La ciberseguridad empresarial tiene un problema incómodo: muchas compañías siguen mirando hacia dentro mientras los atacantes entran por fuera. No siempre por una vulnerabilidad propia, ni por un empleado que cae en un correo de phishing, ni por un ransomware lanzado directamente contra la organización. Cada vez más, el acceso llega a través de un proveedor, una integración, una cuenta de servicio, una herramienta en la nube o un contratista con permisos legítimos.
El nuevo informe global de Kaspersky, Supply chain reaction: securing the global digital ecosystem in an age of interdependence, pone cifras a esa exposición. Según la encuesta, realizada a más de 1.700 profesionales de seguridad en 16 países y en empresas de más de 500 empleados, los ataques a la cadena de suministro fueron el tipo de amenaza más sufrido por las organizaciones durante los últimos 12 meses, con un 31 % de compañías afectadas.
El dato contrasta con la percepción del riesgo. Solo el 9 % de las empresas sitúa los ataques a la cadena de suministro entre las amenazas más peligrosas. Las organizaciones tienden a señalar antes a los grupos APT, el ransomware o las amenazas internas, pero los incidentes que más aparecen en la práctica llegan por relaciones de confianza y dependencias externas.
El proveedor también forma parte del perímetro
La idea de perímetro corporativo se ha quedado corta. Una empresa mediana o grande trabaja con decenas de proveedores de software, servicios cloud, integradores, consultoras, operadores, fabricantes, plataformas SaaS y contratistas. Cada relación crea una posible vía de entrada: una cuenta con permisos, una API, una conexión remota, un portal compartido, una actualización de software o un intercambio de datos.
Kaspersky señala que, de media, las compañías encuestadas tienen más de 60 proveedores de hardware y software. Además, el número de contratistas con acceso a sistemas internos suele moverse entre 25 y 99, con una media de 72. Esa cifra convierte la seguridad de terceros en un problema operativo diario, no en una cuestión secundaria para el departamento legal.
El informe también revela una señal de exceso de confianza. El 21 % de las organizaciones que se consideran poco o nada vulnerables a ataques de cadena de suministro o relaciones de confianza ni siquiera puede estimar cuántos proveedores de hardware y software tiene. Es difícil proteger una superficie de ataque que ni siquiera está inventariada.
| Indicador del informe | Dato destacado |
|---|---|
| Empresas afectadas por ataques de cadena de suministro en 12 meses | 31 % |
| Empresas afectadas por ataques a relaciones de confianza | 25 % |
| Empresas que sitúan la cadena de suministro como amenaza más peligrosa | 9 % |
| Proveedores de hardware y software por empresa | Más de 60 de media |
| Contratistas con acceso a sistemas internos | 72 de media |
| Organizaciones que necesitan reforzar su protección | 85 % |
| Empresas que creen eficaces sus medidas actuales | 15 % |
La exposición aumenta en las grandes organizaciones. Según Kaspersky, las grandes empresas son las que más ataques de cadena de suministro han sufrido, con un 36 %, y también las que declaran un mayor número medio de proveedores. Cuanta más compleja es la red de relaciones, mayor es la probabilidad de que un fallo externo acabe dentro.
Muchas defensas, pero pocas realmente completas
El segundo gran problema es la fragmentación de las medidas de protección. El informe muestra que no hay una práctica implantada por la mayoría de organizaciones. La medida más extendida es la autenticación de doble factor, pero solo la usa el 38 % de los encuestados para protegerse frente a riesgos de cadena de suministro y relaciones de confianza.
Después aparecen los requisitos de seguridad en contratos con proveedores, presentes en el 37 %, las revisiones periódicas de la ciberseguridad de contratistas, con un 35 %, y la integración de contratistas en los sistemas internos de seguridad, con un 33 %. El principio de mínimo privilegio, una de las prácticas más importantes cuando terceros acceden a sistemas internos, solo aparece en el 27 %.
La diligencia previa tampoco está madura. Solo el 28 % de las organizaciones evalúa la fiabilidad de los contratistas antes de trabajar con ellos y apenas el 18 % comprueba su nivel de ciberseguridad. Entre quienes sí hacen evaluaciones, las prácticas varían: revisión de planes de respuesta a incidentes, políticas de ciberseguridad, vulnerabilidades detectadas, incidentes pasados, certificados de cumplimiento o resultados de pruebas de penetración.
Más preocupante aún: el 38 % de las empresas que evalúa contratistas antes de firmar no incluye comprobaciones de seguridad informática, sino que se queda en criterios legales, financieros o reputacionales. En la práctica, eso equivale a tratar la ciberseguridad como un añadido y no como una condición básica de fiabilidad.
| Medida de protección | Implantación |
|---|---|
| Autenticación de doble factor | 38 % |
| Requisitos de seguridad en contratos | 37 % |
| Revisión periódica de contratistas | 35 % |
| Actualización del inventario de activos software | 31 % |
| Canales seguros para compartir información | 31 % |
| Evaluación previa de proveedores | 28 % |
| Compartir conocimiento de seguridad con contratistas | 28 % |
| Principio de mínimo privilegio | 27 % |
Esta falta de homogeneidad explica otro dato del informe: solo el 15 % de las empresas considera eficaces sus medidas actuales contra ataques de cadena de suministro. En países como Alemania, Turquía, Italia, Brasil, Rusia o Arabia Saudí, la confianza es aún más baja.
Falta personal, contratos y visión de negocio
Las empresas saben que tienen que mejorar. El 85 % admite que necesita reforzar su protección frente a riesgos de cadena de suministro y relaciones de confianza. El problema es cómo hacerlo.
Kaspersky identifica dos obstáculos principales, ambos citados por el 42 % de los encuestados: la prioridad dada a otras tareas de seguridad y la falta de personal cualificado. A continuación aparecen la ausencia de obligaciones legales de ciberseguridad en contratos con proveedores, con un 39 %, y la falta de comprensión de estos riesgos por parte de personal no especializado en seguridad, con un 32 %.
Este último punto es relevante. La seguridad de la cadena de suministro no depende solo del CISO. También afecta a compras, legal, operaciones, IT, finanzas, desarrollo, compliance y dirección. Si un contrato se firma sin cláusulas de seguridad, si un proveedor SaaS se incorpora sin revisión técnica o si un contratista recibe permisos excesivos por urgencia operativa, el problema ya nace antes de que el SOC pueda verlo.
El informe cita además diferencias regionales. La falta de obligaciones legales de ciberseguridad en contratos aparece como una barrera destacada en Vietnam, Turquía, España y México. Eso debería llamar la atención de las compañías españolas: muchas relaciones con proveedores siguen sin traducir el riesgo digital en obligaciones concretas, auditables y exigibles.
De auditar proveedores a construir defensa compartida
Una de las conclusiones más interesantes del informe es que las empresas empiezan a asumir que la seguridad no puede resolverse solo con auditorías unilaterales. El 69 % de las organizaciones dice estar dispuesto a compartir costes de ciberseguridad con sus contratistas si eso garantiza una mejor protección frente a ataques, y un 25 % ya lo hace.
La idea puede parecer extraña, pero tiene sentido. Si un proveedor pequeño presta un servicio crítico a una gran empresa, quizá no tenga los recursos para alcanzar por sí solo el nivel de seguridad exigido. La compañía cliente puede limitarse a imponer requisitos o puede ayudar a elevar la protección de ese tercero cuando la dependencia sea importante. En sectores críticos, esa colaboración puede ser más útil que una lista de exigencias que nadie cumple bien.
Kaspersky resume el cambio en tres líneas: colaboración frente a cumplimiento formal, transparencia mediante monitorización continua e inversión estratégica en defensa compartida. Dicho de forma sencilla, no basta con pedir un certificado una vez al año. Hace falta saber cómo evoluciona el riesgo del proveedor, qué acceso tiene, qué incidentes sufre, cómo responde y cómo se desconecta si algo va mal.
Entre las recomendaciones del informe figuran evaluar a fondo a los proveedores antes de contratar, incluir requisitos de seguridad en los contratos, aplicar mínimo privilegio y zero trust, reforzar la gestión de identidades, monitorizar continuamente con soluciones XDR o MXDR, mejorar la visibilidad de red con herramientas NDR, vigilar riesgos externos mediante inteligencia de huella digital, preparar planes de respuesta específicos para ataques de cadena de suministro y colaborar activamente con los proveedores.
El mensaje de fondo es claro: la empresa ya no puede protegerse sola. Su seguridad depende también de la seguridad de quienes tienen acceso a sus datos, sistemas y procesos.
La cadena de suministro se ha convertido en una extensión del negocio y, por tanto, en una extensión del riesgo. Las organizaciones que lo entiendan antes no solo reducirán incidentes. También podrán convertir la confianza en una ventaja comercial. En un mercado donde todos dependen de todos, ser un proveedor seguro empieza a valer tanto como ser barato, rápido o funcional.
Preguntas frecuentes
¿Qué es un ataque a la cadena de suministro?
Es un ataque que aprovecha un proveedor, una herramienta de software, una actualización, una integración o un contratista para llegar a la empresa objetivo.
¿Por qué son tan difíciles de detectar?
Porque suelen usar relaciones ya autorizadas: cuentas legítimas, software permitido, accesos remotos o flujos normales entre empresas.
¿Qué medida básica deberían aplicar las empresas?
Inventariar proveedores y accesos, aplicar mínimo privilegio, exigir requisitos contractuales de seguridad y revisar de forma continua la postura de ciberseguridad de los terceros críticos.
¿Solo afecta a grandes empresas?
No. Las grandes organizaciones tienen más exposición por su número de proveedores, pero cualquier empresa que use software externo, cloud, SaaS o contratistas puede verse afectada.
