Por qué los piratas informáticos se dirigen a su cadena de suministro digital, no solo a sus sistemas

Los piratas informáticos buscan constantemente nuevas formas de acceder a las empresas y rara vez lo hacen por la puerta principal.
La ciberseguridad para la mayoría de las organizaciones todavía se centra en la seguridad del sistema interno y en la prevención del acceso no autorizado mediante medidas como firewalls, cifrado y capacitación de los empleados. Sin embargo, este enfoque supone que los atacantes intentan obtener acceso directo.
Depender de sus propios controles internos de ciberseguridad para proteger la información ya no es suficiente. A medida que las cadenas de suministro digitales se vuelven más complejas con un número cada vez mayor de proveedores involucrados, los atacantes ahora están eludiendo por completo los controles internos de las organizaciones. En cambio, están explotando las brechas en la red de proveedores confiables que ya tienen acceso legítimo a sistemas y datos.
Una serie de incidentes cibernéticos de alto perfil que afectaron a grandes empresas durante el año pasado han puesto de relieve la naturaleza disruptiva y costosa de estos ataques.
Espacio de coworking de TNW City: donde ocurre tu mejor trabajo
Un espacio de trabajo diseñado para el crecimiento, la colaboración y un sinfín de oportunidades de networking en el corazón de la tecnología.
Entonces, ¿cómo sucede, qué significa para las empresas y qué medidas se pueden tomar para reducir el riesgo?
¿Cómo entran los atacantes en la cadena de suministro digital?
En lugar de atacar directamente a las organizaciones, los piratas informáticos se dirigen cada vez más a proveedores y proveedores de servicios dentro de la cadena de suministro digital, incluidos sitios web o proveedores de software, plataformas de desarrollo y prueba o soluciones de almacenamiento de información. Estos terceros a menudo tienen acceso a sistemas, datos o redes, lo que los convierte en objetivos atractivos y áreas de riesgo graves que las organizaciones deben gestionar.
Los ataques a la cadena de suministro tienen como objetivo uno o más componentes que una organización necesita para entregar productos o servicios. Por ejemplo, los ataques pueden implicar una actualización de software malicioso, datos de inicio de sesión robados, un componente de código abierto vulnerable o una integración insegura entre sistemas.
En particular, los ataques a la cadena de suministro digital ocurren cuando los desarrolladores de software dependen de bibliotecas de terceros ampliamente utilizadas para agregar funcionalidad a sus aplicaciones. Si un atacante logra incrustar código malicioso en una de estas bibliotecas, cualquier desarrollador que luego lo integre en su software podría, sin saberlo, introducir una vulnerabilidad de seguridad en su producto.
En 2024, se introdujo una puerta trasera maliciosa en XZ Utils, una herramienta de compresión de código abierto de bajo nivel y ampliamente utilizada que se encuentra en muchos sistemas Linux. El ataque no se basa directamente en la piratería de sistemas, sino que explota la cadena de suministro. En el momento en que se descubrió el problema, las versiones afectadas aún no estaban ampliamente implementadas en entornos de producción. Sin embargo, se incluyeron en la versión de desarrollo de la distribución principal, lo que llevó a los mantenedores a reconstruir sus paquetes para abordar la vulnerabilidad. El científico informático Alex Stamos comentó que si la puerta trasera no era detectada, "le daría a sus creadores una clave maestra para cualquiera de los millones de computadoras en todo el mundo que ejecutan SSH".
Una vez que el producto, servicio o tecnología de un proveedor es vulnerado o comprometido, los atacantes pueden acceder y comprometer aún más los sistemas de la organización. Estos ataques a menudo pasan desapercibidos hasta que los sistemas se interrumpen, los datos se cifran o se roban, o se emiten demandas de rescate. En la puerta trasera XZ Utils, el código malicioso se descubrió sólo después de que un desarrollador notó un comportamiento de rendimiento anormal durante las pruebas de rutina.
La mayoría de las veces, cuando se descubre el ataque, el daño ya está hecho y el impacto empresarial puede ser significativo.
Implicaciones comerciales
El impacto más inmediato de un ciberataque suele ser financiero. Las demandas de rescate pueden ser sustanciales, especialmente cuando los atacantes se dan cuenta de que la interrupción ha afectado a múltiples clientes o servicios críticos. Incluso cuando no se paga ningún rescate, las empresas suelen terminar con altos costos asociados relacionados con la interrupción del negocio, la recuperación del sistema y la consultoría profesional, todo lo cual se suma al impacto financiero de un ciberataque.
Para las empresas digitales y basadas en plataformas, el tiempo de inactividad se traduce rápidamente en pérdida de ingresos, lo que exacerba el impacto financiero. En un caso reciente, una gran empresa orientada al consumidor (cooperativa) dijo que el ciberataque que sufrió en 2025 tuvo "impactos tanto financieros como operativos", lo que resultó en una pérdida de ingresos de al menos 206 millones de libras esterlinas.
Las implicaciones operativas pueden ser igualmente nefastas. Si un proveedor clave se desconecta o suspende el acceso a sus servicios para contener el ataque, las operaciones comerciales cesarán efectivamente. Es posible que las organizaciones no puedan procesar transacciones, completar pedidos o acceder a sistemas clave, lo que las obligará a realizar cargas de trabajo manuales. Después de un ciberataque en 2025, una empresa bien establecida y de buena reputación (Marks & Spencer) se vio obligada a suspender los pedidos en línea durante aproximadamente dos meses y durante ese tiempo tuvo que pasar al procesamiento manual. En lugar de apuntar a la infraestructura central de M&S, el ataque aprovechó una vulnerabilidad en MoveIt, una herramienta de transferencia de archivos empresarial comúnmente utilizada. Como resultado, se ha visto comprometida información confidencial relacionada tanto con empleados como con clientes, incluida información de contacto, información de nómina y, en ciertos casos, números de seguro nacional. Aunque no se creía que los detalles de pago se vieran afectados, la escala y la naturaleza de la infracción provocaron una respuesta formal al incidente, una revisión interna y la participación regulatoria de la Oficina del Comisionado de Información (ICO). El impacto financiero se estimó en 300 millones de libras esterlinas en pérdida de beneficios.
Sin embargo, las consecuencias más significativas y duraderas suelen ser las de reputación. Los clientes rara vez diferencian entre una empresa y sus proveedores cuando algo sale mal. Desde la perspectiva del cliente, el fracaso se experimenta como una única interrupción del servicio, independientemente de quién recae en última instancia la responsabilidad. La confianza acumulada a lo largo de años puede perderse de la noche a la mañana, especialmente si la comunicación es lenta, defensiva o vaga. Recuperar esa confianza requiere mucho tiempo y dinero, y a menudo requiere una inversión sostenida en la participación del cliente, la mejora del servicio y la garantía de resiliencia futura frente a tales problemas. Aun así, el daño puede tener efectos a largo plazo en la fidelidad de los clientes, las ventas futuras y las relaciones comerciales.
El papel del control.
Los reguladores se centran cada vez más en la resiliencia de la cadena de suministro digital, lo que refleja el creciente reconocimiento de que la ciberseguridad no se limita a los controles internos de una organización. A medida que los ataques a la cadena de suministro se vuelven más comunes, los incidentes causados por terceros proveedores no se consideran eventos externos sino fallas de gobernanza, diligencia debida y supervisión continua por parte de la organización.
Este enfoque ya está bien establecido en el Reglamento General de Protección de Datos (GDPR), implementado en el Reino Unido mediante la Ley de Protección de Datos de 2018. Según el RGPD del Reino Unido, las organizaciones que actúan como controladores de datos son responsables de proteger los datos personales, incluso cuando el procesamiento de datos se subcontrata a terceros. Cualquier debilidad en los controles de ciberseguridad de un proveedor y cualquier violación de la protección de datos se consideran una cuestión de gobernanza para el responsable del tratamiento.
Por lo tanto, los responsables del tratamiento deben asegurarse de que sus encargados del tratamiento implementen medidas técnicas y organizativas adecuadas para proteger los datos personales e informar de cualquier violación de datos al responsable del tratamiento sin demoras indebidas. El incumplimiento de las obligaciones de una organización según el RGPD puede dar lugar a medidas reglamentarias, sanciones financieras y daños a la reputación empresarial.
A nivel de la UE, la legislación de la UE sobre inteligencia artificial adopta un enfoque similar a la inteligencia artificial. Se espera que las organizaciones que desarrollan, utilizan o dependen de sistemas de IA, incluidos los obtenidos de terceros, comprendan cómo funcionan esos sistemas, cómo están protegidos y qué riesgos introducen, particularmente cuando la IA se clasifica como de "alto riesgo" o está integrada en procesos comerciales críticos.
En la práctica, las organizaciones deberán asumir un papel más activo en la supervisión de las herramientas de inteligencia artificial y los servicios digitales utilizados en toda su cadena de suministro. Ya no basta simplemente con confiar en los proveedores para que gestionen los riesgos cibernéticos y de IA por ellos. Los reguladores esperan cada vez más que las organizaciones demuestren que comprenden sus dependencias digitales y pueden identificar dónde existen riesgos graves. Además, deben contar con controles efectivos para gestionar esos riesgos antes de que ocurran.
Debe ser parte de una cadena de suministro digital más amplia y un marco de gestión de riesgos de ciberseguridad que las organizaciones ahora deben considerar implementar y documentar de manera proactiva. Además, la organización debe llevar a cabo una sólida diligencia debida con los proveedores y un seguimiento continuo y tener planes de respuesta claramente definidos.
Estrategias de mitigación
Mitigar los ataques a la cadena de suministro es difícil porque una empresa debe confiar no sólo en todos los proveedores con los que trabaja directamente, sino también en los proveedores que los suministran. Como tal, las empresas no pueden eliminar por completo el riesgo de la cadena de suministro.
Sin embargo, el riesgo se puede reducir mediante medidas proactivas, que incluyen:
Exija medidas de seguridad sólidas: realice la debida diligencia con cualquier proveedor potencial antes de lanzar sus servicios y demuestre medidas de seguridad prácticas que incluyan gestión de parches, capacitación de empleados, controles de acceso y autenticación multifactor.
Realizar evaluaciones de riesgos periódicas: identificar vulnerabilidades en toda la cadena de suministro y evaluar el impacto potencial de las interrupciones, garantizando que los esfuerzos de mitigación se prioricen de manera efectiva.
Revisión de acuerdos con terceros: asegúrese de que el acuerdo incluya términos claros y relevantes sobre las responsabilidades de cada parte. Considere a cada proveedor caso por caso, en lugar de implementar un conjunto de requisitos de seguridad modelo. Algunas cuestiones clave a considerar incluyen la notificación de incidentes, la responsabilidad, los niveles de servicio, las obligaciones de protección de datos y los derechos de auditoría.
Sistema de Pruebas: Pruebas de cualquier sistema desarrollado para la organización por un tercero.
Brindar soporte: Desarrollar y brindar orientación, herramientas y procesos de soporte adecuados para permitir una gestión efectiva de la cadena de suministro, brindando soporte y asistencia cuando los incidentes de seguridad puedan afectar el negocio o la cadena de suministro en general.
Desarrollo de planes de respuesta a incidentes: desarrolle y actualice periódicamente planes de respuesta a incidentes que cubran claramente los ataques de terceros, incluidas las decisiones relativas a las demandas de rescate, las comunicaciones con los clientes y las notificaciones regulatorias.
Aumentar la conciencia sobre la seguridad: explicar los riesgos de seguridad en un lenguaje sencillo, fomentar la capacitación del personal clave (interno y externo), promover y adoptar el intercambio de información de seguridad.
Invierta en seguros: el ciberseguro puede ayudar a reducir las pérdidas financieras. Los proveedores externos también deben tener un seguro adecuado.
A medida que las cadenas de suministro digitales se expanden, la ciberseguridad ya no es sólo una cuestión de TI. Una prueba de qué tan bien las organizaciones comprenden y gestionan los riesgos que plantea su dependencia de proveedores, plataformas y tecnologías.
Los acontecimientos recientes muestran que las debilidades en las cadenas de suministro digitales pueden generar rápidamente importantes pérdidas financieras, operativas y de reputación. Los reguladores ahora esperan que las organizaciones anticipen y gestionen estos riesgos como parte de una gobernanza eficaz en lugar de reaccionar una vez que se produce una interrupción.
Las organizaciones que adopten un enfoque proactivo, en lugar de esperar a que un incidente revele una vulnerabilidad, estarán en mejores condiciones para proteger sus operaciones, cumplir con las expectativas regulatorias y mantener la confianza de los clientes y las partes interesadas.
Si tiene preguntas sobre la preparación y la gestión de eventos de la cadena de suministro digital, o desea revisar sus acuerdos contractuales con proveedores clave, comuníquese con Michaela Britton o Joanne Vangdesan y ellos se comunicarán con uno de los expertos de Pennington Manches Coopers LLP.




