AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

**El 33% de las empresas españolas ya asume parte del coste de ciberseguridad de sus proveedores**

admin

### 1. Introducción

La creciente complejidad de los ecosistemas digitales y la consolidación de cadenas de suministro globales han situado la ciberseguridad de terceros en el centro de la estrategia de protección corporativa. Según el estudio “Supply chain reaction: securing the global digital ecosystem in an age of interdependence” de Kaspersky, más del 66% de las organizaciones a nivel mundial estarían dispuestas a invertir en la seguridad de sus proveedores y contratistas, y aproximadamente una de cada cuatro ya lo está haciendo de forma activa. En España, la tendencia es aún más marcada, con un 33% de empresas que comparten costes para fortalecer la seguridad de la cadena de suministro. Este nuevo paradigma de corresponsabilidad se perfila como una respuesta clave al aumento de incidentes de seguridad vinculados a terceros.

### 2. Contexto del Incidente o Vulnerabilidad

La superficie de ataque de las organizaciones modernas se ha expandido notablemente como consecuencia de la digitalización acelerada y la creciente dependencia de servicios, aplicaciones y recursos externos. Los ataques a la cadena de suministro –supply chain attacks– se han convertido en una de las principales amenazas, con incidentes de alto perfil como SolarWinds, Kaseya o MOVEit demostrando el alcance potencial y el impacto devastador de estas brechas.

La interdependencia digital implica que la seguridad ya no es una cuestión aislada. Las vulnerabilidades en software de terceros, integraciones API inseguras o accesos privilegiados concedidos a proveedores pueden ser vectores de entrada críticos para actores maliciosos. La presión regulatoria, derivada de normativas como el GDPR y la inminente NIS2 en Europa, refuerza la obligación de las empresas de garantizar un nivel adecuado de protección a lo largo de toda la cadena de valor.

### 3. Detalles Técnicos

El estudio de Kaspersky destaca que los ataques a la cadena de suministro se ejecutan, principalmente, a través de tres vectores:

– **Compromiso de software de terceros**: Mediante la explotación de vulnerabilidades conocidas (CVE) en librerías, frameworks o aplicaciones utilizadas por proveedores. Ejemplos recientes incluyen la explotación de CVE-2023-34362 en MOVEit Transfer, permitiendo la ejecución remota de código.
– **Ataques de acceso privilegiado**: Uso indebido de credenciales o accesos delegados a proveedores, facilitando la escalada de privilegios y movimientos laterales en la red interna.
– **Manipulación en el proceso de desarrollo o entrega (supply chain poisoning)**: Inserción de código malicioso durante el desarrollo, empaquetado o distribución de software legítimo.

Las TTPs observadas corresponden a técnicas documentadas en MITRE ATT&CK como “Supply Chain Compromise” (T1195), “Valid Accounts” (T1078) o “Software Deployment Tools” (T1072). Herramientas de explotación automatizada como Metasploit o Cobalt Strike son empleadas frecuentemente para establecer persistencia y control en los entornos comprometidos.

Entre los indicadores de compromiso (IoC) más habituales se encuentran conexiones salientes no autorizadas, modificaciones en scripts de despliegue, y la aparición de binarios no firmados en entornos de producción.

### 4. Impacto y Riesgos

Los riesgos asociados a la inseguridad en la cadena de suministro son significativos:

– **Pérdida de datos sensibles**: Robos de información confidencial, violaciones de datos personales protegidos por GDPR y exposición de secretos corporativos.
– **Interrupción del negocio**: Ataques de ransomware y sabotaje de infraestructuras críticas pueden paralizar operaciones durante días o semanas.
– **Impacto económico**: Según datos de IBM, el coste medio de una brecha relacionada con la cadena de suministro supera los 4,5 millones de euros.
– **Sanciones regulatorias**: La falta de diligencia en la selección y auditoría de proveedores puede traducirse en multas millonarias bajo el marco GDPR y, próximamente, NIS2.

### 5. Medidas de Mitigación y Recomendaciones

Para mitigar eficazmente los riesgos asociados a la cadena de suministro, se recomienda implementar un conjunto de medidas técnicas, organizativas y contractuales:

– **Auditoría y evaluación de proveedores**: Exigir informes periódicos de seguridad, pruebas de penetración y cumplimiento normativo.
– **Segmentación de redes y restricciones de acceso**: Limitar el alcance de los privilegios concedidos a terceros y monitorizar el uso de credenciales.
– **Gestión de vulnerabilidades**: Supervisar el ciclo de vida de las dependencias y aplicar parches de seguridad de forma proactiva.
– **Contratos con cláusulas de ciberseguridad**: Establecer obligaciones explícitas sobre protección de datos, notificación de incidentes y procedimientos de respuesta.
– **Simulacros y formación conjunta**: Realizar ejercicios de respuesta a incidentes integrando a los principales proveedores.

### 6. Opinión de Expertos

Analistas y CISOs coinciden en que la corresponsabilidad es la única vía para romper la cadena de eslabones débiles. Marta Rodríguez, responsable de seguridad en una multinacional tecnológica española, señala: “La inversión compartida en ciberseguridad no solo reduce el riesgo global, sino que fortalece la relación de confianza en el ecosistema digital. Las auditorías externas y la transparencia en la gestión de incidentes son ya requisitos innegociables”.

### 7. Implicaciones para Empresas y Usuarios

La tendencia a compartir costes y responsabilidades en ciberseguridad tiene profundas implicaciones:

– **Para las empresas**: Se requiere un cambio cultural y organizativo, integrando la gestión de riesgos de terceros en la estrategia global de seguridad. La asignación presupuestaria debe contemplar tanto la protección interna como la de los principales proveedores críticos.
– **Para los usuarios**: La protección de sus datos depende no solo de la empresa a la que confían su información, sino también de la robustez de todo el ecosistema de proveedores.

### 8. Conclusiones

El estudio de Kaspersky subraya una realidad ineludible: la seguridad en la cadena de suministro es un reto compartido que exige colaboración, inversión y vigilancia constante. El 33% de las empresas españolas ya apuestan por este modelo de corresponsabilidad, anticipándose a las demandas regulatorias y al aumento de ataques sofisticados. La resiliencia digital dependerá, cada vez más, de la capacidad de las organizaciones para proteger no solo sus activos, sino todo su entorno operativo.

(Fuente: www.cybersecuritynews.es)