A medida que las organizaciones se amplían y modernizan, su dependencia de proveedores externos aumenta simultáneamente. Desde procesadores de nómina y asesor de patentes hasta proveedores de software y socios de logística, estas relaciones externas se han tornado esenciales para las operaciones comerciales. Pero cada nueva conexión con un proveedor también abre una nueva puerta al riesgo cibernético, y son demasiadas las puertas que quedan desprotegidas.
El riesgo de ciberseguridad de terceros no es una preocupación teórica; es una amenaza empresarial en aumento con el potencial de generar interrupciones operativas, daños en la reputación y efectos colaterales en torno a la reglamentación. Sin embargo, a pesar de su gravedad, muchas organizaciones continúan delegando la gestión del riesgo de los proveedores al área de adquisición, en la que el enfoque suele reducirse a listas de verificación anuales y cuestionarios de autoevaluación.
Ese enfoque no solo está obsoleto, sino que es peligroso.
Según la investigación de PwC, solo el 31 % de las empresas evalúan el riesgo de ciberseguridad de los proveedores a través de procesos formales en toda la organización. El resto está volando a ciegas. En un mundo en el que incluso las empresas medianas podrían administrar docenas (o cientos) de relaciones con proveedores —muchos con acceso privilegiado a sistemas y datos confidenciales—, esta situación actual es insostenible.
El riesgo de ciberseguridad de proveedores externos representa una amenaza existencial para casi todas las organizaciones y exige una urgencia a nivel ejecutivo.
Cómo los riesgos de proveedores externos se convierten en vulnerabilidades cibernéticas
Un gran número de ejemplos de alto perfil de riesgos de proveedores externos que se convirtieron en problemas masivos de ciberseguridad ha acaparado las noticias. El muy publicitado ataque de SolarWinds de 2020 y la vulneración de Target de 2013 son ejemplos vívidos de lo que ocurre cuando el riesgo de terceros se convierte en una puerta trasera abierta a su negocio. Estos casos también distan de ser casos aislados. En todas las industrias, los atacantes están aprovechando los puntos débiles en las cadenas de suministro digitales, a menudo con resultados devastadores.
Los atacantes actuales no se limitan a los proveedores de TI tradicionales. Existe la misma probabilidad de que ataquen a proveedores de servicios financieros, socios de telecomunicaciones o servicios en la nube, o incluso a la empresa de energía eléctrica. Si un proveedor se conecta a sus sistemas —de forma directa o indirecta—, está dentro de su alcance. Esto incluye desarrolladores de software, fabricantes de equipos originales (OEM), distribuidores y, cada vez más, clientes.
Una vez que ingresan, los atacantes no se apuran. Se mueven de forma lateral por las redes, en busca de datos confidenciales: registros de clientes, propiedad intelectual, credenciales. Muchos incrustan malware en API, complementos de exploradores o mecanismos de actualización, para lo que burlan las defensas imitando procesos de confianza.
En particular, la cadena de suministro de software está expuesta. De hecho, según la investigación de Enterprise Strategy Group, el 41 % de las cadenas de suministro de software de las organizaciones recibieron ataques de día cero, aprovechando vulnerabilidades nuevas o conocidas en el código de terceros, mientras que el 40 % de las organizaciones informan que han sido víctimas de exploits de un servicio en la nube mal configurado.
Estos no son casos extremos, Son señales de advertencia. Y confirman lo que muchos directores de seguridad de la información (CISO) ya saben: el riesgo de terceros no es tan solo un problema de ciberseguridad. Es una vulnerabilidad de la empresa, una que exige vigilancia constante.
Las graves consecuencias de los ataques basados en proveedores
Los ataques de terceros suelen desarrollarse silenciosamente y, para el momento en que se los descubre, el daño ya está hecho.
Un solo socio comprometido puede exponer datos confidenciales, interrumpir las operaciones y llevar a una organización a un ciclo prolongado de investigación forense, corrección y recuperación. En estos momentos, no solo caen los sistemas, sino también la confianza —con clientes, reguladores, socios y el público—.
Las consecuencias reglamentarias solas pueden ser abrumadoras. Desde GDPR en Europa hasta LGPD en Brasil y la HIPAA de la industria de la atención de la salud en EE, UU., los marcos de protección de datos ahora responsabilizan a las organizaciones por las vulneraciones, independientemente de dónde se originó la vulnerabilidad. Las sanciones financieras son una cosa. Los daños a largo plazo en la reputación son otra.
Esto es lo que hace que el riesgo de terceros sea tan peligroso: aumenta con su crecimiento. Cada nuevo proveedor, cada integración adicional, cada expansión en un nuevo mercado agranda la superficie de ataque. Sin visibilidad en tiempo real de los ecosistemas de los socios, esa superficie se convierte en un punto ciego, uno que los adversarios son cada vez más capaces de aprovechar.
Lo que las organizaciones deberían hacer —ahora—
El aumento en el riesgo de terceros exige algo más que una respuesta procedimental; requiere un cambio de mentalidad. Los enfoques tradicionales como las auditorías estáticas, los cuestionarios de los proveedores y las casillas de verificación de cumplimiento de un solo uso ya no son suficientes en una era en la que la superficie de ataque se expande continuamente a través de las relaciones externas.
Esto es lo que debe cambiar:
- Clasifique a los proveedores según la criticidad del negocio. No todos los terceros conllevan el mismo riesgo. Sus expectativas en torno a la ciberseguridad deberían reflejarlo. Las organizaciones deberían adoptar un modelo escalonado que asigne categorías de riesgo a los proveedores en función de su importancia operativa y nivel de acceso al sistema. En relación con los proveedores críticos, se debe aplicar un total cumplimiento de las políticas de Confianza Cero, que incluyen una rigurosa verificación de la identidad, segmentación y supervisión continua. Con respecto a los proveedores de riesgo medio o bajo, se debe garantizar el cumplimiento de controles básicos, pero ajustar los requisitos de forma proporcional.
- Pase de la evaluación de riesgos en un momento dado a en tiempo real. Los entornos de terceros son dinámicos; lo que hoy es seguro, mañana podría ser vulnerable. Las evaluaciones de riesgos deben evolucionar como corresponde. La reevaluación regular de las relaciones de larga duración con proveedores es tan importante como el escrutinio de las nuevas.
- Exija los principios de Confianza Cero, en todas partes. Se debería aplicar un modelo de Confianza Cero en toda la empresa, incluidos los proveedores. Si los socios no segmentan el acceso, validan la identidad en cada punto de entrada y supervisan el comportamiento anómalo, sus defensas son tan sólidas como el nodo más débil de ellos.
- Alinee a los proveedores a su propia arquitectura de políticas. Los socios operan con protocolos menos estrictos con demasiada frecuencia. En cambio, las organizaciones deberían exigirles a los proveedores que cumplan con marcos de políticas internos —desde el manejo de datos hasta la respuesta ante incidentes— sin excepciones.
- Use inteligencia de amenazas moderna y automatización. La visibilidad en tiempo real del riesgo de terceros es posible hoy en día, pero requiere una inversión en herramientas inteligentes. La IA y el aprendizaje automático pueden detectar vulnerabilidades antes de que se las aproveche, especialmente cuando se los alimenta con telemetría e inteligencia de amenazas en vivo.
- Comparta proactivamente la inteligencia de amenazas con los proveedores críticos. Las organizaciones deben hacer más que proteger su propio perímetro; deben incrementar la resiliencia colectiva de sus ecosistemas. Como mínimo, los proveedores críticos deberían participar en el intercambio bidireccional de inteligencia, especialmente en industrias como la energía, la atención de la salud y el comercio minorista, en las que estas prácticas se quedan atrás en comparación con las de los servicios financieros. Un proveedor comprometido sigue siendo una vulneración en sus libros.
- Extienda la responsabilidad en todo el ecosistema. Los terceros no son solo relaciones comerciales, sino que son extensiones de su perímetro digital. Y ese privilegio conlleva responsabilidad. La supervisión continua de la seguridad debe ser parte del ciclo de vida de adquisición, no un aspecto secundario.
Básicamente, la cuestión no es si sus proveedores están en riesgo, sino con qué rapidez puede identificar los que lo están y qué hacer al respecto. A medida que el escrutinio reglamentario aumenta y los ciberataques se tornan cada vez más sofisticados, queda poco margen para las suposiciones o la confianza predeterminada.
Subir el nivel en torno al riesgo de terceros no se trata solo de evitar la próxima vulneración, sino de proteger el negocio que construyó y la reputación que no puede darse el lujo de perder.
¿Quiere ver qué más tiene para decir Haider? Consulte sus otros artículos en Perspectives.
1 “How SOC reporting can help assess cybersecurity risk management in third-party relationships—and beyond” (en inglés), PwC, 2022.
2 The growing complexity of securing the software supply chain, Enterprise Strategy Group, May 2024
