Riesgos de terceros en ciberseguridad: un desafío urgente
#riesgos de terceros en ciberseguridad#gestión de acceso de terceros#evaluación de proveedores en seguridad informática

Riesgos de terceros en ciberseguridad: un desafío urgente

Descubre cómo la gestión de acceso de terceros y la auditoría de proveedores pueden proteger tu empresa de ataques y vulnerabilidades externas

Índice

La ciberseguridad empresarial está enfrentando una de sus mayores amenazas: los riesgos de terceros. Con la evolución constante de la tecnología y la creciente dependencia de proveedores y socios externos, la gestión de acceso de terceros se ha convertido en un desafío existencial para las organizaciones, especialmente aquellas con información sensible o infraestructuras críticas. Este artículo explora cómo las vulnerabilidades asociadas al acceso de terceros han evolucionado y por qué ya no pueden ser ignoradas. Además, ofrece consejos prácticos y mejores prácticas para minimizar los riesgos a los que se expone la cadena de suministro digital.

En el contexto digital actual, las empresas trabajan con una extensa red de proveedores, consultores, subcontratistas y socios estratégicos. Según el Ponemon Institute, el 54% de las compañías sufrió al menos una brecha de datos originada por un tercero en el último año, y el 40% de estos incidentes se debió a accesos no autorizados a la red[^ponemon2021]. A pesar de esto, más de la mitad (51%) de las organizaciones ni siquiera realizan un security assessment para proveedores antes de concederles acceso a recursos críticos.

Principales desafíos de trabajar con terceros:

  • Falta de evaluación previa de seguridad de los proveedores.
  • Diferencias en capacidades técnicas y presupuestarias.
  • Acceso directo a sistemas y datos internos.
  • Proveedores como puerta de entrada preferente para ciberataques.

La externalización de servicios puede mejorar la eficiencia y reducir costos, pero cada nuevo tercero crea un vector adicional por el cual un actor malintencionado podría penetrar en la organización.

[^ponemon2021]: Ponemon Institute 2021 Third Party Risk study

La realidad es que los proveedores externos suelen ser el eslabón más débil en la ciberseguridad en la cadena de suministro. Los siguientes riesgos se destacan como los más críticos:

Tipos de Riesgos Más Comunes

  • Riesgos de ciberseguridad: Un proveedor comprometido puede convertirse en un canal para ataques a la organización. Ejemplos como SolarWinds, Kaseya o Uber lo demuestran claramente.
  • Riesgos operativos: Un proveedor afectado puede paralizar operaciones y causar interrupciones en la producción.
  • Riesgos legales y de cumplimiento: Falta de alineación con regulaciones como GDPR o DORA (Digital Operational Resilience Act).
  • Riesgos de reputación: Una brecha originada por un tercero puede afectar la imagen y la confianza de los clientes.

Casos de Alto Perfil

El ataque a SolarWinds permitió a los atacantes comprometer los sistemas de más de 18.000 organizaciones utilizando actualizaciones manipuladas desde su proveedor de software[^solarwindsattack]. Tan solo en el sector financiero europeo, la normativa DORA surgió como respuesta a la proliferación de brechas originadas por terceros y busca endurecer los requisitos de evaluación de proveedores en seguridad informática.

[^solarwindsattack]: Informe SolarWinds Attack - CISA

Barreras y Retos en la Gestión de Acceso de Terceros

Aunque la necesidad de gestionar estos riesgos está clara, existen varios obstáculos a superar:

Fragmentación y Falta de Visibilidad

Muchas organizaciones usan múltiples herramientas de seguridad e identidades que funcionan en silos, lo cual da como resultado una supervisión parcial e insuficiente para identificar todas las amenazas. Es común que no se sepa exactamente a qué recursos internos pueden acceder los terceros ni por cuánto tiempo.

Falta de Conciencia y Cultura Digital

De acuerdo a la Estrategia de Ciberseguridad de Andalucía, el 43% de la población carece de habilidades digitales básicas, y el 8% nunca ha usado Internet[^andalucia21]. Esto hace que tanto trabajadores como terceros se conviertan en objetivos fáciles para técnicas de ingeniería social y fraudes sofisticados.

[^andalucia21]: Estrategia Ciberseguridad Andalucía 2021-2025

Subestimación del Riesgo

Muchos directivos asumen que la reputación de un proveedor o la firma de un NDA es suficiente, perdiendo de vista la importancia de la auditoría de riesgos de terceros. Esta falsa confianza deja a la empresa expuesta a vulnerabilidades en proveedores externos.

Consecuencias de una Gestión Deficiente de Proveedores

Permitir un acceso sin control a proveedores implica graves consecuencias:

  • Incidentes de seguridad: Brechas que exponen datos personales o corporativos, con daños colaterales que en 2022 llegaron a afectar en promedio a 4,73 compañías por cada proveedor comprometido[^ponemon2021].
  • Impacto operativo: Interrupciones en la cadena de suministro por ataques o fallos en terceros.
  • Sanciones regulatorias: Multas y acciones legales por incumplimientos normativos.
  • Daños reputacionales: Pérdida de clientes, confianza e ingresos a largo plazo.

La dependencia excesiva de los mismos proveedores también concentra el riesgo, facilitando ataques a gran escala y afectando a múltiples empresas simultáneamente.

Mejores Prácticas para la Gestión de Riesgos de Proveedores

Mitigar los riesgos de terceros exige una estrategia integral y disciplinada. Considera implementar estas mejores prácticas para acceso de terceros:

1. Evaluación y Selección de Proveedores

  • Realiza un security assessment para proveedores antes de cualquier integración.
  • Verifica certificaciones, cumplimiento de normativas (ISO 27001, GDPR, DORA).
  • Investiga antecedentes y reportes de incidentes anteriores.

2. Políticas de Gestión y Acuerdos

  • Formaliza contratos que incluyan cláusulas de ciberseguridad y medidas de respuesta ante incidentes.
  • No confíes únicamente en los NDA; exige evidencias documentadas de controles robustos.

3. Principio de Mínimos Privilegios

  • Otorga solo el acceso necesario (least privilege) y limita los permisos temporales.
  • Revoca accesos cuando el trabajo haya finalizado o cambien las condiciones contractuales.

4. Supervisión Continua

  • Establece monitoreo en tiempo real del uso de credenciales de terceros.
  • Utiliza soluciones de gestión de identidades (IAM) integradas.
  • Programa revisiones y auditorías periódicas de los accesos y actividades.

5. Concienciación y Formación

  • Capacita a empleados y colaboradores en identificación de riesgos de terceros.
  • Simula phishing y otros ataques para aumentar la resiliencia del equipo.

6. Planes de Respuesta a Incidentes

  • Prepara procedimientos claros para reaccionar ante brechas originadas en terceros.
  • Coordina la comunicación y mitigación con los proveedores involucrados.

Tecnologías y Herramientas para Fortalecer la Protección

Existen múltiples soluciones tecnológicas que facilitan la protección contra ataques de terceros:

  • Gestión de Acceso e Identidad (IAM): Centraliza y automatiza la asignación/revocación de privilegios.
  • Zero Trust Network Access (ZTNA): Implementa el acceso condicional, verificando identidad, contexto y nivel de riesgo en tiempo real.
  • Monitorización de comportamiento: Detecta actividades anómalas asociadas a cuentas de terceros.
  • Automatización de auditorías: Reduce la carga manual y mejora la eficiencia en la vigilancia de riesgos.

Al combinar estos sistemas con procesos claros y alineados entre áreas de Seguridad, Legal, Compras y Operaciones, las organizaciones pueden reducir drásticamente la probabilidad y el impacto de incidentes.

Conclusión: Eleva tu Estrategia de Ciberseguridad en la Cadena de Suministro

Ignorar los riesgos de terceros en ciberseguridad ya no es una opción. A medida que la conectividad y la externalización aumentan, las empresas deben tomarse en serio la gestión de acceso de terceros y la auditoría de riesgos de terceros. Recuerda que los terceros pueden ser tanto una ventaja competitiva como una peligrosa vía de entrada para los ciberataques.

Implementa evaluaciones rigurosas, políticas claras, principios de mínimo privilegio y una vigilancia continua para proteger los activos empresariales. Invierte en tecnologías adaptadas y en la formación constante de tus equipos. De este modo, tu organización estará bien posicionada para sobrevivir y prosperar en un mundo donde los terceros son, potencialmente, el eslabón más débil pero también gestionable.

¿Estás preparado para blindar tu cadena de suministro digital? Implementa hoy una estrategia de gestión de riesgos de terceros, y transforma esta amenaza en una oportunidad de fortalecimiento y diferenciación.

Referencias:

Jon García Agramonte

Jon García Agramonte

@AgramonteJon

CEO, Developer and Project Leader