Risk Ledger capta 32 millones de dólares para reforzar la seguridad en la cadena de suministro
Introducción
La gestión de riesgos en la cadena de suministro se ha consolidado como uno de los grandes retos de ciberseguridad para empresas de todos los sectores. En un contexto marcado por la proliferación de ataques de terceros y la creciente presión regulatoria, la plataforma británica Risk Ledger ha anunciado una ronda de financiación Serie B de 32 millones de dólares destinada a fortalecer sus capacidades tecnológicas y ampliar su presencia internacional. El objetivo: ofrecer a organizaciones un enfoque colaborativo y eficaz para mitigar los riesgos asociados a proveedores y terceras partes.
Contexto del Incidente o Vulnerabilidad
La dependencia de software y servicios de terceros ha multiplicado los vectores de ataque y, con ello, las brechas de seguridad que pueden comprometer activos críticos. Según datos de ENISA, el 62% de los incidentes de ciberseguridad en grandes organizaciones durante 2023 tuvieron un origen en la cadena de suministro. Ataques recientes como los sufridos por SolarWinds, MOVEit o Kaseya han evidenciado la necesidad de soluciones que permitan monitorizar y gestionar de forma proactiva la superficie de exposición que suponen los proveedores.
En este escenario, Risk Ledger se posiciona como una herramienta esencial, permitiendo a las empresas no solo identificar riesgos en sus propios sistemas, sino también en los de su ecosistema de partners, subcontratistas y proveedores críticos.
Detalles Técnicos
La plataforma de Risk Ledger utiliza una arquitectura SaaS colaborativa en la que organizaciones y proveedores comparten, verifican y actualizan información sobre controles de seguridad, cumplimiento y buenas prácticas. Entre sus funcionalidades avanzadas se incluyen:
– Evaluaciones automáticas de seguridad basadas en marcos como NIST CSF, ISO/IEC 27001 y cuestionarios personalizados.
– Integración de indicadores de compromiso (IoC) y alertas en tiempo real sobre nuevas amenazas detectadas en la cadena de suministro.
– Análisis de vulnerabilidades mediante escaneos programados (OWASP Top 10, CVE recientes, etc.) y mapeo de TTPs según MITRE ATT&CK.
– Soporte para la gestión documental y evidencias de cumplimiento normativo (GDPR, NIS2, DORA), facilitando auditorías y reporting para diferentes jurisdicciones.
En cuanto a los ataques dirigidos a la cadena de suministro, destacan técnicas como la inyección de código malicioso en actualizaciones de software (T1195.002 – Software Supply Chain Compromise), la explotación de vulnerabilidades en sistemas de terceros (CVE-2023-34362, CVE-2023-35036 en MOVEit Transfer) y el uso de frameworks como Cobalt Strike o Metasploit para movimiento lateral y escalada de privilegios tras la intrusión inicial.
Impacto y Riesgos
El impacto de una brecha en la cadena de suministro puede ser devastador tanto a nivel operativo como reputacional. Se estima que el coste medio de un incidente de este tipo supera los 4,45 millones de dólares (IBM Cost of a Data Breach Report 2023), y puede suponer sanciones significativas bajo marcos regulatorios como GDPR (hasta el 4% de la facturación anual). Además, el efecto cascada sobre clientes y partners multiplica la exposición, pudiendo afectar a miles de organizaciones en cuestión de horas.
La falta de visibilidad, la dificultad para imponer controles homogéneos y la escasa automatización en la gestión de riesgos de terceros son factores que incrementan la vulnerabilidad y dificultan la respuesta temprana ante incidentes.
Medidas de Mitigación y Recomendaciones
Para mitigar los riesgos asociados a la cadena de suministro, los expertos recomiendan:
1. Implementar plataformas de gestión y monitorización continua de proveedores, como Risk Ledger, que permitan evaluar y actualizar el perfil de riesgo en tiempo real.
2. Adoptar frameworks de referencia (NIST, ISO/IEC 27036) y exigir a terceros el cumplimiento de estándares mínimos de seguridad.
3. Realizar auditorías periódicas y simulacros de incidentes (tabletop exercises) con la implicación de proveedores clave.
4. Integrar soluciones de threat intelligence y escaneo de vulnerabilidades automatizado en la cadena de suministro.
5. Incluir cláusulas contractuales específicas sobre ciberseguridad y notificación de incidentes en los acuerdos con terceros, en línea con la nueva Directiva NIS2.
Opinión de Expertos
CISOs y analistas SOC consultados coinciden en que la gestión tradicional basada en cuestionarios y hojas de cálculo resulta insuficiente ante la complejidad actual. “La colaboración activa y el intercambio de información en tiempo real son imprescindibles para anticiparse a amenazas emergentes”, señala David Morales, CISO de una multinacional del sector energético. Por su parte, Laura Fernández, consultora de ciberseguridad, destaca la importancia de plataformas como Risk Ledger para “reducir el tiempo de detección y respuesta ante incidentes en entornos interconectados”.
Implicaciones para Empresas y Usuarios
La inversión en soluciones de gestión de riesgos de terceros no es solo una exigencia regulatoria, sino un factor clave para la continuidad de negocio y la confianza de clientes y partners. El auge de normativas como NIS2, DORA o la revisión del GDPR obliga a las organizaciones a demostrar diligencia debida en la supervisión de su cadena de suministro, bajo riesgo de fuertes sanciones y pérdida de competitividad.
Para las empresas, la adopción de herramientas colaborativas como Risk Ledger permite escalar los procesos de evaluación y reducir la carga operativa, mientras que los proveedores se benefician de una mayor transparencia y facilidad para acreditar su postura de seguridad ante múltiples clientes.
Conclusiones
La ronda de financiación de 32 millones de dólares obtenida por Risk Ledger pone de relieve la creciente prioridad de la seguridad en la cadena de suministro para el sector empresarial y el interés de los inversores en soluciones tecnológicas que aborden este desafío. A medida que los atacantes sofisticados continúan explotando la debilidad de los eslabones más vulnerables, la colaboración y la automatización se perfilan como pilares esenciales para la resiliencia digital. Las organizaciones que adopten un enfoque proactivo y apoyado en plataformas especializadas estarán mejor preparadas para afrontar los riesgos presentes y futuros en la economía digital.
(Fuente: www.securityweek.com)
