La cadena de suministro expone a riesgos de seguridad a 1 de cada 3 empresas en España

Los ciberataques a la cadena de suministro se han convertido en la ciberamenaza más común para las empresas durante el último año. Según el nuevo estudio de Kaspersky “Supply chain reaction: securing the global digital ecosystem in an age of interdependence” casi una de cada tres compañías (31%) ha sufrido un ataque real este año, siendo la exposición al riesgo muy superior a la media global en países como México (43%), China (40%) y España (40%).

Según datos recientes del Foro Económico Mundial, casi dos tercios (65%) de las grandes empresas señalan las vulnerabilidades de terceros y de la cadena de suministro como su principal obstáculo para lograr la resiliencia cibernética en el actual entorno digital interconectado.

Evolución de las principales amenazas

Con el objetivo de evaluar la exposición de las organizaciones a los riesgos asociados a la cadena de suministro, el centro interno de investigación de mercados de Kaspersky encargó un estudio global que analiza la evolución de estas amenazas y el grado en que las empresas de todo el mundo están expuestas a ellas dentro de su cadena de suministro.

De acuerdo con este informe, el 31% de las grandes organizaciones sufrió un ciberataque vinculado a la cadena de suministro en los últimos 12 meses, una cifra superior a la registrada para cualquier otro tipo de ciberamenaza. Este dato pone de manifiesto la creciente relevancia de la seguridad en la cadena de suministro como prioridad estratégica.

Este riesgo afecta especialmente a las compañías más interconectadas. En el análisis por tamaño, las grandes empresas registran la mayor tasa de incidentes en la cadena de suministro, alcanzando el 36%.

Cabe destacar que este grupo de grandes organizaciones también gestiona un mayor número medio de proveedores de hardware y software dentro de su cadena de suministro, con alrededor de 100 proveedores de media, lo que amplía significativamente la superficie potencial de ciberataque en la cadena de suministro.

Además, las organizaciones reconocen conceder acceso a sus sistemas a numerosos contratistas: mientras que las pequeñas y medianas empresas cuentan con unos 50 de media, en las grandes la cifra supera los 130. Esta situación incrementa la complejidad de la gestión de la cadena de suministro y facilita otro riesgo derivado de la interdependencia digital: los ataques basados en relaciones de confianza, en los que los ciberdelincuentes explotan conexiones legítimas dentro de la cadena de suministro.

Durante el último año, los ciberataques basados en relaciones de confianza —muchos de ellos originados en la cadena de suministro— se situaron entre las cinco ciberamenazas más comunes, afectando al 25% de las compañías a nivel global. Este tipo de incidentes fueron especialmente frecuentes en Turquía (35%), Singapur (33%) y México (31%).

Aunque los ciberataques a la cadena de suministro y los basados en relaciones de confianza figuran entre las amenazas más habituales, la encuesta revela que muchos directivos tienden a subestimarlos. Al clasificar los riesgos según su peligrosidad, las organizaciones priorizan ataques complejos como las amenazas persistentes avanzadas (APT), el ransomware o las amenazas internas, relegando los riesgos asociados a la cadena de suministro, a pesar de su alta frecuencia.

Solo el 9% de las empresas a nivel global sitúa los ciberataques a la cadena de suministro como su principal preocupación, un nivel de atención sorprendentemente bajo si se tiene en cuenta la frecuencia con la que estos incidentes afectan a la cadena de suministro y comprometen las operaciones. De forma similar, únicamente el 8% menciona los ataques basados en relaciones de confianza.

Brecha entre percepción del riesgo y gestión

Asimismo, la mayoría de los expertos reconoce que una brecha en la cadena de suministro o en relaciones de confianza puede interrumpir gravemente las operaciones. Más de la mitad de los encuestados identifica este impacto como la principal consecuencia de este tipo de incidentes en la cadena de suministro. Sin embargo, estas amenazas siguen sin ocupar un lugar prioritario en muchas organizaciones, lo que evidencia una brecha entre la percepción teórica del riesgo y la gestión práctica de la cadena de suministro.

Al mismo tiempo, los ciberataques a la cadena de suministro figuran con mayor frecuencia entre las tres ciberamenazas más peligrosas en países como Singapur (38%), Brasil (36%), Colombia (36%) y México (35%).

“Operamos en un ecosistema digital donde cada conexión, cada proveedor y cada integración pasan a formar parte de nuestro perfil de seguridad y de nuestra cadena de suministro. A medida que las organizaciones se vuelven más interdependientes, también lo hace su exposición a los riesgos asociados a la cadena de suministro.

Solo el 9% de las empresas a nivel global sitúa los ciberataques a la cadena de suministro como su principal preocupación

En este contexto, proteger a la empresa moderna exige un enfoque integral que refuerce no solo los sistemas individuales, sino también toda la red de relaciones que conforman la cadena de suministro y permiten que el negocio funcione”, afirma Sergey Soldatov, responsable del Security Operations Center en Kaspersky.

Solo mediante la implantación de medidas preventivas en toda la organización y una gestión estratégica de las relaciones con proveedores y contratistas será posible reducir los riesgos en la cadena de suministro y garantizar la resiliencia del negocio.

Para mitigar estos riesgos en la cadena de suministro, Kaspersky recomienda los siguientes aspectos:

• Evaluar exhaustivamente a los proveedores antes de formalizar acuerdos dentro de la cadena de suministro, revisando sus políticas de ciberseguridad, antecedentes de incidentes y cumplimiento de estándares del sector. En el caso de software y servicios en la nube, también conviene analizar datos de vulnerabilidades y pruebas de penetración.
• Establecer requisitos de seguridad contractuales, realizar auditorías periódicas y garantizar el cumplimiento de políticas y protocolos de notificación de incidentes en toda la cadena de suministro.
• Adoptar medidas tecnológicas preventivas, como el principio de mínimo privilegio, el enfoque Zero Trust y una gestión robusta de identidades, con el fin de reducir el impacto si algún elemento de la cadena de suministro se ve comprometido.
• Garantizar una monitorización continua mediante soluciones como XDR o MXDR, incluidas en la línea Kaspersky Next, que permiten supervisar en tiempo real la infraestructura y detectar anomalías en software y tráfico de red dentro de la cadena de suministro, en función de la disponibilidad de personal especializado.
• Desarrollar un plan de respuesta ante incidentes que contemple específicamente ataques a la cadena de suministro e incluya medidas para identificar y contener rápidamente las brechas, como la desconexión del proveedor afectado de los sistemas corporativos.
• Fomentar la colaboración con los proveedores en materia de seguridad, reforzando la protección conjunta y convirtiendo la seguridad de la cadena de suministro en una prioridad compartida.