Los ataques a la cadena de suministro se convierten en la principal amenaza para las empresas
- Seguridad
Un estudio global de Kaspersky revela que casi un tercio de las organizaciones sufrió un ataque de supply chain en los últimos 12 meses, superando a cualquier otro tipo de ciberamenaza. España se sitúa entre los países con mayor exposición, con un 40% de compañías afectadas.
Los ataques a la cadena de suministro se han consolidado como la amenaza más frecuente para las empresas en el último año, según un estudio global realizado por el centro de investigación de mercado interno de Kaspersky. El informe muestra que el 31% de las empresas de todo el mundo sufrió un ataque de este tipo, una cifra que supera a cualquier otra categoría de ciberamenaza. La exposición es especialmente elevada en mercados como México (43%), China (40%) y España (40%), donde el ecosistema digital altamente interconectado amplifica los riesgos.
El análisis también refleja que las grandes organizaciones son las más afectadas, con un 36% de incidentes reportados. Este grupo gestiona de media alrededor de 100 proveedores de software y hardware, lo que multiplica la superficie de ataque y aumenta la probabilidad de sufrir brechas a través de terceros. Además, estas empresas reconocen conceder acceso a sus sistemas a más de 130 contratistas, lo que incrementa la exposición a ataques basados en relaciones de confianza, otro vector que afectó al 25% de las compañías a nivel global.
A pesar de su prevalencia, estas amenazas siguen infravaloradas. Solo el 9% de las organizaciones considera los ataques a la cadena de suministro como su principal preocupación, y apenas el 8% sitúa los ataques basados en relaciones de confianza entre sus prioridades. Esta brecha entre riesgo real y percepción estratégica evidencia, según Kaspersky, que muchas empresas reconocen el problema en teoría, pero no actúan en la práctica.
Sergey Soldatov, Head of Security Operations Center en Kaspersky, comenta que “cada conexión, cada proveedor, cada integración se convierte en parte de nuestro perfil de seguridad”. A medida que las empresas amplían su red de partners y automatizan procesos, su exposición a ataques crece proporcionalmente.
Falta de preparación y medidas insuficientes
Aunque la mayoría de los expertos reconoce que un ataque a la cadena de suministro puede interrumpir operaciones críticas, pocas organizaciones lo consideran una prioridad estratégica. Kaspersky advierte que esta falta de alineación entre riesgo y acción puede comprometer la resiliencia empresarial en un entorno donde los incidentes se propagan rápidamente a través de proveedores y socios tecnológicos.
Para mitigar estos riesgos, la compañía recomienda evaluar exhaustivamente a los proveedores antes de cerrar acuerdos, revisando políticas de seguridad, incidentes previos y cumplimiento normativo; establecer requisitos contractuales de seguridad y realizar auditorías periódicas; adoptar principios como least privilege, zero trust e identidades robustas para limitar el impacto de una brecha; implementar monitorización continua mediante soluciones como XDR o MXDR; diseñar planes de respuesta específicos para ataques de supply chain, incluyendo la desconexión inmediata de proveedores comprometidos; y colaborar activamente con proveedores para reforzar la seguridad en ambos lados de la relación.
