Los ciberataques a la cadena de suministro se han convertido en la ciberamenaza más común para las empresasdurante el último año.Según el nuevo estudio de Kaspersky“Supply chain reaction: securing the global digital ecosystem in an age of interdependence”casi una de cada tres compañías (31%) ha sufrido un ataque real este año, siendo la exposición al riesgo muy superiora la media global en países como México (43%), China (40%) y España (40%).
Según datos recientes del Foro Económico Mundial, casi dos tercios (65%) de las grandes empresas señalan las vulnerabilidades de terceros y de la cadena de suministro como su mayor obstáculo para la resiliencia cibernética en el actual entorno digital interconectado.
Para evaluar la vulnerabilidad de las organizaciones ante esta amenaza, el centro interno de investigación de mercados de Kaspersky encargó un estudio global[1] que analiza cómo evolucionan estos riesgos y hasta qué punto las empresas de todo el mundo están expuestas a ellos.
De acuerdo con este estudio, el 31% de las grandes organizaciones se vio afectado por un ciberataque a la cadena de suministro en los últimos 12 meses, una cifra superior a la de cualquier otro tipo de ciberamenaza.
Este riesgo afecta especialmente a las compañías más conectadas: en el análisis por tamaño, las grandes empresas registran la mayor tasa de incidentes, alcanzando el 36%.
Cabe destacar que este mismo grupo de grandes organizaciones[2] también cuenta con un mayor número medio de proveedores de hardware y software, gestionando alrededor de 100 proveedores de media, lo que genera una amplia superficie potencial de ciberataque. Además, las organizaciones reconocen conceder acceso a sus sistemas a decenas de contratistas: mientras que la pequeña[3] y la mediana[4] empresa cuentan con unos 50 de media, en las grandes la cifra supera los 130, lo que facilita otro riesgo derivado de la interdependencia digital: los ataques basados en relaciones de confianza, en los que los ciberdelincuentes explotan conexiones legítimas entre organizaciones.
Durante el último año, los ciberataques basados en relaciones de confianza se situaron entre las cinco ciberamenazas más comunes, afectando a una cuarta parte (25%) de las compañías a nivel global. Este tipo de ataques fueron especialmente frecuentes en Turquía (35%), Singapur (33%) y México (31%).
Aunque los ciberataques a la cadena de suministro y los basados en relaciones de confianza figuran entre las amenazas más comunes, la encuesta muestra que muchos directivos tienden a subestimarlos. Al clasificar los riesgos según su peligrosidad, las organizaciones se centraron en ataques complejos como las amenazas persistentes avanzadas (APT), el ransomware o las amenazas internas, en lugar de aquellos que realmente sufren con mayor frecuencia. Solo el 9% de las empresas a nivel global situó los ciberataques a la cadena de suministro como su principal preocupación, un nivel de atención sorprendentemente bajo dada la frecuencia con la que estas amenazas interrumpen sus operaciones. De forma similar, solo el 8% señaló los ataques basados en relaciones de confianza.
Además, la mayoría de los expertos reconoce que una brecha en la cadena de suministro o en relaciones de confianza puede interrumpir las operaciones, ya que más de la mitad de los encuestados identificó este impacto como la principal consecuencia de este tipo de incidentes. Sin embargo, pocos sitúan estas amenazas entre sus prioridades principales, lo que evidencia una brecha entre la percepción teórica del riesgo y su gestión práctica.
Al mismo tiempo, los ciberataques a la cadena de suministro figuran con mayor frecuencia entre las tres ciberamenazas más peligrosas en países como Singapur (38%), Brasil (36%), Colombia (36%) y México (35%).
“Operamos en un ecosistema digital donde cada conexión, cada proveedor y cada integración pasa a formar parte de nuestro perfil de seguridad. A medida que las organizaciones se vuelven más interconectadas, su exposición a los ataques crece con ellas. En este contexto, proteger a la empresa moderna exige un enfoque de ecosistema completo que refuerce no solo los sistemas individuales, sino toda la red de relaciones que permite que el negocio funcione”, afirma Sergey Soldatov, responsable del Security Operations Center en Kaspersky.
Solo mediante la implantación de medidas preventivas en toda la organización y abordando las relaciones con proveedores y contratistas de forma estratégica pueden las empresas reducir los riesgos de la cadena de suministro y garantizar la resiliencia de su negocio.
Para mitigar estos riesgos, Kaspersky recomienda:
Evaluar a fondo a los proveedores antes de formalizar acuerdos, revisando sus políticas de ciberseguridad, antecedentes de incidentes y cumplimiento de estándares del sector. En el caso de software y servicios en la nube, también conviene analizar datos de vulnerabilidades y pruebas de penetración.
Establecer requisitos de seguridad contractuales, realizar auditorías periódicas y garantizar el cumplimiento de las políticas de seguridad y protocolos de notificación de incidentes de la organización.
Adoptar medidas tecnológicas preventivas, como aplicar el principio de mínimo privilegio, el enfoque Zero Trust y una gestión confiable de identidades para reducir el impacto si un proveedor se ve comprometido.
Garantizar una monitorización continua mediante soluciones como XDR o MXDR, incluidas en la línea Kaspersky Next, que permiten supervisar la infraestructura en tiempo real y detectar anomalías en software y tráfico de red, en función de la disponibilidad de personal especializado.
Desarrollar un plan de respuesta ante incidentes que contemple ataques a la cadena de suministro e incluya pasos para identificar y contener rápidamente las brechas, por ejemplo, desconectando al proveedor afectado de los sistemas corporativos.
Colaborar con los proveedores en materia de seguridad para reforzar la protección en ambas partes y convertirla en una prioridad compartida.
En el enlace se pueden consultar más recomendaciones, junto con otros datos interesantes sobre la exposición de las empresas a los ciberataques a la cadena de suministro.
[1] Para elaborar el informe, el centro de investigación de mercado interno de Kaspersky encargó una encuesta en la que se interrogó a 1.714 expertos técnicos, desde empleados de nivel C y vicepresidentes hasta jefes de equipo y especialistas sénior de empresas con más de 500 empleados. El estudio abarcó 16 países, entre ellos Alemania, España, Italia, Brasil, México, Colombia, Singapur, Vietnam, China, India, Indonesia, Arabia Saudí, Turquía, Egipto, Emiratos Árabes Unidos y Rusia.
[2] Empresa grande: 2500 empleados o más.
[3] Empresa pequeña: 500-1.499 empleados.
[4] Empresa mediana: 1.500-2.499 empleados.
