Los CISO dedican incontables horas a pensar en las defensas: fortificar las redes, reforzar los endpoints, proteger las aplicaciones y custodiar la nube de una ola implacable de ataques. Como industria, hemos invertido colectivamente miles de millones para estar al día frente a las amenazas, desde el malware tradicional hasta los ataques sofisticados potenciados por la IA generativa (GenAI).
Sin embargo, existe un punto ciego incluso en las estrategias mejor preparadas, que es cada vez más peligroso porque no está totalmente bajo nuestro control: los ecosistemas de terceros y sus extensas redes de proveedores, distribuidores, revendedores, proveedores de servicios e incluso clientes. Colectivamente, conforman el sistema circulatorio del comercio global. Y cada nodo representa un posible punto de entrada para los actores de amenaza que reconocen una verdad fundamental e incómoda: no importa cuán avanzadas sean nuestras defensas internas, solo somos tan fuertes como el enlace más débil de nuestra cadena de suministro.
Si está pensando “Nosotros ya tenemos esto cubierto”, le propongo reconsiderarlo. Sí, muchas organizaciones incluyen el riesgo de terceros en las listas de verificación para la auditoría. Y sí, utilizan los informes de cumplimiento como una medida del nivel de seguridad de los proveedores. Pero seamos claros: eso no es seguridad, es solo papeleo periódico.
Hace casi una década, se nos advirtió sobre este exceso de confianza en otro contexto: la falsa sensación de seguridad en entornos virtualizados. En ese momento, si cada componente de la arquitectura no era igual de avanzado, todo el sistema era inherentemente vulnerable. Aquí se aplica el mismo principio: los enfoques estáticos y obsoletos del riesgo de terceros son inadecuados y peligrosos. A menos que tratemos la seguridad de la cadena de suministro como una disciplina urgente, toda la empresa estará en riesgo.
Qué se necesita: vigilancia y datos en tiempo real
La ciberseguridad en la cadena de suministro no puede tratarse como una actividad periódica. Monitorear, gestionar y mantener la seguridad debe ser una disciplina constante, siempre activa. Las auditorías estáticas y las revisiones de cumplimiento anuales quizás satisfagan a los reguladores, pero no alcanzan para detener un exploit de día cero o una vulneración rápida en la cadena de suministro. Si no todos los elementos del sistema son de última generación, esto resultará en inseguridad y, en última instancia, inoperabilidad. La naturaleza crítica de este enfoque continuo se enfatiza con los resultados del Informe de respuesta ante incidentes de Unit 42 de 2025, que reveló que, en el 75 % de los incidentes, en los registros había pruebas cruciales de la intrusión inicial. Sin embargo, debido a los sistemas complejos y desconectados, no se podía acceder fácilmente a la información ni se operaba de forma eficaz, lo que permitía que los atacantes exploten las brechas y no se los detecte. Esto evidencia una desconexión crítica: las pistas suelen estar ahí, pero los enfoques tradicionales y periódicos no las revelan a tiempo.
Ya hemos visto este escenario antes, y lo seguiremos viendo durante muchos años. Sin embargo, a pesar de las duras lecciones que estos ataques han enseñado, muchas organizaciones siguen tratando el riesgo de terceros como otro punto en la lista de compras: como un cuestionario anual para proveedores, en lugar de una superficie de amenazas viva y en evolución.
Esta es una idea equivocada peligrosa. Los riesgos de la cadena de suministro no esperan al próximo período de auditoría. Evolucionan en tiempo real, y eso deben hacer también nuestras defensas.
Qué podemos (y deberíamos) hacer ante los riesgos en la cadena de suministro
Los CISO deben liderar el cambio para pasar de los controles periódicos a los proveedores a un monitoreo continuo y en vivo de los riesgos en cada relación con terceros. Una medida menor plantea un riesgo de interrupción operativa y puede crear conversaciones incómodas en la sala de juntas, además del escrutinio de los reguladores con preguntas difíciles sobre por qué no se abordaron las vulnerabilidades conocidas.
La verdad es que hemos confiado demasiado tiempo en las auditorías estáticas y las listas de cumplimiento. Estas pueden haber servido para los riesgos del pasado, pero el panorama actual de amenazas avanza a velocidad de máquina. Por eso, necesitamos perspectivas hiperprecisas y en tiempo real de las vulnerabilidades de la cadena de suministro, que se actualicen a medida que cambien las condiciones.
Es un pedido ambicioso. Exige una inversión real en herramientas, talento y tiempo. Afortunadamente, los CISO tienen a su disposición un importante nivelador: la IA y la automatización. La GenAI, los modelos predictivos y el aprendizaje automático avanzado están hechos a la medida de este desafío. La IA puede escanear un enorme universo de datos, como incidentes anteriores, divulgaciones públicas, certificaciones o señales de comportamiento, para crear perfiles de seguridad dinámicos de cada proveedor de su ecosistema. Puede rastrear cambios de postura, señalar riesgos emergentes y generar puntajes de riesgo significativos y cuantificables.
La automatización amplía esto aún más. Debido a la escasez persistente de profesionales calificados en ciberseguridad, la automatización actúa como multiplicador de fuerza al evaluar de forma continua los riesgos de terceros y acelerar los tiempos de respuesta cuando surgen anomalías. Los análisis sofisticados y conscientes del contexto garantizan que los ataques se identifiquen y neutralicen antes de que puedan moverse lateralmente dentro de su entorno.
Esto se trata tanto de eficiencia como de necesidad. Los ataques ocurren en minutos, no en meses. Una clasificación automatizada de alertas puede marcar la diferencia entre la contención y una catástrofe. Cuando cada segundo cuenta, no puede depender de operadores humanos que revisan hojas de cálculo. Necesita sistemas potenciados por IA que detecten, decidan e implementen defensas en tiempo real.
En resumen: actuar antes de la vulneración
Los CISO ya no pueden permitirse confiar ciegamente en sus proveedores. El futuro exige algo más preciso: visibilidad sin precedentes, evaluación en tiempo real y una firme rendición de cuentas de cada proveedor, cada socio y cada eslabón de la cadena de suministro.
El riesgo de terceros debe ser parte de una estrategia integral de ciberseguridad del más alto nivel. No puede gestionarse de manera aislada en el área de adquisiciones, ni delegarse a los equipos de cumplimiento. Las juntas directivas deben entender que la seguridad de la cadena de suministro contribuye a la resiliencia general de la empresa, y asegurarse de que esté totalmente integrada con la planificación de riesgos, la continuidad del negocio y la preparación normativa. Cree resiliencia ahora porque, en este nuevo entorno de amenazas, la duda es el camino más directo hacia la disrupción.
¿Tiene curiosidad sobre el riesgo de su cadena de suministro? Consulte nuestra Evaluación del riesgo de la cadena de suministro.
