La cadena de suministro se ha convertido en uno de los puntos más frágiles de la ciberseguridad empresarial, pero el problema ya no es solo técnico. También es humano. Las empresas dependen de decenas de proveedores de software, servicios cloud, integradores, consultoras y contratistas con acceso a sistemas internos. Sin embargo, muchas no tienen suficientes profesionales cualificados para revisar, monitorizar y gobernar ese entramado de relaciones digitales.
El último informe global de Kaspersky, Supply chain reaction: securing the global digital ecosystem in an age of interdependence, pone cifras a una tensión que muchos equipos de seguridad ya conocen de cerca. El 42 % de las organizaciones identifica la falta de personal cualificado como uno de los principales obstáculos para protegerse frente a ataques de cadena de suministro y relaciones de confianza. El mismo porcentaje señala que otras prioridades de seguridad absorben los recursos disponibles.
El dato es importante porque los ataques a la cadena de suministro no son una amenaza marginal. Según el estudio, fueron el tipo de ciberataque más sufrido por las empresas durante los últimos 12 meses, con un 31 % de organizaciones afectadas. Los ataques basados en relaciones de confianza alcanzaron al 25 %. Pese a ello, solo el 9 % de las compañías sitúa la cadena de suministro entre las amenazas más peligrosas, una desconexión que muestra hasta qué punto el riesgo se sigue subestimando.
Muchas dependencias, pocos equipos para controlarlas
La empresa moderna ya no funciona como una isla. Usa software externo, plataformas SaaS, nubes públicas, servicios gestionados, APIs, herramientas de colaboración, proveedores de mantenimiento, partners de desarrollo y contratistas especializados. Cada una de esas piezas puede ser necesaria para operar, pero también amplía la superficie de ataque.
Kaspersky calcula que, de media, las compañías encuestadas trabajan con más de 60 proveedores de hardware y software. Además, los contratistas con acceso a sistemas internos se mueven habitualmente entre 25 y 99, con una media de 72. Ese volumen exige inventario, revisión de permisos, controles de acceso, monitorización, auditorías, cláusulas contractuales, planes de respuesta y seguimiento continuo.
El problema es que muchos equipos de seguridad no dan abasto. La misma plantilla que debe responder a ransomware, phishing, vulnerabilidades críticas, incidentes cloud, cumplimiento normativo, seguridad endpoint, identidad y amenazas con IA tiene que asumir también la evaluación de terceros. En la práctica, la seguridad de proveedores suele quedar atrapada entre compras, legal, IT y el SOC, sin una función suficientemente dotada para gestionarla de extremo a extremo.
| Indicador del informe | Dato destacado |
|---|---|
| Empresas afectadas por ataques de cadena de suministro | 31 % |
| Empresas afectadas por ataques a relaciones de confianza | 25 % |
| Organizaciones que necesitan reforzar su protección | 85 % |
| Empresas que consideran eficaces sus medidas actuales | 15 % |
| Proveedores de hardware y software por empresa | Más de 60 de media |
| Contratistas con acceso a sistemas internos | 72 de media |
| Empresas que citan falta de personal cualificado | 42 % |
La falta de talento se nota en controles básicos. Solo el 38 % de las organizaciones usa autenticación de doble factor como medida frente a riesgos de cadena de suministro y relaciones de confianza. El 37 % incluye requisitos de seguridad en contratos con proveedores y el 35 % revisa de forma periódica el nivel de ciberseguridad de sus contratistas. Son prácticas conocidas, pero no están implantadas de manera general.
Más preocupante aún: solo el 28 % evalúa la fiabilidad de los proveedores antes de trabajar con ellos y apenas el 18 % comprueba específicamente su nivel de ciberseguridad. Muchas compañías siguen analizando a sus terceros por precio, solvencia, reputación o capacidad contractual, pero no por la seguridad real de los sistemas que van a conectar a su infraestructura.
La escasez de profesionales convierte el riesgo en deuda acumulada
La falta de especialistas no significa solo que algunas tareas se hagan más despacio. Significa que se acumula deuda de seguridad. Un proveedor entra sin revisión suficiente. Una cuenta de servicio conserva permisos demasiado amplios. Una integración no se documenta. Un acceso remoto queda activo después de terminar un proyecto. Una cláusula de notificación de incidentes no se incorpora al contrato. Un proveedor crítico no se reevalúa durante años.
Cada pequeño descuido puede parecer gestionable por separado. El problema aparece cuando se multiplican por decenas de proveedores y cientos de accesos. Ahí la cadena de suministro deja de ser una lista de terceros y se convierte en una red de confianza difícil de auditar.
El informe detecta otras barreras que agravan el problema. El 39 % de las organizaciones apunta a la falta de obligaciones legales de ciberseguridad en los contratos con proveedores, una carencia destacada también en España. El 32 % señala que el personal no especializado en seguridad no entiende bien estos riesgos. Esta combinación es peligrosa: faltan expertos, pero también falta cultura de seguridad en las áreas que compran, contratan y despliegan servicios.
Para un medio tecnológico, la lectura es clara. El mercado no necesita solo más herramientas. Necesita más perfiles capaces de operar esas herramientas, interpretar riesgos, negociar requisitos con proveedores y traducir controles técnicos a decisiones de negocio. La seguridad de la cadena de suministro exige conocimientos de identidad, cloud, redes, arquitectura, compliance, análisis de riesgos, gestión contractual y respuesta a incidentes.
Automatización sí, pero no como sustituto del criterio
La escasez de talento empuja a muchas empresas hacia soluciones más automatizadas: XDR, MXDR, NDR, inteligencia de amenazas, monitorización continua, scoring de terceros o servicios gestionados. Tiene sentido. En entornos con poca plantilla, externalizar parte de la detección, investigación y respuesta puede reducir tiempos y mejorar cobertura.
Pero la automatización no elimina el problema de fondo. Una herramienta puede detectar comportamiento anómalo, correlacionar eventos o vigilar credenciales comprometidas. No siempre puede decidir qué proveedor es crítico, qué acceso debe revocarse, qué cláusula falta en un contrato o qué dependencia debe aceptarse por motivos de negocio. Ahí sigue haciendo falta criterio humano.
Kaspersky recomienda una defensa por capas: evaluar a los proveedores antes de contratar, incluir obligaciones de seguridad en los contratos, aplicar mínimo privilegio y zero trust, reforzar la gestión de identidades, monitorizar de forma continua, mejorar la visibilidad de red, usar inteligencia sobre huella digital de terceros y desarrollar planes de respuesta específicos para incidentes de cadena de suministro.
| Área crítica | Qué requiere |
|---|---|
| Compras tecnológicas | Evaluación de ciberseguridad antes de contratar |
| Legal y compliance | Cláusulas de seguridad, auditoría e incidentes |
| IT y arquitectura | Inventario de integraciones y accesos |
| SOC | Monitorización de actividad de terceros |
| Identidad | Mínimo privilegio, MFA y revisión periódica |
| Dirección | Prioridad presupuestaria y gobierno del riesgo |
La clave está en no delegarlo todo en una checklist. Revisar un certificado ISO, pedir un pentest o leer una política de seguridad puede ser útil, pero no basta si después no hay monitorización, revisión de permisos y capacidad de respuesta. La seguridad de proveedores no es una foto fija antes de firmar un contrato. Es una disciplina continua.
La ciberseguridad como ventaja competitiva
Uno de los datos más interesantes del informe es que el 69 % de las organizaciones estaría dispuesto a compartir costes de ciberseguridad con sus contratistas si eso ayudara a garantizar mayor protección, y un 25 % ya lo hace. Esta idea refleja un cambio de mentalidad: en algunos casos, exigir seguridad a un proveedor crítico no será suficiente; habrá que ayudarle a alcanzarla.
Esto puede ser especialmente relevante para proveedores pequeños que prestan servicios esenciales a grandes compañías. Una pyme tecnológica puede tener mucho conocimiento especializado y poca capacidad para mantener un equipo de seguridad maduro. Si esa pyme se convierte en un eslabón crítico, la empresa cliente tiene dos opciones: asumir el riesgo o colaborar para reducirlo.
La ciberseguridad de la cadena de suministro pasará de ser un requisito de compliance a un criterio comercial. Las empresas que puedan demostrar buenas prácticas, transparencia y capacidad de respuesta tendrán ventaja. Ser un proveedor seguro empezará a pesar tanto como ser barato, rápido o funcional.
La falta de profesionales, por tanto, no es solo un problema interno de los departamentos de seguridad. Es una limitación para todo el ecosistema digital. Sin talento suficiente, las empresas no pueden evaluar bien a sus terceros, los proveedores no pueden cumplir requisitos cada vez más exigentes y los incidentes se propagan con más facilidad.
El informe de Kaspersky deja un mensaje incómodo para la industria: la cadena de suministro ya es uno de los principales vectores de ataque, pero las organizaciones siguen sin dedicarle el personal, los procesos y la prioridad que requiere. En un entorno donde todos dependen de todos, la escasez de talento en ciberseguridad no afecta solo a quien no consigue contratar. Afecta a toda la red.
Preguntas frecuentes
¿Por qué faltan profesionales de ciberseguridad en la gestión de proveedores?
Porque la seguridad de terceros exige perfiles capaces de combinar conocimientos técnicos, jurídicos, de riesgo, cloud, identidad, monitorización y respuesta a incidentes. Muchas empresas ya tienen esos equipos saturados con otras prioridades.
¿Qué riesgo supone no revisar bien a los proveedores?
Un proveedor con una cuenta comprometida, una mala configuración cloud, una vulnerabilidad sin parchear o permisos excesivos puede convertirse en vía de entrada hacia la empresa cliente.
¿Qué medidas básicas deberían aplicarse?
Inventario de proveedores y accesos, MFA, mínimo privilegio, cláusulas contractuales de seguridad, evaluación previa, monitorización continua y planes de respuesta que incluyan desconexión rápida de terceros.
¿La automatización puede compensar la falta de talento?
Puede ayudar, especialmente con XDR, MXDR, NDR e inteligencia de amenazas, pero no sustituye el criterio humano necesario para priorizar riesgos, negociar obligaciones y tomar decisiones de negocio.
Fuente: Open Security
