Índice de temas
En 2025, uno de cada tres incidentes investigados por Unit 42 en Europa tuvo su origen en un proveedor externo. ¿Estamos ante un cambio estructural en el mapa del riesgo cibernético?
Sin duda. Durante años, la estrategia de ciberseguridad se diseñó en torno a la protección del perímetro corporativo pero hoy en día las organizaciones operan dentro de ecosistemas digitales complejos, interconectados y altamente dependientes de terceros.
Los ciberatacantes están irrumpiendo cada vez más en las organizaciones no a través de la puerta principal, sino a través de sus proveedores más vulnerables, y muchos de estos casos no se denuncian ampliamente. Como bien señalabas uno de cada tres o cuatro incidentes en Europa, alrededor del 28% durante el último año, se debieron a violaciones de seguridad por parte de terceros.
Y creemos que esa cifra es solo la punta del iceberg. En la práctica, muchos incidentes se gestionan con foco en la contención y recuperación, no en el análisis exhaustivo del origen. Eso significa que numerosas intrusiones que nacen en la cadena de suministro no se reportan como tales.
Por tanto, podemos afirmar que el riesgo ya no es individual, sino sistémico. El nivel real de exposición de una organización depende tanto de sus controles internos como del nivel de madurez en ciberseguridad de todo su ecosistema digital.
¿Por qué las cadenas de suministro digitales se han convertido en el vector de ataque preferido para los cibercriminales?
Las grandes organizaciones han invertido significativamente en capacidades de defensa: segmentación, EDR/XDR, SOC maduros, Zero Trust, autenticación multifactor etc. En ese contexto, los atacantes han adaptado su estrategia hacia el “weakest link principle”: identificar proveedores más pequeños, con menor nivel de protección, pero con acceso legítimo a entornos de alto valor.
Además, la aceleración de la inteligencia artificial está transformando el ciclo del ataque. Hoy es posible automatizar el escaneo de vulnerabilidades, correlacionar datos públicos y priorizar objetivos en función de su conectividad con grandes corporaciones. Una vez dentro, el atacante puede monetizar el acceso mediante extorsión directa, venta de credenciales o explotación lateral hacia múltiples víctimas.
Esta lógica económica se combina con varios factores estructurales: Ecosistemas digitales cada vez más extensos; dependencia económica creciente de proveedores tecnológicos, servicios gestionados y plataformas SaaS y el uso de la inteligencia artificial para automatizar reconocimiento y explotación.
El atacante ya no busca necesariamente al objetivo final, sino la vía más eficiente para llegar a él. Y esa vía suele estar en el “soft underbelly” —la parte más vulnerable— del ecosistema.
Por tanto, estamos ante una tormenta perfecta: hiperconectividad, dependencia de terceros, modelos criminales industrializados y uso intensivo de IA.
Se habla de una “asimetría económica” en ciberseguridad: es más barato atacar que defender. ¿Cómo se manifiesta esta realidad?
La asimetría económica es una de las dinámicas más determinantes del actual panorama de amenazas. Defender implica una inversión constante en tecnología, talento especializado, monitorización continua, actualización de sistemas y cumplimiento normativo. Es un esfuerzo sostenido y estructural.
Defender implica una inversión constante en tecnología, talento especializado, monitorización continua, actualización de sistemas y cumplimiento normativo
MARC SARRIAS, PALO ALTO NETWORKS
Atacar, en cambio, puede ser relativamente barato y escalable. Los actores maliciosos operan bajo modelos como ransomware-as-a-service o mediante brokers de acceso que venden credenciales comprometidas. La automatización y la IA reducen aún más el coste operativo.
En el contexto de la cadena de suministro, esta asimetría se amplifica: comprometer a un proveedor puede ofrecer acceso a múltiples clientes. Un único punto de entrada puede desbloquear decenas de objetivos potenciales. El retorno económico, ya sea por rescate, venta de datos o presión regulatoria, puede ser muy superior al coste inicial del ataque.
¿Qué sectores están siendo más golpeados por este tipo de ataques en Europa?
Observamos un patrón claro: los sectores más afectados son aquellos que combinan alto valor de datos y elevada interconectividad.
En 2025, Unit 42 ha identificado como principales objetivos de ataques vía cadena de suministro en Europa principalmente a los siguientes sectores industriales: Alta tecnología y servicios financieros, por la concentración de información sensible y su rol como nodos críticos dentro del tejido empresarial; Firmas legales y de servicios profesionales, que actúan como custodios de información estratégica de grandes corporaciones y mantienen múltiples integraciones digitales y marcas de lujo, donde el objetivo final suele ser acceder a datos de clientes de alto patrimonio.
En todos los casos, el atacante no necesariamente busca al proveedor por sí mismo, sino por su posición dentro de la red de confianza.
¿El modelo Zero Trust es suficiente para abordar el riesgo de terceros o necesita evolucionar?
Zero Trust es fundamental, pero no es suficiente si se aplica únicamente dentro de los límites de la organización. El principio de “nunca confiar, siempre verificar” debe extenderse a identidades externas, accesos de terceros, integraciones API, dependencias SaaS y entornos híbridos, porque el reto ya no es solo controlar el acceso interno, sino gestionar una confianza distribuida en entornos altamente interconectados. En un contexto en el que cerca del 30% de los ciberataques analizados globalmente en 2024 se originaron en terceros-el doble que el año anterior-el riesgo ya no puede abordarse desde una lógica perimetral.
Gestionar el riesgo de terceros exige, al menos, tres pilares adicionales: visibilidad completa de las dependencias digitales, evaluación continua y dinámica del riesgo, y capacidad real de extender controles de seguridad más allá de la organización. La ciberseguridad debe diseñarse con lógica de ecosistema, no de silos.
Se empieza a hablar de “altruismo cibernético”. ¿En qué consiste exactamente este concepto?
El altruismo cibernético es una estrategia pragmática basada en la interdependencia digital. Parte de una realidad incuestionable: en un ecosistema interconectado, el riesgo es compartido. Si un proveedor crítico es vulnerable, esa vulnerabilidad impacta directamente en la organización principal.
Por ello, el altruismo cibernético propone que las empresas con mayor capacidad, normalmente aquellas con más recursos y mayor exposición reputacional, extiendan herramientas, conocimientos y controles de nivel enterprise hacia sus proveedores más vulnerables.
Esto puede traducirse en compartir inteligencia de amenazas, facilitar herramientas seguras de colaboración, ofrecer formación especializada o integrar servicios gestionados que eleven el nivel mínimo de protección del conjunto.
En un entorno regulatorio cada vez más exigente, como demuestra la directiva europea NIS2, que obliga a sectores críticos a gestionar riesgos de proveedores, o las nuevas iniciativas legislativas en Reino Unido y EEUU, la resiliencia de la cadena ya no es opcional.
¿Existe riesgo de que la exigencia de altos estándares de seguridad excluya a pequeños proveedores del mercado?
Existe ese riesgo si los estándares se aplican de forma rígida y desproporcionada.
Sin embargo, la alternativa no puede ser rebajar el nivel de protección. La solución pasa por un enfoque progresivo y colaborativo: establecer requisitos mínimos claros: autenticación multifactor, gestión de vulnerabilidades, copias de seguridad robustas y acompañar su implementación.
Las grandes organizaciones pueden facilitar esta transición mediante modelos de servicios compartidos, incentivos contractuales o extensión de plataformas de seguridad. De esta forma, no se excluye al pequeño proveedor, sino que se fortalece su competitividad y la solidez del ecosistema.
¿Estamos ante una nueva responsabilidad ampliada del CISO hacia el ecosistema completo?
Sí, el rol del CISO podríamos decir que está evolucionando de gestor de seguridad interna a orquestador del riesgo extendido.
Hoy debe tener visibilidad no solo sobre los activos propios, sino sobre las dependencias digitales críticas, los niveles de exposición de terceros y las posibles rutas de acceso indirectas. Esto implica coordinación estrecha con compras, legal, operaciones y dirección ejecutiva.
La gestión del riesgo de terceros ya no es un ejercicio puntual de auditoría, sino un proceso continuo. En la economía digital, la seguridad es transversal y estratégica, y el CISO se convierte en una figura clave para garantizar la resiliencia del conjunto del ecosistema empresarial.
