Foto: cortesía. Portal ERP LATAM.
Estudio global de Kaspersky revela que casi una de cada tres empresas se enfrentó a una amenaza en la cadena de suministro durante el último año, con una exposición al riesgo de la cadena de suministro superior al promedio mundial.
Según datos recientes del Foro Económico Mundial, casi dos tercios (65%) de las grandes empresas indican que las vulnerabilidades de terceros y de la cadena de suministro son sus mayores obstáculos para la ciberresiliencia en el actual panorama digital interconectado. Para evaluar la vulnerabilidad de las organizaciones a esta amenaza, el centro de investigación de mercado interno de Kaspersky encargó un estudio global que examina la evolución de estos riesgos y el grado de exposición de las empresas de todo el mundo.
Según la encuesta encargada por Kaspersky, el 31 % de las empresas se vieron afectadas por un ataque a la cadena de suministro en los últimos 12 meses, una cifra superior a la de cualquier otro tipo de ciberamenaza. La amenaza a la cadena de suministro se centra especialmente en las organizaciones más conectadas, donde las grandes empresas reportan la mayor tasa de ataques (36 %), en comparación con sus contrapartes de tamaño pequeño y mediano.
Cabe destacar que es el mismo grupo de empresas de alto nivel el que informa tener el mayor número promedio de proveedores de software y hardware, gestionando un promedio de alrededor de 100 proveedores, lo que evidentemente crea una amplia superficie de ataque potencial. Además, las organizaciones admiten otorgar acceso a sus sistemas a docenas de contratistas: mientras que las empresas de bajo nivel tienen un promedio de unos 50 contratistas, para las empresas de alto nivel la cifra se dispara a más de 130, lo que facilita otro riesgo cibernético derivado de la interdependencia del espacio digital: los ataques de relaciones de confianza, durante los cuales los atacantes podrían explotar conexiones legítimas entre organizaciones.
Te puede interesar: La cadena de suministro aún presenta deficiencias de gestión de cara a 2026
Durante el último año, los ataques a las relaciones de confianza se situaron entre las 5 amenazas más comunes, afectando a una cuarta parte (25%) de las empresas a nivel mundial. Los ataques más frecuentes que abusaron de las conexiones existentes entre organizaciones se produjeron en Turquía (35%), Singapur (33%) y México (31%).
Los ataques a la cadena de suministro y a las relaciones de confianza se encuentran entre las amenazas más comunes; sin embargo, la encuesta mostró que muchos líderes tienden a subestimarlos. Al solicitarles que clasificaran las amenazas según su aparente peligrosidad, las organizaciones se centraron en ataques complejos como las amenazas persistentes avanzadas (APT), el ransomware o las amenazas internas, en lugar de las que realmente enfrentan con mayor frecuencia.
Solo el 9 % de las empresas a nivel mundial clasificaron los ataques a la cadena de suministro como su principal preocupación, un nivel de atención sorprendentemente bajo considerando la frecuencia con la que estas amenazas interrumpen sus operaciones. De igual manera, solo el 8 % mencionó los ataques a las relaciones de confianza.
Además, la mayoría de los expertos comprenden que una violación de la cadena de suministro o de una relación de confianza puede interrumpir las operaciones (más de la mitad de los encuestados la identificaron como la principal consecuencia de dichos ataques), pero pocos consideran estas amenazas como una prioridad. Esta brecha demuestra que el riesgo se reconoce en teoría, pero no se actúa en la práctica.
Al mismo tiempo, los ataques a la cadena de suministro se clasifican entre las 3 ciberamenazas más peligrosas con mucha más frecuencia que el promedio mundial por parte de empresas de Singapur (38%), Brasil (36%), Colombia (36%) y México (35%).
“Operamos en un ecosistema digital donde cada conexión, cada proveedor, cada integración forma parte de nuestro perfil de seguridad. A medida que las organizaciones se interconectan más, su exposición a ataques también aumenta. En este contexto, proteger a la empresa moderna exige un enfoque integral que fortalezca no solo los sistemas individuales, sino toda la red de relaciones que mantiene la actividad empresarial”, comentó Sergey Soldatov, director del Centro de Operaciones de Seguridad de Kaspersky.
Solo implementando medidas preventivas en toda la organización y abordando estratégicamente las asociaciones con proveedores y contratistas, las empresas pueden reducir los riesgos de la cadena de suministro y garantizar la resiliencia de su negocio.
Para mitigar dichos riesgos, Kaspersky recomienda lo siguiente:
· Evaluar a fondo a los proveedores antes de firmar un acuerdo. Revise sus políticas de ciberseguridad, la información sobre incidentes anteriores y su cumplimiento con los estándares de seguridad del sector. Para software y servicios en la nube, también se recomienda revisar los datos de vulnerabilidades y las pruebas de penetración.
· Implementar los requisitos contractuales de seguridad. Realice auditorías de seguridad periódicas y garantice el cumplimiento de las políticas de seguridad y los protocolos de notificación de incidentes pertinentes de su organización.
· Adoptar medidas tecnológicas preventivas. Implemente prácticas de seguridad como el principio de mínimo privilegio, la confianza cero y la gestión de identidades madura para minimizar los daños en caso de vulneración de la seguridad del proveedor.
· Garantizar una monitorización continua. Utilice soluciones como XDR o MXDR, de la línea de productos Kaspersky Next, para la monitorización de la infraestructura en tiempo real y la detección de anomalías en el software y el tráfico de red, según la disponibilidad de personal interno capaz de realizar dicha monitorización.
· Desarrollar un plan de respuesta a incidentes. Asegúrese de que cubra los ataques a la cadena de suministro e incluya medidas para identificar y contener rápidamente las infracciones, por ejemplo, desconectando al proveedor de los sistemas de la empresa.
· Colaborar con los proveedores en cuestiones de seguridad. Reforzar la protección en ambas partes y convertirla en una prioridad compartida.
