La cadena de suministro, el gran desafío pendiente de la ciberseguridad empresarial

Imagina que tu empresa tiene actualizados todos sus sistemas, sus contraseñas son robustas, ha formado a su equipo en ciberseguridad y cuenta con un cortafuegos de última generación. Y aun así, sufre un ciberataque. ¿Cómo es posible? La respuesta está en un lugar donde muchas organizaciones todavía no miran: sus proveedores.

El eslabón más débil no siempre está en casa

Los ciberdelincuentes acceden cada vez más a las organizaciones no a través de sus sistemas principales, sino mediante sus proveedores más vulnerables. Es lo que se conoce como ataque a la cadena de suministro, y los datos son difíciles de ignorar: más del 28% de los casos analizados en Europa durante el último año tuvieron su origen en vulnerabilidades de terceros, según Unit 42, el equipo especializado en inteligencia de amenazas de Palo Alto Networks.

Dicho de otra forma: uno de cada cuatro ciberataques en Europa no entra por tu puerta, sino por la de alguien a quien tú has dado acceso. Y la cifra real podría ser aún mayor, ya que muchos ataques que comienzan a través de proveedores externos no se detectan ni se clasifican como incidentes de cadena de suministro, lo que dificulta conocer la verdadera dimensión del problema.

Una amenaza que va en aumento, y muy rápido

Si crees que este problema es nuevo o puntual, los datos de 2025 lo desmienten: los ciberataques a la cadena de suministro se duplicaron en 2025 respecto al año anterior, alcanzando un coste medio de 4,33 millones de euros por incidente.

Las organizaciones tardan una media de 254 días en detectar y contener una brecha originada en la cadena de suministro, lo que amplifica enormemente el daño operativo, económico y reputacional. Casi nueve meses con una brecha abierta, en muchos casos sin saberlo.

Y España no es ajena a esta tendencia. El 40% de las empresas españolas están expuestas a este tipo de ataques, una cifra muy superior a la media global.

El problema de fondo en la ciberseguridad: los proveedores no siempre están bien protegidos

El riesgo se multiplica por la forma en que las empresas trabajan hoy. Las grandes organizaciones gestionan de media unos 100 proveedores de hardware y software, y conceden acceso a sus sistemas a más de 130 contratistas. Cada uno de esos accesos es una potencial vía de entrada.

Pero incluso siendo conscientes del riesgo, las empresas no están reaccionando con la urgencia necesaria. Solo el 35% de las empresas realiza revisiones periódicas de la postura de ciberseguridad de sus proveedores, lo que deja a cerca de dos tercios de las organizaciones sin visibilidad continua sobre la seguridad de sus socios.

Y hay otro dato llamativo: solo el 9% de las empresas a nivel global sitúa los ciberataques a la cadena de suministro como su principal preocupación, a pesar de ser el tipo de incidente más frecuente. El riesgo se conoce, pero no se gestiona.

¿Qué modalidades de ataque son las más habituales?

Entre las modalidades más frecuentes destacan los ataques de envenenamiento del software —que alteran el código o las dependencias antes de que el producto llegue al usuario final—, la manipulación de hardware durante la fabricación o el transporte, y los ataques a procesos empresariales que explotan la relación entre una empresa y sus proveedores para introducir contenido malicioso en actividades aparentemente legítimas.

A esto se suma la irrupción de la inteligencia artificial como herramienta en manos de los atacantes. El uso de IA, junto con la creciente conectividad y la dependencia excesiva de terceros vulnerables, está generando lo que los expertos denominan una «tormenta perfecta».

Lo que las pymes deben hacer (y suelen posponer)

El impacto no es exclusivo de las grandes corporaciones. Las compañías más vulnerables son precisamente aquellas con entre 100 y 2.000 empleados, especialmente en sectores como tecnología, telecomunicaciones y servicios financieros. Las pymes, con menos recursos para auditar a sus proveedores y con contratos que a menudo no incluyen cláusulas de seguridad, son un objetivo especialmente atractivo.

Ante este escenario, los expertos coinciden en varias recomendaciones clave:

• Auditar a los proveedores con acceso a sistemas críticos, igual que se auditan los propios sistemas internos.
• Incluir obligaciones de ciberseguridad en los contratos con terceros. El 39% de los encuestados reconoce que sus contratos con proveedores no incluyen ninguna obligación en materia de ciberseguridad.
• Adoptar arquitecturas Zero Trust, que asumen que ningún acceso es seguro por defecto, aunque provenga de un partner habitual.
• Reducir los tiempos de detección mediante sistemas de monitorización continua, ya que casi nueve meses es un plazo inaceptable para identificar una brecha.
• Contar con un plan de continuidad de negocio que contemple específicamente escenarios de ataque a terceros.

La ciberseguridad ya no es solo tu problema: es el de todo tu ecosistema

La digitalización ha traído enormes ventajas a las empresas: procesos más ágiles, colaboración sin fronteras, acceso a servicios especializados. Pero también ha creado una interdependencia que, mal gestionada, se convierte en una vulnerabilidad estructural.

Proteger tu empresa en 2026 ya no consiste únicamente en poner barreras propias. Consiste en conocer a fondo a quién le das acceso, bajo qué condiciones y con qué garantías. Porque el ataque que más duele no siempre es el que viene de fuera: a veces llega de la mano de alguien en quien confiabas.