Ciberseguridad en la cadena de suministro

El panorama actual de la ciberseguridad enfrenta una creciente complejidad, debido a las interdependencias en las cadenas de suministro, un desafío crítico para las organizaciones y la industria global. De hecho, en su Perspectiva Mundial sobre Ciberseguridad 2025 del Foro Económico Mundial se develan cinco factores clave que están aumentando los riesgos cibernéticos: la desigualdad en la resiliencia cibernética entre grandes y pequeñas organizaciones, la limitada visibilidad de la seguridad en los proveedores, las vulnerabilidades de software, la dependencia de terceros y el impacto de las tensiones geopolíticas.

Y es que en un entorno donde la tercerización y la integración de servicios son la norma, la seguridad ya no depende únicamente de lo que una organización hace internamente, sino también de lo que usan, lo que hacen—o dejan de hacer— aquellos con quienes se conecta.

Las vulnerabilidades de las cadenas de suministro

Hoy en día, existe una gran disparidad entre las capacidades de unas y otras organizaciones, sobre todo por la limitada visibilidad de la postura de seguridad de sus proveedores o socios tecnológicos. Esta brecha las convierte en blancos más fáciles para los atacantes, que saben que una cadena es tan fuerte como su eslabón más débil y, entonces, los convierte en el puente ideal para robar credenciales o bien acceder a las redes de los socios por un canal válido.

De acuerdo con 2025 Security Scorecard Global Third-Party Breach Report, el 35.5 % de las infracciones en 2024 estuvieron vinculadas al acceso de terceros, un aumento del 6.5% con respecto a 2023. Los proveedores más frecuentemente comprometidos proporcionaban servicios de TI, plataformas en la nube y soluciones de software, siendo las vulnerabilidades del software de transferencia de archivos el vector de ataque más explotado.

Estos datos son reveladores por varias razones. Primero, evidencia que las organizaciones desconocen lo qué está ocurriendo más allá de sus fronteras tecnológicas. Segundo, confirma que los ciberdelincuentes conocen las áreas de oportunidad de sus blancos. Y tercero, refuerza una idea incómoda, pero urgente de adoptar: la ciberseguridad ya no solo es un asunto interno; es una prioridad sistemática.

Durante años, muchas organizaciones han gestionado la relación con sus proveedores tecnológicos bajo una lógica de confianza implícita: firmar un contrato, exigir alguna certificación genérica, y asumir que "todo está bajo control". Esta mentalidad debe desaparecer. La realidad ha demostrado que la confianza, sin verificación continua es uno de los mayores riesgos del ecosistema digital. Está validado por el crecimiento importante en los accesos de los atacantes usando herramientas válidas más que malware en sí.

Para estar al día, es fundamental la supervisión efectiva de terceros —a través de plataformas de Third-Party Risk Management (TPRM), auditorías frecuentes y monitoreo en tiempo real—. Tan solo con el TPRM, según International Business Machines Corporation (IBM), se logra el cumplimiento normativo en materia de privacidad y protección de datos; se impulsa la resiliencia operativa; se gestionan las relaciones con proveedores; se mitigan los riesgos; se preserva la reputación; se protege el impacto empresarial y se reduce la complejidad y la superficie de ataque. Las organizaciones deben tomar conciencia que hoy la cadena de suministro ya es parte de su superficie de ataque y por ende el no supervisarla aumenta el riesgo de forma importante.

La importancia de una metodología estructurada

Para tener todos esos beneficios se requiere que las organizaciones dejen a un lado la cultura del "eso no me va a pasar a mí" y adoptar una metodología estructurada, basada en los 8 sencillos pasos del ciclo de vida de gestión de riesgos de terceros:

1.- Revisión de proveedores para construir un inventario que permita clasificar según el nivel de riesgo inherente que representan.

2.- Evaluación de proveedores con base en criterios como postura de seguridad, cumplimiento normativo, historial, certificaciones y adecuación a las políticas internas.

3.- Análisis de riesgos exhaustivos utilizando marcos como ISO 27001, NIST SP 800-53 u otros estándares del sector, que abarquen la cadena de suministro de los proveedores críticos y aquellos que acceden a las “joyas de la corona” de la organización.

4.- Reducción de riesgos tomando medidas correctivas. Aquí, el monitoreo continuo es clave, especialmente para eventos como filtraciones, cambios regulatorios o noticias adversas.

5.- Negociación contractual e incorporación de todos los compromisos en materia de seguridad. Es fundamental que incluya cláusulas de confidencialidad, protección de datos, y acuerdos de nivel de servicio. Una incorporación segura incluye validar cómo el proveedor se conecta a los sistemas internos y qué datos puede manejar.

6.- Documentación y presentación de informes, no solo por razones de cumplimiento, sino para crear un histórico de relaciones y decisiones tomadas.

7.- Supervisión continua a cada proveedor para identificar cambios normativos, viabilidad financiera y cualquier incidente que altere su perfil de riesgo.

8.- La terminación con un proveedor no es un acto trivial. Requiere asegurarse de que se devuelvan o destruyan correctamente los datos compartidos, cerrar accesos a sistemas y mantener un registro detallado de la finalización de contrato. Un checklist de offboarding puede marcar la diferencia entre una desconexión segura y una fuga de información futura.

Así como también manejar claramente los roles de acceso con identidad única a fin de garantizar la completa remoción de sus accesos a los datos de la organización.

La ciberseguridad moderna no se construye desde un silo ni desde el control absoluto. Se construye entendiendo que la resiliencia es colectiva, que la responsabilidad es compartida y que todos —desde el proveedor más pequeño hasta el socio estratégico más grande— son parte del mismo ecosistema.