Las cadenas de suministro son complejas, opacas e inseguras: los reguladores exigen mejores prácticas

Por Phil Muncaster • 13 de septiembre de 2025

¿Qué tienen en común Marks & Spencer y Jaguar Land Rover (JLR)? Ambos sufrieron importantes ataques de ransomware este año después de que actores de amenazas atacaran a sus proveedores. En el caso de M&S, se cree que se trató de la computadora portátil de un contratista de Tata. JLR, era un ladrón de información que tenía como objetivo a un empleado de LG Electronics con acceso a la red del fabricante de automóviles.

Ambos destacan la creciente amenaza que representan para las organizaciones las dependencias, a menudo opacas y frágiles, de la cadena de suministro. Es posible que el desafío se intensifique a medida que una nueva guerra comercial global obligue a las empresas a reestructurar rápidamente sus cadenas de suministro, con poco tiempo para evaluar a nuevos socios. Como revela una nueva investigación, aún queda mucho por corregir.

Un problema en dos partes

Según el Foro Económico Mundial (FEM), más de la mitad (54 %) de las organizaciones globales identifican los desafíos de la cadena de suministro como su mayor obstáculo para lograr la ciberresiliencia. «La creciente complejidad de las cadenas de suministro, sumada a la falta de visibilidad y supervisión de los niveles de seguridad de los proveedores, se ha convertido en el principal riesgo de ciberseguridad para las organizaciones», afirma. notas de informe.

El desafío de la seguridad de la cadena de suministro se presenta en dos partes:

Software que introduce malware o vulnerabilidades en entornos de confianza. Los componentes de código abierto son especialmente responsables en este caso, ya que a menudo no están debidamente documentados, lo que genera problemas de seguridad. incidentes como Log4ShellPero no son el único riesgo. El software propietario como Muévelo Además, GoAnywhere también ha sido blanco de exploits de día cero en el pasado para campañas de extorsión y robo de datos a gran escala, que afectaron a millones de clientes posteriores.
Un socio de la cadena de suministro comprometido, como un MSP, un proveedor de SaaS o una empresa de servicios profesionales, podría generar importantes riesgos de seguridad. Los atacantes podrían acceder directamente a los datos de una organización, si los almacena el socio, u obtener acceso a las cuentas de red/nube de la organización a través del proveedor. También podrían atacar a los proveedores con ransomware, lo que puede tener un impacto devastador en toda la cadena de suministro, según... Ataque al NHS de Synnovis.

Lamentablemente, dos informes publicados recientemente destacan los desafíos persistentes de mitigar el riesgo en la cadena de suministro. Estudio de LevelBlue Se ha descubierto que, de las organizaciones que afirman tener una visibilidad muy baja en la cadena de suministro de software, el 80 % sufrió una brecha de seguridad en los últimos 12 meses. Esto se compara con solo el 6 % que afirma tener una visibilidad muy alta.

Por separado, Informes del Libro Mayor de Riesgos Casi la mitad (46%) de las organizaciones del Reino Unido han experimentado al menos dos incidentes de ciberseguridad en su cadena de suministro durante el último año. Su informe también revela que el 90% de los encuestados considera los incidentes cibernéticos en la cadena de suministro como una de las principales preocupaciones para 2025, y solo dos quintas partes (37%) describen su gestión de riesgos de terceros como «muy eficaz».

Los reguladores quieren que se tomen medidas

Según LevelBlue, los directores ejecutivos tienden a estar más preocupados por el riesgo en la cadena de suministro que sus colegas de la alta dirección. El 40 % lo cita como el mayor riesgo de seguridad en la organización, frente a un número mucho menor de directores de sistemas (29 %) y directores de tecnología (27 %). Esto presumiblemente implicará una presión adicional desde arriba sobre los directores de seguridad de la información (CISO) y sus equipos. Pero lo cierto es que ya están sometidos a una presión extrema para cumplir con una nueva serie de regulaciones que abordan el riesgo de los proveedores. Estas incluyen:

DORA: Entre otras cosas, DORA exige que las entidades financieras gestionen el riesgo de los proveedores externos de TI como parte integral de la gestión general de riesgos de TI, bajo la supervisión del consejo de administración. También deben mantener un registro detallado y actualizado de la información sobre todos los contratos con estos proveedores y realizar una diligencia debida exhaustiva con los nuevos proveedores.

2 NIS: Exige que todas las organizaciones incluidas en el alcance cuenten con políticas de gestión de riesgos en la cadena de suministro y evalúen las vulnerabilidades específicas de cada proveedor directo y prestador de servicios. Los directores y ejecutivos sénior son directamente responsables de supervisar esto.

Proyecto de ley sobre ciberseguridad y resiliencia: La actualización del NIS en el Reino Unido exigirá que las organizaciones reguladas evalúen y fortalezcan las relaciones con los proveedores, implementen una gestión sólida de riesgos de terceros e incluyan expectativas de seguridad en los contratos, entre otras cosas.

Tomando Acción

Theresa Lanowitz, evangelista principal de LevelBlue, sostiene que, cuando se trata de la cadena de suministro de software, la visibilidad debe tener prioridad, "especialmente a medida que las cadenas de suministro crecen en tamaño y complejidad, y las organizaciones adoptan más soluciones impulsadas por IA".

Ella explica a ISMS.online: «Los CISO deben centrarse en cuatro acciones clave: aprovechar la concienciación de los altos ejecutivos para proteger los recursos, coordinarse internamente para identificar las principales vulnerabilidades, invertir en medidas de seguridad proactivas y evaluar periódicamente las prácticas de ciberseguridad de los proveedores. Este enfoque equilibrado y proactivo fortalecerá la visibilidad, la preparación y la rendición de cuentas en toda la cadena de suministro».

El principal estratega de ciberseguridad de Risk Ledger, Justin Kuruvilla, le dice a ISMS.online que las organizaciones deben adoptar una mentalidad de “asumir una violación” y diseñar su infraestructura de seguridad para contener y limitar cualquier actividad maliciosa.

Por lo tanto, obtener visibilidad de las relaciones con terceros, cuartos e incluso enésimos proveedores es esencial. Esta visión más amplia ayuda a los responsables de seguridad a comprender mejor su exposición y a priorizar las medidas de mitigación donde más importan, añade.

Kuruvilla sostiene que las cadenas de suministro de software exigen un escrutinio particular, dado el impacto potencial de las vulnerabilidades en el código ampliamente utilizado.

“Las organizaciones deben esperar que los proveedores adopten prácticas de desarrollo seguro alineadas con los marcos reconocidos por la industria”, añade. “El grado de diligencia debida puede variar según la criticidad del proveedor y la tolerancia al riesgo de la organización. Sin embargo, debe incluir elementos de desarrollo de software seguro, como prácticas de CI/CD, gestión de vulnerabilidades y la elaboración de una Lista de Materiales de Software (SBoM)”.

Cómo puede ayudar la ISO 27001

Lanowitz de LevelBlue sostiene que los estándares de mejores prácticas como ISO 27001 pueden proporcionar una base útil sobre la cual construir una mejor seguridad de la cadena de suministro.

“A medida que las organizaciones se enfrentan a una visibilidad fragmentada de los riesgos y a prácticas inconsistentes, la norma ISO 27001 puede ayudar a unificar y simplificar las iniciativas de cumplimiento en todas las regiones y sectores. Al aprovechar la norma, los CISO pueden adoptar un enfoque estructurado para la gestión de riesgos y la mejora continua”, añade.

Dado que muchas regulaciones comparten las mismas prácticas recomendadas básicas (incluidas las evaluaciones de riesgos, el control de acceso, la verificación de proveedores y la planificación de la respuesta a incidentes), la implementación de la ISO 27001 también puede reducir la redundancia en el cumplimiento.

Kuruvilla, de Risk Ledger, está de acuerdo, aunque advierte contra el cumplimiento estricto de las normas.

En cambio, las organizaciones que priorizan un enfoque sólido y basado en el riesgo para gestionar los riesgos cibernéticos generalmente logran el cumplimiento como un resultado natural, concluye.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 6 de enero de 2026

Cinco tendencias de seguridad y cumplimiento a tener en cuenta en 2026

¿Cómo podrían ser los próximos 12 meses para los profesionales de la ciberseguridad y el cumplimiento normativo? Hemos analizado las noticias y analizado las predicciones de la industria...

Phil Muncaster

La seguridad cibernética 11 December 2025

¿Es inevitable una brecha de seguridad de inteligencia artificial en 2026?

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Puede que hayan pasado tres años desde que el lanzamiento de ChatGPT desencadenó una nueva carrera tecnológica, pero ahora todas las miradas están puestas en la IA agentica. Sus promotores afirman que...

Phil Muncaster

Seguridad de la información 9 December 2025

Un año en cumplimiento: cinco cosas que aprendimos en 2025

Un año de cumplimiento normativo: cinco cosas que aprendimos en 2025

Los últimos 12 meses han demostrado una vez más que el panorama de la ciberseguridad suele estar plagado de incidentes. Las brechas de seguridad importantes cuestan a las organizaciones...

Phil Muncaster