Monitoreo continuo: cómo subsanar las deficiencias de seguridad en la gestión de riesgos de los proveedores

Las cadenas de suministro son el pegamento que mantiene unida la economía global. También son una fuente importante de riesgos empresariales relacionados con la ciberseguridad. Los ataques a proveedores aumentaron un 431 % entre 2021 y 2024, y Se espera que lo hagan Siguen subiendo. Son malas noticias para las empresas con las que hacen negocios. IBM estima La vulneración de proveedores externos está vinculada a uno de los costos más elevados de violación de datos de cualquier tipo: 4.9 millones de dólares por violación.

El desafío para los líderes en riesgos y ciberseguridad reside en que los mecanismos de gestión de riesgos existentes son imperfectos. Pueden ser lentos, consumir muchos recursos y estar plagados de puntos ciegos. Una verdadera gestión de riesgos de proveedores se basa en la supervisión y el control continuos.

El crecimiento imparable de las cadenas de suministro

Las cadenas de suministro complejas y fragmentadas son el precio que pagamos por el comercio global. Durante la última década, o incluso más, han crecido para satisfacer la demanda de los consumidores de más opciones y precios más bajos, impulsada por el auge de las compras en línea. Al mismo tiempo, las cadenas de suministro digitales también han experimentado un enorme crecimiento gracias a la proliferación del software como servicio (SaaS), los proveedores de servicios gestionados (MSP) y la demanda empresarial de métodos de trabajo más innovadores y eficientes.

¿El resultado? Opacidad donde debería haber información, y niveles crecientes de riesgo empresarial que podrían poner en peligro las ganancias y la lealtad de los clientes, ganada con tanto esfuerzo. estimaciónIncluso la PYME promedio tiene 800 proveedores. Cuando se cuentan los proveedores de proveedores, Las cifras pronto alcanzarán en miles de empresas.

Un negocio arriesgado

Estas son malas noticias para los CISO y sus equipos, quienes deben encontrar la manera de gestionar los inevitables riesgos de ciberseguridad derivados de las extensas cadenas de suministro. Según IBM, el 15 % de las filtraciones de datos del año pasado se vieron afectadas por la vulnerabilidad de proveedores y cadenas de suministro. Verizon Afirma que la cifra se ha duplicado en el último año, alcanzando el 30 %. Sea cual sea la cifra real, los incidentes reales demuestran claramente el tipo de daño que pueden causar.

Terceros, como empresas de externalización y de servicios profesionales, pueden almacenar credenciales de acceso altamente sensibles y otros datos pertenecientes a las organizaciones de sus clientes. Podría tratarse de información de identificación personal (PII) altamente regulada sobre clientes y empleados, o de propiedad intelectual, secretos comerciales o datos financieros no públicos. Todos estos datos son un gran atractivo para los extorsionadores digitales, que podrían robarlos o cifrarlos para forzar el pago. Las filtraciones de datos de terceros representaron más de dos quintas partes (41%) de los ataques de ransomware en 2024, según... un estudio.

A medida que proliferan los proveedores, también aumenta el riesgo de fraude corporativo, como el que se produce a través de un compromiso de correo electrónico empresarial (BEC). Los actores de amenazas podrían enviar un correo electrónico de phishing a un miembro del equipo financiero, o incluso a un alto ejecutivo, solicitando el pago de una factura inexistente. Aumentan la probabilidad de éxito de sus ataques pirateando las cuentas de correo electrónico de clientes/proveedores para poder monitorear las comunicaciones y comprender el aspecto de las facturas. Pérdidas de BEC. reportado al FBI alcanzó casi 2.8 millones de dólares el año pasado, lo que lo convierte en el segundo tipo de delito cibernético con mayor recaudación.

Luego están los proveedores de proveedores. Uno reporte del 2023 Afirma que la mitad de las organizaciones estudiadas tenían relaciones indirectas con al menos 200 terceros que sufrieron brechas de seguridad en los dos años anteriores. Cuanto más pequeño sea el proveedor, menos recursos tendrá que invertir en las mejores prácticas de ciberseguridad.

La IA es un regalo para los hackers

Los ciberdelincuentes aprovechan cada vez más la tecnología de IA para mejorar sus tasas de éxito. De hecho, expertos del gobierno británico... advertido este año que la tecnología “casi con toda seguridad seguirá haciendo que los elementos de las operaciones de intrusión cibernética sean más efectivos y eficientes”.

Podemos observar esto en la forma en que la IA generativa permite la creación de campañas de phishing en lenguajes locales naturales e impecables. En la forma en que puede ayudar a los actores de amenazas a detectar las debilidades del sistema y seleccionar sus objetivos. E incluso en la forma en que podría asistir en la creación de malware y exploits. Por eso, la IA provocará un aumento en la frecuencia e intensidad de las ciberamenazas en los próximos dos años, advierte el informe.

Dependiendo del tipo y la magnitud del incidente de seguridad, el impacto para los clientes de un proveedor afectado varía desde daños financieros y reputacionales hasta riesgos regulatorios e interrupciones operativas. Cuanto más tiempo pase sin detectarse un incidente, más tiempo tendrán los actores de amenazas dentro de la red y, en última instancia, mayor será el costo de la limpieza y la recuperación. Desafortunadamente, las vulnerabilidades de la cadena de suministro son las que tardan más en resolverse, según IBM.

Un ejemplo de ello es la reciente divulgación de una importante filtración de ransomware en Conduent, proveedor multimillonario de BPO. Más de 11 millones de estadounidenses podrían haber visto expuestos sus números de la Seguridad Social, detalles del seguro médico e información médica, según... (aqui)Y aunque recién se les notificó en noviembre de 2025, se cree que el entorno de la empresa se vio comprometido ya en octubre de 2024.

Por qué es importante la monitorización continua

Afortunadamente, la IA también puede ayudar a las empresas a superar los desafíos comunes en la gestión del ciberriesgo de los proveedores. Muchas organizaciones se enfrentan a procesos manuales lentos y cuestionarios extensos que causan retrasos y generan puntos ciegos de visibilidad. La documentación inconsistente de los proveedores dificulta la comparación de las puntuaciones de riesgo en todo el ecosistema y la comprensión de lo que más importa para la empresa.

En cambio, con un enfoque centrado en los datos y la IA, las organizaciones pueden automatizar el trabajo pesado, tanto en la incorporación como posteriormente. Esto último es importante porque el riesgo no se detiene una vez aprobado un proveedor. Continúa evolucionando, posiblemente cada hora o día, con cada nueva vulnerabilidad de software, filtración de datos o cuenta mal configurada. Los proveedores podrían invertir en nueva infraestructura, lo que aumenta su vulnerabilidad a ciberataques. Podrían incorporar nuevos proveedores propios, modificando su exposición al riesgo. Y podrían ser blanco de nuevas campañas de actores de amenazas.

Todo esto exige un enfoque más proactivo para la gestión de riesgos de terceros, que va más allá de la recopilación y el procesamiento de encuestas y documentación de proveedores. Debe centrarse en la identificación de riesgos en tiempo real, para que la organización pueda actuar con rapidez antes de que se produzcan daños.

Introducción a la IA

Lograr este tipo de visión integral y continua del riesgo cibernético de los proveedores requerirá una gran cantidad de datos y algoritmos inteligentes para detectar patrones sospechosos. Cuantos más datos de alta calidad, mejor visibilidad. Esto podría incluir fuentes de inteligencia de amenazas que exploren foros de la dark web en busca de señales tempranas de una brecha de seguridad. O la monitorización de vulnerabilidades que detecte actualizaciones de seguridad faltantes en las instalaciones de los proveedores. También podría rastrear evidencia de correos electrónicos comprometidos entre los departamentos financieros de los proveedores, lo que podría indicar ataques BEC entrantes. O incluso patrones de transacciones sospechosas que involucren a dichos proveedores.

La IA puede utilizarse para identificar riesgos críticos en tiempo real y tomar medidas inmediatas. Además, permite asignar automáticamente una puntuación de riesgo actualizada continuamente a cada proveedor, ponderada según las políticas del cliente, su postura y su criticidad para el negocio.

La IA agente también podría ser un aliado poderoso, trabajando de forma autónoma para procesar y analizar documentación compleja de proveedores, como informes SOC 2 y políticas de seguridad internas, y mapeando los controles a marcos establecidos como NIST CSF o ISO 27001. Esto puede proporcionar visibilidad del cumplimiento en cuestión de minutos, en lugar de horas, liberando tiempo para que los equipos de seguridad y riesgo se dediquen a tareas de mayor valor. En organizaciones consolidadas, los agentes de IA también podrían trabajar de forma independiente para resolver y remediar problemas rutinarios, o al menos para dirigirlos al miembro adecuado del equipo para su pronta atención.

Llevar todo junto

La clave es garantizar que cualquier sistema de este tipo para la gestión del riesgo cibernético de proveedores esté unificado, de modo que los datos de riesgo no queden aislados e inutilizables. Idealmente, la misma plataforma permitiría otros tipos de gestión del riesgo de proveedores, en áreas como cumplimiento normativo, sostenibilidad, finanzas y operaciones. Esto debería proporcionar la información necesaria para tomar mejores decisiones empresariales.

Sobre todo, recuerde que el riesgo cibernético es fundamentalmente un riesgo empresarial. Nunca se puede eliminar, pero sí se puede gestionar con mayor eficacia.