUDIO integra estrategias de inteligencia artificial y analítica avanzada para detectar patrones anómalos y automatizar respuestas, ofreciendo servicios de inteligencia de negocio, ia para empresas y agentes IA que complementan la defensa del ciclo de vida del software. Si su empresa trabaja en la nube, aportamos experiencia en servicios cloud aws y azure, implementación de Power BI y soluciones de inteligencia de negocio para que la seguridad y la observabilidad sean parte de la infraestructura, no un añadido posterior.
En resumen, los ataques a la cadena de suministro son una amenaza persistente y sofisticada. Las medidas van desde acciones simples y de bajo coste, como activar 2FA con llaves hardware y fijar dependencias, hasta inversiones en soluciones como verificación de procedencia, monitorización en tiempo real, SBOMs y automatización de escaneos. En Q2BSTUDIO combinamos desarrollo de software a medida, ciberseguridad, inteligencia artificial y servicios cloud para ayudar a su organización a reducir el riesgo y a transformar la seguridad en un pilar de su arquitectura. La seguridad debe tratarse como infraestructura; mientras no lo hagamos, los atacantes seguirán reciclando las mismas trampas con nuevos nombres.