Es cierto que el ciberriesgo es un problema complejode mitigar, que depende de numerosas variables como: disponer de recursos, consejos de administración conscientes, contar con controles acorde a escenarios probables, e incluso la buena o mala suerte; y que jamás las organizaciones podrán mitigarlo al 100%. Pero también es cierto que, como en muchos aspectos en la vida, hay áreas en las que, con hacer un poco de esfuerzo, se consigue mucho. Dos ejemplos son el factor humano y la cadena de suministro. El primero lleva siendo un riesgo mayúsculo desde hace décadas. Si sabemos que más del 90% de los ciberincidentes exitosos tienen un componente humano, ¿por qué no centrarnos en concienciar, entrenar y crear una cultura de ciberseguridad en la organización?
El riesgo en la cadena de suministro, sin embargo, se ha acentuado en los últimos 5 años, y va a más. Mientras las organizaciones invierten millones en fortificar sus perímetros digitales, a veces se ignora una realidad incómoda: más de un tercio de todas las brechas de datos se originan a través de terceros. En 2024, el 35,5% de los incidentes surgieron en proveedores que vieron comprometida su seguridad, una cifra que ha crecido un 6,5% respecto al año anterior, según Security Scorecard.
Y es que la superficie de ataque no es la que era. Ahora es aquella donde se encuentren tus datos o exista acceso a tus redes. Esto requiere un ejercicio de visualización que muchas empresas no han realizado.
Los datos son contundentes. En comercio minorista y hostelería, un asombroso 52,4% de todas las brechas se producen a través de terceros. Las infraestructuras críticas como energía y servicios públicos enfrentan un índice del 46,7%. Los sectores tecnológico y sanitario experimentan índices desproporcionadamente altos, mientras que el 41,4% de sus ataques recibidos deransomwarese inician a través de terceros.
El 54% de las empresas no sigue un enfoque proactivo de seguridad en la protección de datos en la nube, y el 56% no es cuidadosa al intercambiar información sensible con terceros a través de esta tecnología.
Conviene distinguir entre un incidente aislado en un tercero y un ataque a la cadena de suministro. Estos últimos, parten de un proveedor para llegar simultáneamente a miles de clientes. Pueden manifestarse como phishing dirigido a empleados de terceros -mediante suplantación de identidad-; o uso malicioso de software vulnerable con bibliotecas de código abierto. El atacante tiene únicamente que comprometer un solo software, para poder vulnerar a miles de víctimas, ¡es un negocio asimétrico!
Vectores principales de amenaza: accesos excesivos o mal gestionados encabezan la lista. Los proveedores a menudo reciben acceso a sistemas internos que, si no están bien controlados, abren la puerta a ataques. La falta de ciberseguridad en el proveedor, con controles débiles y sin políticas adecuadas, los convierte en objetivos fáciles.
En este sentido, el acceso o pérdida de datos sensibles por terceros -sin medidas como cifrado o backups seguros- constituye otro riesgo adicional. Y hay que recordar que el incumplimiento normativo puede generar sancionespara la empresa contratante. Además, gracias a la inteligencia artificial, los ataques de phishingdirigidos a empleados de proveedores son cada vez más accesibles y sofisticados. A lo que se suma que la falta de visibilidad sobre los controles del tercero impide reaccionar en tiempo y forma a los incidentes.
Finalmente, la subcontratación descontrolada introduce un riesgo de cuarto nivel: proveedores subcontratan a otros, creando riesgos menos visibles para la empresa contratante.
Es preciso recordar que el ecosistema español tiene dependencia significativa en terceros, y que solo algunas pymes pueden ocuparse de su ciberseguridad. Además seguimos siendo reactivos, hasta que no vemos “las orejas al lobo” no ponemos esfuerzo preventivo. Esta mentalidad ya no es suficiente para enfrentarnos a los criminales, que saben perfectamente cómo penetrar en una organización segura a través de terceros débiles. No es casualidad que la regulación europea como DORA y NIS2 tengan en común el pilar de la seguridad en terceros.Es hora de que abandonemos el enfoque tradicionalmente reactivo en ciberseguridad, debe haber un cambio significativo en la relación con terceros.
La evaluación y clasificación de proveedores, según su involucración en procesos críticos de negocio y niveles de acceso, es fundamental, exigiendo medidas reales y eficaces. Hay que aplicar monitorización continua, e implementar el principio de menor privilegio y Zero Trustdonde sea posible. Las conexiones de alto riesgo con terceros han de estar identificadas, monitorizadas, y preparadas para ser bloqueadas en caso de amenaza. Importante que, ante escenarios de incidentes, estas medidas estén preaprobadas por el consejo, de forma que se apliquen medidas de contención rápidas y sin necesidad de convocar comités de crisis ni de que toda la responsabilidad recaiga en el CISO (Chief Information Security Officer).
Los contratos con proveedores deben incluir cláusulas que requieran la notificación inmediata de incidentes, ejercicios de pentesting y cumplimiento de estándares. La formación y concienciación debe extenderse tanto a empleados propios como a terceros, fomentando una cultura de seguridad compartida. También veremos gestión de consecuencias: empresas deshaciéndose de sus proveedores si no demuestran suficiente proactividad con respecto a la seguridad.
No olvidemos que el riesgo de propagación de una amenaza también existe en la otra dirección. El contratante también ha de actuar cuando es comprometido, tomar las medidas necesarias para aislarse y no convertirse en el foco del problema, lo que supondría un problema mayor.
Las empresas que comprendan que su seguridad es tan fuerte como la de su proveedor más débil, y actúen en consecuencia, tendrán ventaja competitiva. Las que no, enfrentarán no sólo pérdidas económicas, sino daño reputacional irreversible en un mercado donde la confianza se ha convertido en el activo más valioso.
*Andrés Parro es ingeniero en Telecomunicaciones y actualmente managing director de Ciberseguridad en FTI Consulting España. Cuenta con 12 años de experiencia guiando a empresas multinacionales a través de los retos de ciberseguridad, incluyendo respuesta y recuperación ante ciberincidentes y proyectos de transformación en ciberseguridad.
Es cierto que el ciberriesgo es un problema complejode mitigar, que depende de numerosas variables como: disponer de recursos, consejos de administración conscientes, contar con controles acorde a escenarios probables, e incluso la buena o mala suerte; y que jamás las organizaciones podrán mitigarlo al 100%. Pero también es cierto que, como en muchos aspectos en la vida, hay áreas en las que, con hacer un poco de esfuerzo, se consigue mucho. Dos ejemplos son el factor humano y la cadena de suministro. El primero lleva siendo un riesgo mayúsculo desde hace décadas. Si sabemos que más del 90% de los ciberincidentes exitosos tienen un componente humano, ¿por qué no centrarnos en concienciar, entrenar y crear una cultura de ciberseguridad en la organización?
:format(png)/f.elconfidencial.com%2Fjournalist%2F523%2Ffe5%2Fc78%2F523fe5c7876df9e88e4724a5238d706c.png)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F43d%2F675%2F560%2F43d675560c1962f1ed2b87de93542270.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F68b%2F796%2Fb1d%2F68b796b1d72039b83263ca315566c720.jpg)
Opinión :format(jpg)/f.elconfidencial.com%2Foriginal%2Fdbd%2Fdf5%2Faa2%2Fdbddf5aa249f6d9342406274617a891c.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F8df%2Fa14%2Fdf9%2F8dfa14df965ba7512d4b126de2063896.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fc0b%2Fc99%2F5d1%2Fc0bc995d18e2c50619bc631e256aad46.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F9c4%2F74e%2Fa86%2F9c474ea86310ff50fcb8f24044079575.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F9c4%2F74e%2Fa86%2F9c474ea86310ff50fcb8f24044079575.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fb22%2F4b9%2F1ef%2Fb224b91efff70c359380058cf614171e.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fe7b%2F0c1%2F255%2Fe7b0c125575b673505a8d778f766ed04.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F110%2F4d2%2Fd06%2F1104d2d06702d68af54b0aa9b0f3bdb2.jpg)