Si las empresas proveedoras tienen acceso a tu información, abriste una zona de riesgo de ciberseguridad. Y si ese proveedor es parte de una cadena de suministros, serán varias las organizaciones que deberán involucrarse en gestionar tus propios riesgos. Aquí verás un diagnóstico de este reto, y mejores prácticas para su atención.
Alejandra Flores Mosri*
Diciembre 2025
La popularidad del software as a service (SaaS), y la digitalización de los servicios de proveedores, ocasiona una mayor interacción entre los sistemas de la organización donde uno trabaja con la de otras organizaciones, generando así riesgos compartidos de ciberseguridad que, en su mayoría, no se logran controlar y en ocasiones ni siquiera son conocidos
Según el reporte de SecurityScorecard -empresa líder en la gestión de riesgos de terceros- https://securityscorecard.com/resource/global-third-party-breach-report/ – durante el año 2024, el 35.5% de las brechas de seguridad a nivel mundial se relacionaron con servicios de terceros; 6.5% más que en 2023. De acuerdo con las métricas de SecurityScorecard, los sectores más afectados fueron el de las ventas, tecnología y energía, y los vectores de ataques más relevantes fueron las credenciales de acceso expuestas y la cadena de suministro para el desarrollo de software.
El tercero y su cadena de suministro
Un tercero es un proveedor que presta servicios a otras organizaciones bajo el entendido de que ese servicio forma parte de una cadena de suministro. El riesgo cibernético consiste en “el evento donde un adversario sabotea o maliciosamente introduce, instala u opera un elemento de la cadena de suministro (servicio, biblioteca de software, redes, etc.) con la intención de vigilar, denegar, interrumpir o degradar la función, uso u operación de un sistema”. (https://csrc.nist.gov/glossary/term/supply_chain_risk).
Este tipo de riesgo es el que se ha vuelto más relevante en los últimos años.
El problema
La mayoría de estos terceros son PyMES con pocos recursos y poca capacitación en ciberseguridad. Esta situación pone en peligro a organizaciones de todos los tamaños sin importar las medidas de seguridad que implementen internamente. Una brecha de seguridad en un proveedor pequeño puede convertirse en una brecha de seguridad para todas las organizaciones a las que le presta servicios.
Las vulnerabilidades de estos proveedores son una puerta abierta para que los atacantes penetren organizaciones más grandes a pesar de que cuentan con mejores medidas de seguridad. Estos vectores de ataques están siendo explotados con mucha más frecuencia.
De igual forma, los efectos de la exposición de información en un tercero que presta un servicio aparentemente no-crítico, puede causar gastos y crisis reputacionales no previstos para el contratante, para el proveedor, y para el resto de las empresas que forman parte de la cadena de proveeduría.
¿Cuáles son las fallas más comunes en la gestión de riesgos de terceros?
Falta de visibilidad. No es común pedir a un tercero evidencia de sus medidas de seguridad. Las organizaciones tienen demasiados proveedores, por lo que la debida diligencia no se realiza o no tiene la profundidad adecuada.
Poca claridad en la clasificación de los terceros. El impacto reputacional de un incidente que de otra forma podría ser considerado bajo puede ser más grande de lo esperado.
Ciclos de evaluación demasiado largos. Los proveedores tardan en entregar la información que le permite a la organización contratante evaluarla. Esto hace que proveedores no críticos queden perdidos en ciclos de evaluación, ocasionando que se firmen contratos sin tener toda la información para estimar correctamente los riesgos.
Terceros con poca madurez en ciberseguridad. Frecuentemente los terceros no tienen la información solicitada por el contratante para llevar a cabo la evaluación ni para implementar las medidas de seguridad adecuadas.
No se monitorea ni se reevaluación a terceros. En muchas de las organizaciones, únicamente se lleva a cabo una evaluación inicial ya que no hay suficiente capacidad para el monitoreo y reevaluación de los terceros. Los planes de remediación y mitigación de riesgos asignados a los proveedores nunca se materializan.
Los cuestionarios de recopilación de información no son efectivos. Los cuestionarios son demasiado largos y complicados. Las PyMES que reciben un cuestionario para recopilar información no tienen personal capacitado para entenderlo y contestarlo. Por lo tanto, los cuestionarios no son herramientas que realmente detecten los riesgos relevantes en terceros.
Recomendaciones y mejores prácticas
Mantener un adecuado registro de proveedores. Importa mantener una lista completa de todos los proveedores que prestan servicio a la organización. A partir de esa base de datos, se inicia una evaluación adecuada que cubre a la mayoría de los terceros.
Clasificar correctamente a los terceros. Los terceros deben ser clasificados en base a la criticidad de los servicios que proveen, la criticidad de los sistemas a los que tienen acceso y la importancia de la información que procesan. Esta clasificación permitirá desarrollar una estrategia adecuada para la debida diligencia y la profundidad a la que se debe llegar en la evaluación. La clasificación de los terceros permite también tener un conjunto de cláusulas legales planeadas previamente que pueden incluirse fácilmente en los contratos.
Adecuación de los cuestionarios para recabar información de seguridad informática. Los cuestionarios para llevar a cabo la debida diligencia deben adecuarse a la criticidad y al servicio que prestará el tercero. Un esfuerzo en adecuar los cuestionarios puede agilizar significativamente estos procesos y liberar recursos del equipo de evaluación hacia actividades de monitoreo y revisión de planes de remediación de terceros críticos.
Integrar a los terceros en los planes de respuesta a incidentes. Se debe informar a los proveedores de servicios críticos sobre su papel en la gestión de incidentes. Los terceros en esta clasificación deben estar listos para participar en simulaciones del plan de respuesta a incidentes. Importa también atender los planes de respuesta a incidentes de terceros críticos y verificar que estén alineados a los planes de respuesta a incidentes de la organización contratante.
Mantener un plan realista de monitoreo de terceros. Igual que la evaluación inicial de los proveedores, es necesario tener un plan adecuado a las capacidades del equipo de gestión de riesgos para el monitoreo y reevaluación de los riesgos basado en la criticidad del proveedor. Lo ideal es alinear el proceso de reevaluación con el proceso legal de renovación de contratos.
El camino que falta recorrer
En conclusión, el plan para gestionar el riesgo de ciberseguridad provocado por terceros y su cadena de suministros, debe adecuarse a las necesidades de la organización que contrata a ese tercero; debe ser un proceso que se replica y repite regularmente; debe ser realista; debe mejorar el estatus de la seguridad de la organización en lo que se refiere a incidentes ligados a sus relaciones con terceros.
Hace mucha falta concientizar acerca del valor de la gestión de riesgo en la cadena de suministro, los posibles impactos de un incidente provocado por un proveedor sobre el cual la organización contratante no tiene control. El riesgo de ciberseguridad en la relación con proveedores es compartido y debe asumirse y gestionarse por todas las partes involucradas para lograr una defensa coordinada ante un posible ataque de seguridad.
*Alejandra Flores Mosri es Consultora y profesora de Ciberseguridad en la Escuela de Ingeniería y Ciencias del Tecnológico de Monterrey, campus Ciudad de México. alejandra.floresm@tec.mx