Los equipos de seguridad dedican mucho esfuerzo a proteger su perímetro interno: sistemas, redes, identidades, accesos. Es donde suelen estar los controles más maduros y donde más se ha invertido en los últimos años.

Pero algunos de los ataques más efectivos no entran por ahí. Entran a través de un proveedor de confianza que ya tiene acceso a los sistemas de la empresa. Esa es la naturaleza de los ataques a la cadena de suministro digital: explotar la relación de confianza que ya existe y que nadie cuestiona.

Por qué los proveedores representan un riesgo distinto

Cuando una empresa contrata a un proveedor tecnológico, le da acceso a sus sistemas, a sus datos o a su infraestructura. Ese acceso es necesario para que el servicio funcione. Pero también es un vector de riesgo que queda fuera del control directo de la empresa cliente.

El nivel de seguridad del proveedor rara vez está bajo supervisión real. Se asume que cumple con lo mínimo, se firma un contrato con alguna cláusula genérica y la relación sigue adelante sin revisión. Esa asunción no verificada es exactamente lo que los atacantes buscan explotar.

Comprometer a un proveedor con acceso a múltiples clientes puede ser mucho más eficiente que atacar a cada cliente por separado. Desde la perspectiva del atacante, es una palanca: un solo punto de entrada, múltiples objetivos simultáneos.

Hay una asimetría importante que conviene tener en cuenta. El proveedor conoce perfectamente el acceso que tiene a los sistemas del cliente. El cliente, en cambio, a menudo no tiene una visión completa de qué hace ese proveedor con ese acceso ni desde qué ubicaciones se conecta. Esa asimetría de información es el terreno en el que los atacantes operan con más comodidad.

Cómo estructurar la evaluación del riesgo de terceros

La gestión del riesgo de proveedores no puede ser una revisión puntual al inicio de la relación comercial. Requiere un proceso estructurado que evalúe de forma sistemática estos criterios en cada proveedor con acceso a sistemas o datos relevantes:

1. Nivel de acceso: qué sistemas, datos o redes puede ver o modificar el proveedor y con qué tipo de privilegios.
2. Madurez de seguridad: si cuenta con certificaciones reconocidas como ISO 27001 o SOC 2 vigentes y auditadas externamente.
3. Gestión de incidentes: si tiene definido un proceso claro de notificación en caso de brecha que afecte a los datos del cliente.
4. Cadena de subcontratación: a qué proveedores subcontrata a su vez y cuál es el nivel de seguridad real de esos terceros.
5. Historial conocido: si ha tenido incidentes de seguridad anteriores y cómo los gestionó y comunicó a sus clientes.

Este proceso debe repetirse de forma periódica, no solo al incorporar al proveedor. Las certificaciones caducan, los equipos cambian y los niveles de acceso evolucionan con el tiempo. Una evaluación inicial que no se revisa se vuelve irrelevante antes de lo que parece.

El papel activo que debe asumir el CISO

El CISO no puede delegar la gestión de proveedores en el equipo de compras y esperar que el resultado sea adecuado desde una perspectiva de seguridad. La gestión del riesgo de terceros es una responsabilidad de seguridad, no solo una cuestión contractual.

Eso implica definir criterios mínimos de seguridad para los proveedores con acceso a sistemas críticos, revisar periódicamente que se cumplen y establecer cláusulas contractuales claras sobre notificación de incidentes, auditorías y responsabilidad en caso de brecha originada en el proveedor.

Otro aspecto que el CISO debe gestionar es la continuidad del proceso. Los proveedores cambian de equipo, actualizan sus sistemas y modifican sus procedimientos. Una certificación obtenida hace dos años puede no reflejar el estado actual. La revisión periódica es el único mecanismo que mantiene la evaluación vigente y útil.

Marcos de referencia y herramientas disponibles

NIST SP 800-161 es el marco de referencia más completo para la gestión de riesgos en la cadena de suministro tecnológica. Proporciona un enfoque estructurado que puede adaptarse al tamaño y al sector de cada organización sin requerir una implementación total desde el primer día.

La directiva NIS2 incluye obligaciones específicas sobre la seguridad de los proveedores para empresas en sectores considerados críticos. Conocer esas obligaciones es el primer paso para gestionarlas de forma proactiva y no reaccionar cuando llega una auditoría o una inspección regulatoria.

Las plataformas de gestión de riesgo de terceros (TPRM) permiten automatizar los cuestionarios de evaluación, centralizar la documentación y hacer seguimiento continuo. No son imprescindibles para empezar, pero escalan bien cuando el número de proveedores crece y la revisión manual se vuelve inviable.

Un aspecto práctico que facilita la implementación es empezar con los proveedores de mayor riesgo. No todos merecen el mismo nivel de atención. Los que tienen acceso a sistemas críticos o a datos sensibles son los que deben priorizarse en cualquier programa de gestión de riesgos de terceros.

La cadena de suministro es parte de tu perímetro

La seguridad de una empresa no termina en sus propios sistemas. Termina donde termina el acceso de todos los que trabajan con ella, directa o indirectamente. Ignorar esa extensión del perímetro es una de las formas más habituales de crear exposición sin ser consciente de ello.

Las empresas que gestionan el riesgo de sus proveedores de forma proactiva tienen menos sorpresas. En ciberseguridad, las sorpresas suelen ser costosas tanto en tiempo de respuesta como en impacto operativo y reputacional. La diferencia entre detectar una brecha en un proveedor a tiempo y descubrirla cuando ya ha afectado a los propios sistemas es, en la mayoría de los casos, la existencia de un proceso de seguimiento activo.