Monitoreo Continuo: Cubriendo las Brechas de Seguridad en la Gestión de Riesgos de Proveedores

Las cadenas de suministro son el pegamento que mantiene unida la economía global. También son una fuente significativa de riesgo empresarial relacionado con la ciberseguridad. Los ataques a proveedores aumentaron un 431% entre 2021 y 2024, y se espera que sigan aumentando. Esto es malas noticias para las empresas que hacen negocios con ellos. IBM estima que la compromisión de proveedores es uno de los incidentes con mayor costo de violación de datos, con un costo promedio de $4.9 millones por incidente.

El desafío para los líderes de riesgo y ciberseguridad es que los mecanismos de gestión de riesgo existentes son imperfectos. Pueden ser lentos, intensivos en recursos y llenos de puntos ciegos. La verdadera gestión de riesgo de proveedores proviene de la supervisión y control continuos.

El crecimiento imparable de las cadenas de suministro

Las cadenas de suministro complejas y fragmentadas son el precio que pagamos por el comercio global. Durante la última década o más, han crecido para apoyar las demandas de los consumidores de más opciones y menores costos, impulsadas por una explosión en las compras en línea. Al mismo tiempo, las cadenas de suministro digitales también han experimentado un crecimiento tremendo, gracias a la proliferación de software como servicio (SaaS), proveedores de servicios administrados (MSP) y demandas empresariales de formas de trabajo más innovadoras y eficientes.

El resultado es la opacidad donde debería haber visibilidad, y niveles crecientes de riesgo empresarial que podrían poner en peligro las ganancias y la lealtad de los clientes. Según una estimación, incluso la empresa mediana tiene 800 proveedores. Cuando se cuentan los proveedores de los proveedores, las cifras pronto alcanzan los miles de empresas.

Un negocio riesgoso

Esto es malas noticias para los CISO y sus equipos, que deben encontrar una forma de gestionar los inevitables riesgos de ciberseguridad que conllevan las cadenas de suministro extensas. La compromisión de proveedores y cadenas de suministro representó el 15% de las violaciones de datos del año pasado, según IBM. Verizon afirma que la cifra ha aumentado realmente en un 100% en el último año, hasta alcanzar el 30%. Cualquiera que sea el verdadero recuento, está claro que los incidentes reales pueden causar daños.

Los terceros, como los proveedores de servicios externos y las firmas de servicios profesionales, pueden almacenar credenciales de acceso altamente sensibles y otros datos pertenecientes a sus organizaciones clientes. Puede tratarse de información personalmente identificable (PII) altamente regulada sobre clientes y empleados. O propiedad intelectual, secretos comerciales o datos financieros no públicos. Todo lo cual es un gran atractivo para los extorsionistas digitales, que podrían robar y/o cifrar para forzar el pago. Las violaciones de terceros representaron más de dos quintas partes (41%) de los ataques de ransomware en 2024, según un estudio.

A medida que proliferan los proveedores, también lo hace el riesgo de fraude corporativo, como el compromiso de correo electrónico empresarial (BEC). Los actores amenazantes podrían enviar un correo electrónico de phishing a un miembro del equipo de finanzas o incluso a un ejecutivo senior, solicitando el pago de una factura no existente. Hacen que sus ataques sean más seguros mediante la piratería de cuentas de correo electrónico de clientes/proveedores, para que puedan monitorear las comunicaciones y entender cómo se ven las facturas. Las pérdidas por BEC informadas al FBI alcanzaron casi $2.8 mil millones el año pasado, lo que lo convierte en el segundo tipo de ciberdelito con mayor recaudación.

Luego están los proveedores de los proveedores. Un informe de 2023 afirma que la mitad de las organizaciones estudiadas tenían relaciones indirectas con al menos 200 cuartas partes que sufrieron violaciones en los dos años anteriores. Cuanto menor es el proveedor, menos recursos puede tener para gastar en ciberseguridad de mejor práctica.

La IA es un regalo para los hackers

La tecnología de IA se está utilizando cada vez más para mejorar las tasas de éxito de los ciberdelincuentes. De hecho, los expertos del gobierno británico advirtieron este año que la tecnología “seguramente seguirá haciendo que los elementos de las operaciones de intrusión cibernética sean más efectivos y eficientes”.

Podemos ver esto en la forma en que la IA generativa permite la creación de campañas de phishing en lenguajes locales naturales y perfectos. En la forma en que puede ayudar a los actores amenazantes a sondear las debilidades del sistema y seleccionar sus objetivos. Y en la forma en que podría ayudar incluso en la creación de malware y exploits. Es por eso que la IA conducirá a “un aumento en la frecuencia y la intensidad de las amenazas cibernéticas” en los próximos dos años, según el informe.

Dependiendo del tipo y la extensión del incidente de seguridad, el impacto para los clientes de un proveedor violado va desde el daño financiero y de reputación hasta el riesgo regulatorio y la interrupción operativa. Cuanto más tiempo permanece sin detectar un incidente, más tiempo tienen los actores amenazantes dentro de la red y, en última instancia, más costará limpiar y recuperarse. Desafortunadamente, las compromisiones de la cadena de suministro tardan más en resolverse, según IBM.

Un caso en punto es la reciente divulgación de una violación de ransomware importante en el proveedor de BPO de millones de dólares Conduent. Más de 11 millones de estadounidenses pueden haber tenido expuestos sus números de seguro social, detalles de seguro de salud y información médica, según informes. Y aunque apenas estaban siendo notificados a partir de noviembre de 2025, se cree que el entorno de la empresa fue comprometido ya en octubre de 2024.

Por qué importa el monitoreo continuo

Afortunadamente, la IA también puede ayudar a los “buenos” a superar los desafíos comunes de la gestión de riesgo cibernético de los proveedores. Muchas organizaciones luchan con procesos manuales lentos y cuestionarios largos que causan retrasos y crean puntos ciegos de visibilidad. La documentación inconsistente de los proveedores hace que sea difícil comparar las puntuaciones de riesgo en todo el ecosistema y entender qué es lo más importante para el negocio.

En cambio, con un enfoque centrado en los datos y la IA, las organizaciones pueden hacer que la automatización realice el trabajo pesado, tanto en la integración como más allá. Lo último es importante porque el riesgo no se detiene una vez que se ha aprobado a un proveedor. Sigue evolucionando, potencialmente en una base horaria o diaria, con cada nueva vulnerabilidad de software, violación de datos o cuenta mal configurada. Los proveedores pueden invertir en nueva infraestructura, aumentando su superficie de ataque cibernético. Pueden agregar nuevos proveedores, cambiando la exposición al riesgo. Y pueden ser objetivo de campañas de actores amenazantes novedosas.

Todo lo cual exige un enfoque más proactivo en la gestión de riesgo de terceros, que va más allá de recopilar y procesar encuestas y documentación de proveedores. Debe centrarse en identificar el riesgo en tiempo real, para que la organización pueda tomar medidas rápidas antes de que se cause cualquier daño.

Comenzar con la IA

Lograr este tipo de visibilidad continua de 360 grados en el riesgo cibernético de los proveedores requerirá mucha data – y algoritmos inteligentes para señalarizar patrones sospechosos. Cuanta más data de alta calidad, mejor la visibilidad. Esto podría incluir fuentes de inteligencia de amenazas que escanean foros de la dark web en busca de señales de advertencia temprana de una violación. O el monitoreo de vulnerabilidades que resalta las actualizaciones de seguridad que faltan en los activos de los proveedores. También podría rastrear evidencia de compromiso de correo electrónico entre los departamentos de finanzas de los proveedores, lo que puede indicar ataques de BEC entrantes. O incluso patrones de transacciones sospechosas que involucran a esos proveedores.

La IA se puede utilizar para identificar riesgos críticos en tiempo real, para tomar medidas inmediatas. Y para asignar automáticamente una puntuación de riesgo actualizada para cada proveedor, ponderada según las políticas, la postura y la criticidad para el negocio.

La IA agente también podría ser un aliado poderoso, trabajando de forma autónoma para ingerir y analizar documentación de proveedores compleja, como informes SOC 2 y políticas de seguridad internas, y mapear controles a marcos establecidos como NIST CSF o ISO 27001. Esto puede proporcionar visibilidad de cumplimiento en solo minutos, en lugar de horas, liberando tiempo para que los equipos de seguridad y riesgo trabajen en tareas de mayor valor. En organizaciones maduras, los agentes de IA podrían trabajar de forma independiente para resolver y remediar problemas rutinarios – o al menos para enrutrarlos al miembro correcto del equipo para una atención rápida.

Uniendo todo

La clave es asegurarse de que cualquier sistema para la gestión de riesgo cibernético de los proveedores sea unificado, para que los datos de riesgo no terminen siloizados e inutilizables. Idealmente, la misma plataforma debería permitir otros tipos de gestión de riesgo de proveedores, en áreas como el cumplimiento, la sostenibilidad, las finanzas y las operaciones. Eso debería proporcionar el tipo de información sobre la que se pueden tomar mejores decisiones comerciales.

Above all, recuerde que el riesgo cibernético es fundamentalmente un riesgo empresarial. Nunca puede ser eliminado. Pero puede ser gestionado de manera más efectiva.