Ataques cibernéticos e interrupciones de la cadena de suministro:
El ciberdelito es una de las preocupaciones más urgentes para las empresas. Los piratas informáticos llevan a cabo ataques de ransomware frecuentes pero aislados principalmente por motivos económicos, mientras que los actores estatales utilizan técnicas más sofisticadas para obtener información estratégica como la propiedad intelectual y, en casos extremos, interrumpir las operaciones de organizaciones críticas. Por tanto, pueden afectar la capacidad de producción de las empresas y, por tanto, potencialmente afectar a sus clientes y proveedores. En esta publicación, basándonos en el informe correspondiente de un empleado, investigamos un ciberataque particularmente grave que inadvertidamente se extendió más allá de su objetivo original y interrumpió las operaciones de varias empresas en todo el mundo. Ejemplos recientes de ciberataques disruptivos incluyen los ataques de ransomware en Colonial Pipeline, el sistema de oleoductos refinados más grande de los Estados Unidos, y JBS, una empresa global de procesamiento de carne de res. En ambos casos, las operaciones se interrumpieron durante varios días, lo que generó largos cuellos de botella en la cadena de suministro.
El peor ciberataque de la historia
Estamos investigando el impacto del ciberataque más dañino de la historia, que causó daños estimados en $ 10 mil millones. Se llama NotPetya y se lanzó el 27 de junio de 2017 y se dirigió a organizaciones ucranianas para paralizar la infraestructura crítica de Ucrania. Si bien NotPetya inicialmente parecía un ataque de ransomware, su propósito real no era obtener ganancias financieras de los pagos de rescate. En cambio, NotPetya se desarrolló para cifrar y paralizar las redes informáticas de los bancos, empresas y gobiernos de Ucrania.
El vector de infección original era un software que el gobierno de Ucrania requería de todos los proveedores del país para fines de declaración de impuestos. Cuando este software fue pirateado y se lanzó el malware, se propagó a través de varias empresas, incluidas algunas grandes corporaciones globales a través de sus subsidiarias ucranianas. La naviera Maersk, por ejemplo, tuvo que cesar sus operaciones y provocó el caos en los puertos de todo el mundo. Una subsidiaria de FedEx, que no pudo aceptar ni procesar pedidos, también se vio afectada. En el gigante farmacéutico Merck, se suspendieron la producción, la investigación y las ventas, por lo que el Centro para el Control y la Prevención de Enfermedades (CDC) no pudo suministrar vacunas. Varias otras grandes empresas (por ejemplo, Mondelez, Reckitt Benckiser, Nuance, Beiersdorf) habían cerrado sus servidores y no podían realizar las actividades esenciales. Los siguientes mapas muestran las ubicaciones geográficas de los clientes afectados y proveedores de las empresas directamente afectadas por el ciberataque. Los mapas sugieren la posibilidad de que el ciberataque a través de las relaciones de la cadena de suministro pueda afectar a varias empresas.
Propagación del ciberataque
Para estudiar la propagación del ciberataque a través de las cadenas de suministro de las empresas, comparamos el cambio en la rentabilidad de los clientes afectados antes y después del ciberataque con el cambio en la rentabilidad de empresas similares que no tienen relaciones de suministro con las empresas directamente afectadas. La diferencia entre estos dos cambios se remonta a las interrupciones de la cadena de suministro causadas por el ciberataque.
Observamos que el ciberataque de NotPetya se transmitió a los clientes en sentido descendente, pero no en sentido ascendente a los proveedores. En comparación con otras empresas similares, los clientes afectados muestran una disminución de la rentabilidad de 1,3 puntos porcentuales después del ciberataque. Curiosamente, las debilidades en la cadena de suministro juegan un papel en la determinación de la magnitud del efecto. Esto se puede hacer de dos maneras. Dado que las empresas requieren múltiples insumos y servicios para ejecutar su producción, son más propensas a interrupciones repentinas si no pueden reemplazar fácilmente al proveedor sorprendido. De hecho, los clientes afectados que dependen de menos proveedores alternativos en la misma industria que el proveedor directamente afectado experimentan mayores caídas en la rentabilidad. Además, los clientes de las empresas directamente afectadas que fabrican productos más intensivos en I + D se ven más gravemente afectados, ya que estos insumos de I + D de proveedores sustitutos son más difíciles de reemplazar. Descubrimos que estos clientes también están experimentando importantes pérdidas en ventas y rentabilidad.
Gestión del riesgo de liquidez
Los clientes afectados utilizan liquidez tanto interna como externa para hacer frente al impacto del shock. En particular, reducen su índice de liquidez, una medida de la liquidez interna de la empresa y se define como activo circulante menos inventarios dividido por pasivo circulante. Además, los clientes afectados aumentan el uso de financiamiento externo, principalmente mediante el uso de líneas de crédito existentes con bancos. Sin embargo, esto está asociado con costos, ya que los bancos posteriormente clasifican a los clientes afectados como de mayor riesgo y por lo tanto les cobran tarifas más altas. Gracias a su acceso a financiamiento interno y externo, los clientes afectados superan el shock sin recortar sus inversiones ni su empleo.
Respuesta de la red endógena
El ciberataque NotPetya expuso la posibilidad de largas interrupciones comerciales y sirvió como una llamada de atención para los clientes afectados. En consecuencia, constatamos que es más probable que los clientes afectados establezcan nuevas relaciones con proveedores alternativos después del choque, es decir, con otros proveedores de la misma industria en la que se encuentran las empresas directamente afectadas. Con el tiempo, también es más probable que terminen la relación de suministro con el proveedor directamente afectado.
Para llevar
A medida que el ciberdelito se convierte en una mayor fuente de riesgo para las empresas y los gobiernos, es de suma importancia investigar el impacto potencial de los grandes ciberataques. En este post mostramos que determinados ciberataques maliciosos que pretenden paralizar las infraestructuras de TI pueden tener efectos devastadores no solo en las empresas directamente afectadas, sino también en otras empresas a través de las conexiones de la cadena de suministro. Documentamos las ventajas de cadenas de suministro bien diversificadas con varios proveedores alternativos. También señalamos el papel de los préstamos bancarios para permitir que los clientes afectados se empapen del impacto. Es importante que en este caso en particular los bancos no se vieron afectados por el ciberataque NotPetya y que las empresas pudieron otorgar préstamos. Podría haber ocurrido un escenario potencialmente más devastador si los bancos también se hubieran visto afectados que ya no quisieran o no pudieran proporcionar crédito adicional.
Matteo Crosignani es economista del Grupo de Investigación y Estadísticas del Banco de la Reserva Federal de Nueva York.
Marco Macchiavelli es economista senior en la Junta de Gobernadores del Sistema de la Reserva Federal.
André F. Silva es economista de la Junta de Gobernadores del Sistema de la Reserva Federal.
Para citar esta publicación:
Matteo Crosignani, Marco Macchiavelli y André F. Silva, «Cyberattacks and Supply Chain Disruptions», Banco de la Reserva Federal de Nueva York , 22 de junio de 2021, https://libertystreeteconomics.newyorkfed.org/2021/06/cyberattacks-and-supply-chain-disruptions.html.
Lectura relacionada
Piratas sin fronteras: la propagación de los ataques cibernéticos a través de las cadenas de suministro corporativas (Informe del empleado)
Exención de responsabilidad
Las opiniones expresadas en esta publicación son las de los autores y no reflejan necesariamente la posición del Banco de la Reserva Federal de Nueva York o del Sistema de la Reserva Federal. Los autores son responsables de errores u omisiones.
.