Cuando un ciberataque deja sin existencias: ¿Qué hacer ante los ataques a la cadena de suministro?

Por Danny Bradbury • 24 July 2025

Los consumidores suelen percibir la mayoría de los ciberataques como algo que les sucede a otras personas, hasta que les afecta directamente. El robo de direcciones de correo electrónico y otra información personal se ha convertido en algo habitual y cotidiano, pero cuando un delincuente pulsa un botón al otro lado del mundo y desaparece comida de los estantes, la situación se vuelve realmente seria.

Eso fue lo que ocurrió en junio, cuando un ataque contra el distribuidor mayorista de comestibles United Natural Foods (UNFI) paralizó sus operaciones en línea. El ataque obstaculizó la capacidad de la empresa para atender a sus 30,000 sucursales, dejando a las tiendas de comestibles... advertir a los clientes sobre la escasez de alimentos y causando importantes perturbaciones en Whole Foods, propiedad de Amazon, incluido el cierre de estaciones de sándwiches.

Ataques como estos ponen de relieve el daño que un ciberincidente puede causar a las operaciones de más allá de una sola empresa. Estas interrupciones pueden afectar a otras que dependen de ellas como parte de sus propias cadenas de suministro, lo que plantea la pregunta: ¿qué pueden hacer las organizaciones para protegerse?

El riesgo cibernético en la cadena de suministro alcanza proporciones críticas

Este no es el primer ataque que hemos visto que ha interrumpido las cadenas de suministro. La compañía de seguros Cowbell publicó un... (reporte) A finales del año pasado se observó un aumento del 431 % en los ataques a la cadena de suministro desde 2021.

Este tipo de ataques son cada vez más comunes a medida que las operaciones comerciales se vuelven cada vez más conectadas y las cadenas de suministro se vuelven más complejas, según el informe, porque esto las hace más difíciles de proteger.

Uno de los mayores desafíos que enfrentan las organizaciones es el problema del punto único de fallo (PFU). Una sola empresa, de la que muchas otras dependen para obtener productos y servicios, es un objetivo de alto valor. Comprometerla con éxito amplifica los efectos de un solo ataque.

La interrupción causada por ataques a la cadena de suministro puede ser puramente digital. El ataque al software de SolarWinds en 2020 dejó cientos de sistemas de los clientes de la compañía vulnerables al robo de información. La explotación de una vulnerabilidad en la versión local del sistema de intercambio de archivos MOVEit en 2023 permitió a los atacantes robar archivos de cientos de sus clientes. Ambos tenían la misma característica subyacente: toxinas en un producto digital (una introducida intencionalmente, otra codificada accidentalmente) afectaron a miles de clientes en sentido descendente.

Otros ciberataques, como el ataque a UNFI, provocan problemas físicos. Ponen de manifiesto la fragilidad de las cadenas de suministro modernas justo a tiempo, convirtiéndolas no solo en una amenaza para los datos de los clientes, sino también en un riesgo social.

Entre los incidentes notables del pasado que han afectado a las cadenas de suministro físicas se encuentra el ataque de 2021 al Oleoducto Colonial. Si bien este afectó a la red administrativa de la empresa, esta cerró su operación de entrega de gasolina por precaución, lo que generó una escasez que afectó a millones de personas.

Ese mismo año, un ataque de ransomware contra Kaseya, proveedor de software de gestión remota, afectó a clientes que ofrecían servicios de TI gestionados. Esto se extendió a clientes, como la cadena de supermercados sueca Coop, que tuvo que cerrar 800 tiendas. Estos ataques fueron digitales, pero los resultados finales fueron cinéticos: en lugar de exponer sus datos, los usuarios no pudieron conducir ni comer.

Esto necesita una respuesta a nivel directivo

Los riesgos de la cadena de suministro introducen nuevos imperativos de gobernanza para las juntas directivas, especialmente a medida que los reguladores comienzan a impulsar el tema. Por ejemplo, Ley de Resiliencia Operativa Digital (DORA) de la UE Impone varios requisitos a las empresas de servicios financieros. Exige estrictos requisitos de diligencia debida al trabajar con proveedores de tecnología y servicios, además de requisitos mínimos de seguridad en los contratos. Los acuerdos con los proveedores también deben incluir obligaciones de evaluación continua que obligan a realizar evaluaciones periódicas de ciberseguridad.

Directiva sobre seguridad de las redes y de la información 2 La directiva (NIS2) también exige requisitos de seguridad más estrictos para las cadenas de suministro.

Según Gartner, los profesionales de la cadena de suministro considerarán cada vez más el riesgo de ciberseguridad como un factor importante al contratar socios externos. espera El 60% de ellos lo harán este año.

Estas preocupaciones hacen que la gestión de riesgos de los proveedores sea un componente crucial de cualquier estrategia de resiliencia de la cadena de suministro. Una diligencia debida eficaz implica verificar que los proveedores cuenten con medidas de seguridad. Las empresas que no han exigido la diligencia debida deberían revisar a todos sus proveedores, idealmente verificando su acreditación con los marcos o estándares de ciberseguridad pertinentes. Estos podrían ser específicos de cada sector.

Incluso después de todo esto, aún pueden ocurrir ataques. Mantener a los proveedores que cumplen con los requisitos en una lista de proveedores preferentes ayudará a minimizar el riesgo de que su cadena de suministro se vea interrumpida por una vulneración; sin embargo, no eliminará por completo ese riesgo. Por eso es importante planificar ante posibles interrupciones.

No sólo prevenir, sino adaptarse

Dependiendo del tipo de vulnerabilidad, una estrategia para abordar los ataques a la cadena de suministro podría centrarse exclusivamente en la logística y las operaciones, o podría abarcar la recuperación digital. Si un proveedor de comestibles deja de funcionar porque su sistema está comprometido, su problema digital se convierte en el problema físico de sus clientes. Por lo tanto, los proveedores posteriores se centran en continuar el flujo de productos a sus estantes.

Por el contrario, si su proveedor de administración de red descarga malware accidentalmente en uno de sus servidores, su problema digital se convierte en su problema digital. Esto requiere una respuesta diferente.

Las normas ISO abordan la preparación para estos escenarios. Por ejemplo, la norma ISO 22301 aborda la continuidad del negocio ante riesgos en la cadena de suministro. ISO 27001, Contiene controles para ayudar a gestionar el riesgo de información que podría afectarle a través de una vulneración de la cadena de suministro. La norma ISO 28000 se ocupa de mejorar la seguridad de la cadena de suministro.

Gestionar este riesgo complejo y multifacético en la cadena de suministro implica implementar el máximo control preventivo posible para protegerse mediante la elección de proveedores diligentes. Pero también implica adaptarse a los problemas emergentes en lugar de depender de su prevención.

danny bradbury

Danny Bradbury ha sido periodista impreso especializado en tecnología desde 1989 y escritor independiente desde 1994. Ha escrito para publicaciones nacionales en ambos lados del Atlántico y ha ganado premios por su trabajo de periodismo de investigación en ciberseguridad.

Lea más de Danny Bradbury

La seguridad cibernética 13 November 2025

Evaluación del cambio de la administración Trump en la política de ciberseguridad de EE. UU. (Banner)

Evaluación del cambio de política de ciberseguridad de Estados Unidos durante la administración Trump

Las recientes acciones ejecutivas y las reestructuraciones de agencias marcan un cambio significativo en la estrategia federal de ciberseguridad, lo que plantea interrogantes sobre la resiliencia nacional...

danny bradbury

La seguridad cibernética 23 October 2025

Por qué la investigación de la FTC sobre chatbots debería preocupar a las empresas B2B

Septiembre marcó un hito para los defensores de la ética de la IA. La FTC emitió órdenes conforme a la Sección 6(b) a siete importantes empresas tecnológicas que producen chatbots...

danny bradbury

La seguridad cibernética 7 October 2025

La revisión de Safe Harbor sigue como siempre, por ahora

Septiembre fue un mes decisivo para las empresas europeas que querían compartir datos con EE. UU. El Tribunal General de la Unión Europea rechazó una impugnación...

danny bradbury

Cuando un ciberataque deja sin existencias: ¿Qué hacer ante los ataques a la cadena de suministro?

El riesgo cibernético en la cadena de suministro alcanza proporciones críticas

Esto necesita una respuesta a nivel directivo

No sólo prevenir, sino adaptarse

danny bradbury

Artículos relacionados

Evaluación del cambio de política de ciberseguridad de Estados Unidos durante la administración Trump

Control continuo en acción: Nuevas actualizaciones de API e integración de IO

Lo que la saga de Deloitte Australia revela sobre los riesgos de gestionar la IA

Lea más de Danny Bradbury

Evaluación del cambio de política de ciberseguridad de Estados Unidos durante la administración Trump

Por qué la investigación de la FTC sobre chatbots debería preocupar a las empresas B2B

La revisión de Safe Harbor sigue como siempre, por ahora