Por qué los hackers están atacando tu cadena de suministro digital, no solo tus sistemas
Los hackers están constantemente buscando nuevas formas de acceder a las empresas y es raro que lo hagan a través de la puerta principal. Para la mayoría de las organizaciones, la ciberseguridad aún se centra en proteger los sistemas internos y prevenir el acceso no autorizado mediante medidas como cortafuegos, cifrado y capacitación de empleados. Sin embargo, este enfoque asume que los atacantes intentan obtener acceso directamente.
Ahora ya no es suficiente confiar en los controles de ciberseguridad internos para asegurar la información. A medida que las cadenas de suministro digitales se vuelven más complejas con un número creciente de proveedores involucrados, los atacantes están eludiendo por completo los controles internos de las organizaciones. En su lugar, están explotando las brechas en la red de proveedores de confianza que ya tienen acceso legítimo a sistemas y datos.
En el último año, una serie de incidentes cibernéticos de alto perfil que afectan a grandes empresas ha destacado la naturaleza disruptiva y costosa de estos ataques.
Entonces, ¿cómo sucede esto, qué significa para las empresas y qué pasos puede tomar para reducir el riesgo?
¿Cómo entran los atacantes en la cadena de suministro digital?
En lugar de atacar directamente a las organizaciones, los hackers están cada vez más dirigidos a proveedores y prestadores de servicios dentro de la cadena de suministro digital, incluidos proveedores de sitios web o software, plataformas de desarrollo y pruebas o soluciones de almacenamiento de información. Estos terceros a menudo tienen acceso a sistemas, datos o redes, lo que los convierte en objetivos atractivos y áreas de riesgo crítico para que las organizaciones gestionen.
Los ataques a la cadena de suministro apuntan a uno o más elementos que una organización necesita para proporcionar los productos o servicios que ofrece. Por ejemplo, los ataques pueden involucrar una actualización de software malicioso o detalles de inicio de sesión robados o un componente de código abierto vulnerable, o una integración insegura entre sistemas.
En particular, los ataques a la cadena de suministro digital ocurren cuando los desarrolladores de software confían en bibliotecas de terceros ampliamente utilizadas para agregar funcionalidad a sus aplicaciones. Si un atacante logra incrustar código malicioso en una de estas bibliotecas, cualquier desarrollador que luego la integre en su software puede introducir sin saberlo una debilidad de seguridad en su producto.
En 2024, se introdujo una puerta trasera maliciosa en XZ Utils, una herramienta de compresión de código abierto de bajo nivel ampliamente utilizada que se encuentra en muchos sistemas Linux. El ataque no se basó en hackear sistemas directamente y, en cambio, explotó la cadena de suministro. En el momento en que se descubrió el problema, las versiones afectadas aún no se habían desplegado ampliamente en entornos de producción. Sin embargo, estaban incluidas en las compilaciones de desarrollo de distribuciones importantes, lo que llevó a los mantenedores a reconstruir sus paquetes para abordar la vulnerabilidad. El científico informático Alex Stamos comentó que si la puerta trasera hubiera permanecido indetectada, habría “dado a sus creadores una llave maestra para cualquiera de los cientos de millones de computadoras en todo el mundo que ejecutan SSH”.
Una vez que los productos, servicios o tecnología de un proveedor han sido violados o comprometidos, los atacantes pueden acceder y comprometer aún más los sistemas de la organización. Estos ataques a menudo pasan desapercibidos hasta que los sistemas se interrumpen, los datos son cifrados o robados o se emite una demanda de rescate. En la puerta trasera de XZ Utils, el código malicioso solo fue descubierto cuando un desarrollador notó un comportamiento de rendimiento inusual durante pruebas rutinarias.
Más a menudo de lo que se piensa, para cuando se descubre el ataque, el daño ya está hecho y el impacto en el negocio puede ser significativo.
El impacto en el negocio
El impacto más inmediato de un ciberataque es típicamente financiero. Las demandas de rescate pueden ser sustanciales, particularmente donde los atacantes entienden que la interrupción ha afectado a múltiples clientes o servicios críticos. Incluso donde no se paga rescate, las empresas a menudo terminan con altos costos asociados relacionados con la interrupción del negocio, la recuperación del sistema y el asesoramiento profesional, lo que suma al impacto financiero de un ciberataque.
Para las empresas digitales y basadas en plataformas, el tiempo de inactividad se traduce rápidamente en ingresos perdidos, aumentando las implicaciones financieras. En un incidente reciente, una gran empresa orientada al consumidor (Co-op) dijo que el ciberataque que sufrió en 2025 “afectó tanto a las áreas financieras como operativas”, resultando en al menos £206 millones en ingresos perdidos.
El impacto operativo puede ser igualmente severo. Si un proveedor clave se desconecta o suspende el acceso a sus servicios para contener el ataque, las operaciones comerciales efectivamente se detienen. Las organizaciones pueden no ser capaces de procesar transacciones, cumplir pedidos o acceder a sistemas clave, obligándolas a recurrir a soluciones manuales. Tras un ciberataque en 2025, una empresa bien establecida y de buena reputación (Marks & Spencer) se vio obligada a suspender los pedidos en línea durante casi dos meses y tuvo que cambiar a procesamiento manual durante este tiempo. En lugar de atacar la infraestructura central de M&S, el ataque aprovechó las debilidades en MoveIt, una herramienta de transferencia de archivos empresariales comúnmente utilizada. Como resultado, se comprometió información sensible relacionada tanto con empleados como con clientes, incluidos datos de contacto, datos de nómina y, en ciertos casos, números de Seguro Nacional. Aunque no se creía que los detalles de pago se viesen afectados, la escala y naturaleza de la violación provocaron una respuesta formal ante incidentes, revisiones internas y la participación regulatoria de la Oficina del Comisionado de Información (ICO). El impacto financiero se estimó en £300 millones en beneficios perdidos.
Sin embargo, la consecuencia más significativa y duradera suele ser reputacional. Los clientes rara vez diferencian entre una empresa y sus proveedores cuando algo sale mal. Desde la perspectiva del cliente, el fallo se experimenta como una única interrupción del servicio, independientemente de dónde recaiga la responsabilidad en última instancia. La confianza construida a lo largo de los años puede perderse de la noche a la mañana, particularmente si la comunicación es lenta, defensiva o poco clara. Reconstruir esa confianza es tanto un proceso que consume tiempo como costoso, a menudo requiriendo una inversión sostenida en el compromiso con el cliente, mejoras en el servicio y garantías sobre la futura resiliencia ante tales problemas. Incluso entonces, el daño puede tener efectos a largo plazo en la lealtad del cliente, las ventas futuras y las relaciones comerciales.
El papel de la regulación
Los reguladores están cada vez más enfocados en la resiliencia de la cadena de suministro digital, reflejando el creciente reconocimiento de que la ciberseguridad no se limita solo a los controles internos de una organización. A medida que los ataques a la cadena de suministro se vuelven más comunes, los incidentes causados por proveedores de terceros no se tratan como eventos externos, sino como un fallo de gobernanza, diligencia debida y supervisión continua por parte de la propia organización.
Este enfoque ya está bien establecido bajo el Reglamento General de Protección de Datos (GDPR), que se implementa en el Reino Unido mediante la Ley de Protección de Datos de 2018. Bajo el GDPR del Reino Unido, las organizaciones que actúan como controladores de datos siguen siendo responsables de proteger los datos personales, incluso cuando el procesamiento de datos se subcontrata a terceros. Cualquier debilidad en los controles de ciberseguridad de un proveedor y cualquier violación de la protección de datos se trata como un problema de gobernanza para el controlador de datos.
Por lo tanto, los controladores de datos deben asegurarse de que sus procesadores de datos implementen medidas técnicas y organizativas adecuadas para proteger los datos personales y reporten cualquier violación de datos al controlador sin demora indebida. Un fallo por parte de una organización en cumplir con sus obligaciones bajo el GDPR puede resultar en acciones regulatorias, sanciones financieras y daños a la reputación del negocio.
A nivel de la UE, la Ley de Inteligencia Artificial de la UE adopta un enfoque similar para la inteligencia artificial. Se espera que las organizaciones que desarrollan, utilizan o dependen de sistemas de IA, incluidos aquellos obtenidos de terceros, comprendan cómo funcionan esos sistemas, cómo están asegurados y qué riesgos introducen, particularmente donde la IA se clasifica como “de alto riesgo” o está integrada en procesos comerciales críticos.
En la práctica, las organizaciones deben asumir un papel más activo en la supervisión de cualquier herramienta de IA y servicios digitales utilizados a lo largo de su cadena de suministro. Simplemente confiar en que los proveedores gestionen los riesgos cibernéticos y de IA en su nombre ya no es suficiente. Los reguladores esperan cada vez más que las organizaciones demuestren que comprenden sus dependencias digitales y pueden identificar dónde se encuentran los riesgos críticos. Además, deben tener controles efectivos en su lugar para gestionar esos riesgos antes de que ocurran incidentes.
Esto debe formar parte de un marco más amplio de gestión de riesgos de ciberseguridad y cadena de suministro digital que las organizaciones ahora necesitan considerar activamente implementar y documentar. Además, las organizaciones deben llevar a cabo una debida diligencia robusta de los proveedores y un monitoreo continuo y deben tener en su lugar planes de respuesta claramente definidos.
Estrategias de mitigación
Otros artículos
Por qué los hackers están atacando tu cadena de suministro digital, no solo tus sistemas
Los ciberataques a la cadena de suministro están eludiendo las defensas internas al explotar a proveedores de terceros de confianza. Desde la puerta trasera de XZ Utils hasta la violación de MoveIt de Marks and Spencer, los incidentes recientes muestran cómo los atacantes utilizan la red de proveedores para llegar a las organizaciones de manera indirecta.
