El riesgo cibernético en las cadenas de suministro es un tema cada vez más preocupante para las empresas, especialmente a medida que estos sistemas se vuelven más digitalizados y complejos. Detrás de cada conexión con terceros, como proveedores y socios, pueden ocultarse vulnerabilidades que, si son explotadas, pueden resultar en incidentes cibernéticos graves. Estas brechas no solo paralizan las operaciones, sino que también desencadenan un caos a nivel operativo y generan impactos financieros, legales y reputacionales.
Las pequeñas y medianas empresas (PYMES) a menudo subestiman el potencial disruptivo que su cadena de suministro representa en el contexto de ataques maliciosos o fallos operativos. La falta de comprensión sobre las dependencias en la cadena de suministro dificulta la identificación de riesgos y la implementación de estrategias de resiliencia efectivas. De acuerdo con estudios recientes, solo entre el 16% y el 17% de las PYMES de Canadá y Estados Unidos consideran las ciberamenazas en su cadena de suministro como una de sus principales preocupaciones, contrastando con un 34% y un 32% que mencionan malware impulsado por inteligencia artificial.
La cadena de suministro abarca una vasta red de organizaciones, personas y recursos involucrados en la producción y entrega de productos y servicios. Sin embargo, lo que a menudo se ignora son los riesgos interrelacionados que surgen de estas conexiones. La realidad es que un ataque a un proveedor puede multiplicar rápidamente sus efectos, como se evidenció en incidentes como el ataque a 3CX en 2023, que comprometió a un proveedor y expuso a aproximadamente 600,000 clientes en todo el mundo.
Casos recientes, como los ataques de ransomware a CDK y Change Healthcare en 2024, y el ataque a Jaguar Land Rover en agosto de 2025, ejemplifican cómo un incidente en un proveedor crucial puede tener un efecto dominó que afecte sectores enteros. El ataque a JLR resultó en una paralización global de la producción, provocando un colapso en la cadena de suministro que llevó a la necesidad de un rescate gubernamental de £1.5 mil millones para evitar una crisis económica en el Reino Unido.
El costo de las brechas de datos relacionadas con terceros aumentó considerablemente, y se proyecta que el costo económico total de los ataques de la cadena de suministro de software alcanzará los 138 mil millones de dólares para 2031. Estas estadísticas subrayan la necesidad urgente de que los líderes empresariales prioricen el riesgo cibernético asociado con la cadena de suministro.
Los puntos ciegos más comunes que enfrentan las organizaciones incluyen la falsa sensación de seguridad debido a evaluaciones de riesgo inadecuadas, así como la confianza ciega en las comunicaciones con socios sin aplicar principios de confianza cero. Además, los incidentes geopolíticos pueden causar daños colaterales a muchas organizaciones que no tienen relación directa con los conflictos.
Para mitigar estos riesgos, las empresas deben adoptar estrategias que incluyan la evaluación rigurosa de la postura de ciberseguridad de los proveedores, el monitoreo del cumplimiento de requisitos de ciberseguridad y la creación de planes de respuesta ante incidentes. La resiliencia cibernética en las cadenas de suministro no solo es un diferenciador competitivo, sino una cuestión de supervivencia en un mundo de amenazas cada vez más sofisticadas. Es fundamental que las organizaciones mapeen de manera integral sus dependencias críticas y las vulnerabilidades en sus sistemas para afrontar de manera efectiva los desafíos que plantea el entorno cibernético actual.
Fuente: WeLiveSecurity by eSet.
