La inversión en seguridad de proveedores como estrategia clave contra ciberataques

A lo largo de mis siete años de experiencia evaluando la evolución de las infraestructuras tecnológicas y las estrategias de protección digital, he documentado cómo el perímetro de seguridad de las empresas ha dejado de existir en su forma tradicional. Hoy en día, blindar los sistemas internos resulta insuficiente si las puertas traseras quedan expuestas a través de las redes de terceros. Ante el alarmante aumento de los ataques dirigidos a la cadena de suministro, una reciente investigación de Kaspersky revela un dato contundente: casi siete de cada diez empresas están dispuestas a invertir financieramente en la seguridad digital de sus contratistas. Esta decisión busca reducir drásticamente su exposición a incidentes cibernéticos que podrían paralizar sus operaciones principales.

El informe detalla que el 69% de las organizaciones encuestadas considera destinar presupuesto a la protección de sus proveedores para fortalecer su propia resiliencia cibernética. Aún más revelador es el hecho de que un 25% de las empresas ya se encuentra ejecutando estas inversiones de forma activa. Este hallazgo evidencia un cambio estructural en la manera en que los equipos directivos entienden la ciberseguridad corporativa. Los socios comerciales y proveedores de servicios ya no son percibidos como entidades aisladas o actores externos; actualmente, forman parte integral de un ecosistema interconectado donde una vulnerabilidad ajena tiene el potencial de comprometer toda la red corporativa.

El crecimiento de las amenazas en la cadena de suministro

Este cambio de paradigma ocurre en respuesta directa a la escalada de incidentes de alto impacto. Durante el último año, los ataques a la cadena de suministro afectaron a casi una de cada tres empresas a nivel global. Paralelamente, las vulneraciones basadas en las relaciones de confianza impactaron a una de cada cuatro compañías en el mercado. En este complejo escenario, las organizaciones se han visto obligadas a reconsiderar y rediseñar sus estrategias de protección perimetral.

Ahora se asume como un hecho técnico ineludible que el nivel de riesgo digital de una compañía es directamente proporcional al nivel de seguridad del contratista más débil que posea acceso a su infraestructura, plataformas de gestión o sistemas confidenciales.

Tendencias de adopción global y cofinanciación de seguridad

La disposición del mercado para asumir e invertir en la seguridad de terceros varía según la región, mostrando picos de interés sobresalientes en economías de alto desarrollo tecnológico. Los datos indican que esta voluntad de inversión es especialmente alta en India, alcanzando un 83%. Le siguen de cerca mercados como Indonesia y Rusia, ambos con un 80%, y Brasil con un sólido 76%. En estas regiones geográficas se observa también un nivel de confianza superior en los contratistas, lo que se traduce en un volumen de accesos a sistemas corporativos que se sitúa por encima del promedio global.

Mercados que lideran la ejecución de presupuestos compartidos

Pasar de la intención a la acción requiere una madurez operativa y financiera significativa. A nivel mundial, un 25% de las empresas ya ha implementado modelos técnicos y comerciales para compartir los costos de seguridad con sus contratistas. Al segmentar esta métrica, la práctica registra sus mayores niveles de adopción en mercados específicos: Hong Kong y Taiwán lideran con un 33%, seguidos por España, que también alcanza un 33%, mientras que Turquía y Vietnam registran un 31% de adopción respectivamente.

La visión técnica de los equipos de respuesta a incidentes

Eduardo Chavarro, director para Américas del Equipo Global de Respuestas a Incidentes en Kaspersky, resume esta transición operativa con gran precisión. Según el experto, las organizaciones están comprendiendo que su nivel real de protección ya no depende únicamente de las políticas implementadas dentro de sus propios centros de datos, sino del nivel de madurez cibernética de todos los terceros con los que operan.

En un entorno donde múltiples proveedores, contratistas y socios estratégicos mantienen un acceso persistente a sistemas de facturación, datos de clientes o procesos industriales críticos, cualquier brecha en ese tejido digital se convierte en un riesgo directo e inminente para la continuidad del negocio. Chavarro enfatiza que compartir capacidades técnicas, estándares de la industria y recursos financieros no debe interpretarse como una simple medida de apoyo institucional. Por el contrario, se trata de una decisión estratégica y calculada para eliminar puntos ciegos, fortalecer la resiliencia operativa y contener amenazas avanzadas que se propagan rápidamente a través de ecosistemas corporativos altamente interconectados.

Recomendaciones para mitigar vulnerabilidades externas

Para reducir de forma efectiva los riesgos inherentes a la cadena de suministro y asegurar las relaciones de confianza, es imperativo que las empresas transiten hacia modelos de evaluación rigurosos. Basado en las recomendaciones técnicas de Kaspersky, existen protocolos de ingeniería de seguridad que deben integrarse en la arquitectura empresarial:

• Colaboración activa y transparente: Resulta vital trabajar estrechamente con los proveedores para elevar sus controles de seguridad. Este esfuerzo conjunto fortalece la confianza operativa y transforma la protección de los datos en una prioridad tecnológica compartida.
• Evaluaciones exhaustivas previas a la contratación: Antes de firmar cualquier acuerdo comercial o habilitar accesos a la red, es crucial evaluar el nivel de madurez del contratista. Este proceso de auditoría debe incluir una revisión profunda de sus políticas de ciberseguridad, un historial documentado de incidentes pasados y la validación de su cumplimiento frente a estándares internacionales.
• Pruebas técnicas para software y servicios en la nube: No basta con auditorías documentales. Se recomienda exigir la recopilación de datos sobre la gestión de vulnerabilidades, resultados de pruebas de penetración (pentesting) e implementar, cuando sea viable, pruebas dinámicas de seguridad de aplicaciones (DAST) para garantizar que solo el código resiliente y depurado ingrese a la infraestructura de la empresa.
• Implementación de requisitos contractuales estrictos: Los contratos deben incorporar cláusulas inflexibles sobre la seguridad de la información. Esto abarca el derecho a realizar auditorías periódicas, la obligatoriedad de cumplir con las políticas internas de la organización contratante y protocolos de notificación inmediata en caso de incidentes.
• Despliegue de soluciones de monitoreo industrial: Para los entornos de misión crítica, herramientas especializadas como Kaspersky Industrial CyberSecurity son fundamentales. Estas plataformas de software permiten ganar visibilidad total sobre las redes de Tecnología Operativa (OT), detectar anomalías de tráfico en tiempo real y reducir casi a cero el riesgo de que un código malicioso proveniente de un proveedor logre comprometer la operación física de la planta o empresa.