En la actualidad, la cadena de suministro se ha convertido en un objetivo prioritario para los ciberdelincuentes. Aquellas organizaciones que no se aseguren de contar con proveedores y socios tecnológicos realmente preocupados por su ciberseguridad se exponen a interrupciones operativas, pérdidas económicas considerables y un impacto reputacional que podría llegar a ser realmente grave. Incluso, en algunos casos, podrían darse incumplimientos normativos que implicarían sanciones relevantes.
Ciberataques recientes a la cadena de suministro en España y Latinoamérica
En septiembre de 2024, uno de los principales proveedores energéticos en España sufrió un ciberataque que comprometió parcialmente su base de datos de clientes de electricidad y gas. Este incidente, que provocó el acceso no autorizado a información personal como nombres, DNI y domicilios, se produjo a través de uno de sus proveedores tecnológicos, lo que puso de manifiesto cómo una vulnerabilidad en la cadena de suministro puede derivar en una brecha de seguridad con consecuencias significativas para la organización y sus usuarios.
Otro ejemplo vivido en Latinoamérica se produjo en septiembre de 2023, cuando un proveedor de servicios gestionados fue víctima de un ataque de ransomware que impactó directamente a múltiples entidades gubernamentales y empresas en países como Colombia, Chile, Argentina y Panamá. Al tratarse de un actor clave en la infraestructura tecnológica de la región, el ciberataque provocó un efecto dominó que interrumpió los servicios de numerosos clientes, demostrando cómo una brecha en un proveedor puede escalar rápidamente y afectar a toda una red de organizaciones interdependientes.
Estadísticas preocupantes
Según Statista, solo en 2023 se registraron más de 245.000 ataques maliciosos a la cadena de suministro de software de código abierto, lo que representa un aumento de casi el 280% respecto al año anterior. Por su parte, Gartner vaticina que para este 2025 el 45% de las organizaciones a nivel mundial habrán experimentado ataques a sus cadenas de suministro de software.
Estas tendencias reflejan la creciente amenaza que representan los ciberataques a la cadena de suministro y la necesidad urgente de implementar medidas de ciberseguridad robustas para proteger las operaciones empresariales.
¿Cuáles son los riesgos?
Uno de los principales desafíos que enfrentan las organizaciones a la hora de garantizar la ciberseguridad de su cadena de suministro es la falta de visibilidad y control sobre los proveedores. Muchas empresas no disponen de mecanismos efectivos para monitorear y evaluar la seguridad de sus socios comerciales, lo que dificulta la identificación temprana de posibles amenazas.
Otro problema crítico son los errores humanos, responsables de entre el 75% y el 95% de los incidentes de ciberseguridad, según diversos estudios. Estos errores incluyen prácticas comunes como abrir correos electrónicos maliciosos o realizar configuraciones incorrectas de los sistemas.
Además, la dependencia de tecnologías obsoletas expone a las organizaciones a vulnerabilidades conocidas que los atacantes pueden explotar con facilidad. Por último, la falta de cumplimiento con las normativas vigentes en materia de ciberseguridad, ya sea por desconocimiento o falta de recursos, incrementa considerablemente la exposición de las empresas a riesgos tanto legales como operativos.
Soluciones para proteger la cadena de suministro
Para minimizar los riesgos asociados a posibles ciberataques en la cadena de suministro, es crucial adoptar soluciones que optimicen la ciberseguridad de los sistemas y sean capaces de salvaguardar la integridad tanto de los datos de la organización como de su infraestructura tecnológica. Un aspecto fundamental es verificar y exigir que nuestros proveedores mantengan como mínimo un nivel de ciberseguridad similar o mejor al nuestro.
Por ejemplo, apostar por la gestión de identidades y accesos (IAM) implica implementar una autenticación multifactor y controles de acceso basados en roles para limitar la disponibilidad de información sensible. Por otra parte, es importante realizar una monitorización continua de los sistemas, para así ser capaces de realizar una detección temprana de actividades sospechosas y estar preparados para dar una respuesta rápida ante incidentes. Los servicios de vigilancia digital adicionales a los ofrecidos por los SOC suelen ofrecer mejoras en la detección de forma temprana, optimizando así la respuesta de las organizaciones ante incidentes que todavía no han ocurrido.
Por otra parte, hemos visto cómo el propio usuario está en el punto de mira de estos ciberataques. Esto quiere decir que una buena formación y concienciación de los empleados sobre buenas prácticas en ciberseguridad es esencial para fomentar una cultura organizacional orientada a la prevención, lo que va a hacer que se conviertan en nuestra primera línea de defensa.
Por último, es necesario realizar una evaluación y gestión de riesgos a través de auditorías periódicas, para así identificar y corregir posibles vulnerabilidades en la infraestructura tecnológica, a través de herramientas como los servicios de pentesting. Del mismo modo, y ante la falta de transparencia que pudiera darse en algunos de los proveedores, existen sistemas de vigilancia digital que permiten anticiparse ante posibles problemas de ciberseguridad en proveedores, como por ejemplo robo de credenciales de acceso a nuestra organización por parte del proveedor o incluso medición del periodo medio de resolución de incidentes con credenciales en proveedores, entre otros.
Gestión de riesgos en la cadena de suministro a través de la normativa
La Directiva SRI2 (comúnmente conocida como NIS2) de la Unión Europea, en vigor desde enero de 2023, ha establecido requisitos más estrictos en materia de ciberseguridad para empresas de los sectores más críticos. Entre sus principales enfoques se encuentran la gestión de riesgos en la cadena de suministro, donde las organizaciones deben evaluar y mitigar los riesgos asociados a sus proveedores y socios tecnológicos.
Otra de las obligaciones impuestas por esta nueva normativa es la de la notificación de incidentes de seguridad significativos en un plazo determinado. En caso de incumplimiento, las sanciones pueden incluir multas de hasta 10 millones de euros o el 2% de la facturación anual global, dependiendo de la gravedad de este incumplimiento.
La implementación de esta nueva Directiva NIS2 ha supuesto un gran paso adelante para garantizar la ciberseguridad de las organizaciones, ya que aborda aspectos fundamentales como la protección del factor humano y la gestión de la cadena de suministro. Para mantener sus operaciones e infraestructuras seguras, las empresas deben adoptar un enfoque preventivo que les permita cumplir con los requisitos establecidos y reforzar sus defensas frente a posibles ciberamenazas.
Este enfoque preventivo también implica una alineación con otras normativas clave que refuerzan la resiliencia digital y la protección de los datos. Por ejemplo, el Reglamento General de Protección de Datos (GDPR) establece estrictos requisitos sobre el tratamiento y la protección de datos personales, mientras que la normativa PCI-DSS, centrada en la protección de datos de tarjetas de pago, también tiene implicaciones directas en la seguridad de la cadena de suministro, ya que exige controles rigurosos sobre terceros que procesan, almacenan o transmiten información sensible, obligando a las empresas a evaluar cuidadosamente a sus proveedores y garantizar que cumplen con los estándares de seguridad requeridos.
En el ámbito financiero, el Reglamento DORA (Digital Operational Resilience Act) refuerza aún más estas exigencias al establecer un marco común para la resiliencia operativa digital de entidades del sector financiero y sus proveedores TIC críticos. DORA exige que las organizaciones no solo aseguren la continuidad de sus servicios frente a incidentes tecnológicos, sino que también supervisen y gestionen los riesgos derivados de su dependencia de terceros tecnológicos, alineándose así con los principios de NIS2 en materia de supervisión de la cadena de suministro.
Protegiendo los activos digitales de las empresas
Las soluciones integrales de ciberseguridad de Excelia están específicamente diseñadas para fortalecer la ciberseguridad de nuestros clientes. Desde la consultoría especializada en protección de activos hasta la gestión de riesgos y el cumplimiento normativo (GRC), diseñamos estrategias a medida para cada empresa. Implementamos soluciones para garantizar la seguridad de la información, redes, endpoint y nube, protegiendo infraestructuras frente a amenazas. Además, asesoramos en el cumplimiento de todas las normativas vigentes y ofrecemos inteligencia de amenazas y pruebas de penetración para detectar y mitigar riesgos antes de que ocurran.
La ciberseguridad ya no es solo una cuestión interna. Es una estrategia compartida que se construye junto a quienes forman parte de tu ecosistema. Solo quienes protegen toda su red estarán preparados para resistir las amenazas de un entorno cada vez más hostil.
