Bruno Durand
Durante años, la ciberseguridad se ha estado abordando como un reto técnico: proteger los sistemas, reforzar las infraestructuras y salvaguardar los datos. Hoy, esa visión ya no es suficiente. Los recientes ataques a la cadena de suministro han demostrado que el riesgo cibernético ha cambiado de naturaleza: ya no se limita al perímetro interno de la organización, sino que se externaliza a través de proveedores tecnológicos sobre los que las empresas tienen un control muy limitado.
Las organizaciones modernas dependen de decenas -a veces de centenares- de proveedores: suministradores SaaS, Cloud, integradores, bibliotecas open source… Esta dependencia ha convertido la cadena de suministro digital en un vector de ataque prioritario y en un punto ciego de la gobernanza de TI.
España, contexto preocupante
El contexto español es preocupante. Según los datos publicados por INCIBE en febrero de 2026, su CERT gestionó más de 122.000 incidentes de ciberseguridad durante 2025, un 26% más que en 2024. Y aunque el último informe State of Ransomware de Sophos desvela que las organizaciones españolas están mejor preparadas para responder a los ataques de ransomware, el coste promedio de recuperación -sin incluir el pago del rescate, pero incluyendo los costes de inactividad- se sitúa en ceca del millón de euros.
Casos como el sufrido por El Corte Inglés -víctima de un ataque a su cadena de suministro que expuso datos personales de titulares de sus tarjetas de compra- o los distintos incidentes que afectaron a Telefónica dando como resultado exfiltración de datos el pasado año, muestran que ninguna organización, por grande o protegida que esté, es inmune cuando el vector de entrada llega a través de un proveedor.
Cuando la dependencia se convierte en vulnerabilidad
Los atacantes lo saben bien: comprometer a un proveedor estratégico es a menudo más eficaz que atacar directamente a una empresa bien protegida. Cuando se detecta una brecha en un editor SaaS con altos privilegios, en una plataforma de identidad o en una solución de monitorización, las organizaciones cliente se encuentran en una posición crítica: no pueden corregir la vulnerabilidad por sí mismas ni obtener visibilidad completa sobre el incidente. El riesgo deja de ser un problema de protección interna para convertirse en un riesgo de dependencia operativa, con impacto directo sobre la continuidad del negocio.
En junio de 2025, el proveedor alemán de logística Gebrüder Weiss sufrió un ataque de ransomware que interrumpió sus plataformas cloud utilizadas por cientos de empresas en toda Europa, incluyendo sectores como el automovilístico y el farmacéutico. Los datos sensibles no estaban directamente expuestos, pero las paradas de producción y los retrasos de entrega demostraron que el nivel de acceso de un proveedor puede generar un impacto mucho mayor que la mera exposición de información.
Repensar la gestión del riesgo de terceros
El problema de fondo es que la gestión del riesgo del proveedor sigue apoyándose en mecanismos formales -cuestionarios, auditorías, certificaciones…- que evalúan la conformidad más que la resiliencia real. Esta aproximación no mide lo que verdaderamente importa en una crisis: la rapidez de detección, la calidad de la comunicación y la efectividad de la respuesta.
A esto se suma la mala clasificación de los proveedores críticos. Muchas organizaciones los catalogan según la sensibilidad de los datos que gestionan, cuando el factor determinante debería ser el nivel de acceso y de privilegios sobre los sistemas corporativos. Y el auge de la ingeniería social potenciada por IA -phishing dirigido, deepfakes, ataques de voz-…- facilita cada vez más la captura de cuentas con altos privilegios, también en el lado del proveedor.
La resiliencia de la cadena de suministro se ha convertido así en un criterio estratégico de competitividad. Las organizaciones más maduras no buscan la ausencia total de vulnerabilidades, sino socios capaces de reaccionar rápidamente, ser transparentes ante los incidentes y mejorar de forma continua.
La adopción de enfoques Zero Trust extendidos a los partners tecnológicos, la integración de la IA en la detección y respuesta a incidentes y la evolución regulatoria -especialmente a través de la directiva NIS2- ofrecen nuevos pilares para transformar este riesgo en una ventaja operativa. La pregunta ya no es si la cadena de suministro será atacada, sino si la organización estará en condiciones de responder cuando ocurra.
Bruno Durand es vicepresidente de Ventas para el Sur de Europa en Sophos.
