Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Tus proveedores sufren ataques cada mes. Descubre lo que esto significa para tu empresa.

Tus proveedores sufren ataques cada mes. Descubre lo que esto significa para tu empresa.

by Patrick Spencer updated febrero 24, 2026 Riesgo de Terceros
Reading Time: 14 minutes

Empecemos con una cifra que debería hacer reflexionar a cualquier directivo: el promedio de organizaciones sufrió 12 filtraciones de terceros el año pasado. Es decir, una filtración al mes, y no provienen de tus propios sistemas, sino de los proveedores, socios y prestadores de servicios en quienes confías el acceso a tus datos y operaciones.

Este dato proviene del informe State of Third-Party Risk Assessments 2026 de ProcessUnity, basado en una encuesta a casi 1,500 profesionales de riesgos realizada por el Ponemon Institute. Y aquí viene lo más llamativo: aunque el 90% de las organizaciones experimentó una filtración de terceros en el último año, el 53% de los encuestados aún confía en que sus programas de administración de riesgos de terceros son efectivos.

Esta desconexión entre percepción y realidad revela un problema fundamental en la forma en que las empresas gestionan las relaciones con proveedores. Las organizaciones creen que están gestionando el riesgo, cuando los datos demuestran lo contrario. La pregunta no es si tus proveedores sufrirán una filtración, sino si te enterarás cuando ocurra y si estarás preparado para responder.

5 conclusiones clave

1. Las organizaciones enfrentan un promedio de 12 filtraciones de terceros al año

Tus proveedores están siendo comprometidos aproximadamente una vez al mes, según el informe 2026 de ProcessUnity que encuestó a casi 1,500 profesionales de riesgos. A pesar de esta frecuencia alarmante, el 53% de las organizaciones aún cree que sus programas de administración de riesgos de terceros son efectivos, lo que evidencia una peligrosa brecha entre percepción y realidad.

2. La mayoría de las evaluaciones de riesgos de proveedores son demasiado lentas y limitadas

Seis de cada diez organizaciones tardan cuatro meses o más en completar una sola evaluación de proveedor, y en promedio solo evalúan al 36% de sus terceros. Esto significa que casi dos tercios de tus relaciones con proveedores funcionan sin una supervisión formal de seguridad, mientras las amenazas evolucionan a diario.

3. El compromiso de correo electrónico genera más reclamaciones que el ransomware

El compromiso de correo electrónico empresarial y el fraude por transferencia de fondos representan el 60% de todas las reclamaciones de ciberseguros, superando ampliamente el 20% atribuido al ransomware. Los atacantes que acceden a los sistemas de correo electrónico de proveedores pueden hacerse pasar por contactos de confianza, robar credenciales e iniciar transferencias fraudulentas, por lo que la seguridad del correo electrónico es tan crítica como cualquier cuestionario para proveedores.

4. El riesgo de cuartos proveedores sigue siendo un gran punto ciego

Menos de la mitad de las organizaciones evalúan a los proveedores de sus proveedores, y solo el 23% extiende estas evaluaciones más allá de los proveedores críticos. Cuando incidentes como la filtración de Snowflake se propagan por cadenas de suministro interconectadas, las organizaciones sin visibilidad de cuartos proveedores descubren su exposición demasiado tarde.

5. Los procesos manuales no pueden seguir el ritmo de las amenazas actuales

Casi dos tercios de las organizaciones aún dependen de hojas de cálculo para las evaluaciones de riesgos de proveedores, mientras que el 27% de los proveedores nunca responde a las solicitudes de evaluación. La adopción de IA está acelerándose (el 44% de las organizaciones ya usa o planea usar evaluaciones asistidas por IA), pero los marcos de gobernanza avanzan peligrosamente por detrás de la implementación.

El verdadero costo de confiar en tus proveedores

Las filtraciones de terceros no solo son un dolor de cabeza de seguridad. Son un golpe financiero directo.

Según el informe de reclamaciones cibernéticas 2025 de Coalition, el costo promedio de remediar una filtración de terceros ronda los $42,000. Puede parecer manejable, hasta que consideras que los mismos datos muestran que el 52% de las pérdidas internas diversas provienen de incidentes con proveedores. Si sumas los efectos en cascada (honorarios legales, investigaciones forenses, notificaciones de filtración, pérdida de clientes y escrutinio regulatorio), los costos reales aumentan drásticamente.

Los datos de investigaciones más amplias sobre filtraciones muestran un panorama aún más preocupante. Las filtraciones de terceros y la cadena de suministro son el segundo vector de ataque más común y están entre los más costosos de abordar. Cuando una filtración se origina en un sistema de terceros, las organizaciones enfrentan costos de remediación que se acercan a los $4.8 millones en promedio. Además, estos incidentes tardan aproximadamente 26 días más en detectarse que las filtraciones internas, dando a los atacantes más tiempo para causar daño.

La filtración de Change Healthcare en 2024 es un claro ejemplo. Un ataque de ransomware iniciado por phishing se convirtió en la mayor filtración de datos de salud registrada, afectando a 190 millones de personas y paralizando redes hospitalarias en todo el país. UnitedHealth gastó más de $2 mil millones en la respuesta y reembolsó a proveedores más de $4.7 mil millones. Cuando las operaciones de salud se detienen, las consecuencias van mucho más allá de lo financiero: la vida de los pacientes está en juego.

Recupera el control de tus datos con administración de riesgos de proveedores

Lee ahora

Por qué falla la administración tradicional de riesgos de proveedores

El informe de ProcessUnity revela verdades incómodas sobre cómo las organizaciones gestionan actualmente la supervisión de proveedores. En promedio, las empresas solo evalúan al 36% de sus proveedores de terceros. Eso significa que casi dos tercios de tus relaciones con proveedores funcionan en lo que equivale a un punto ciego de seguridad.

Incluso cuando se realizan evaluaciones, suelen tardar demasiado. Seis de cada diez organizaciones informan que sus evaluaciones de riesgos de proveedores tardan cuatro meses o más en completarse. Más de una cuarta parte afirma que estas evaluaciones consumen más de 160 horas de trabajo del personal cada una. Mientras tanto, las amenazas evolucionan a diario. Un ciclo de evaluación de cuatro meses implica que evalúas la postura de seguridad de un proveedor según condiciones que pueden haber cambiado drásticamente al terminar el papeleo.

La dependencia de procesos manuales agrava el problema. Casi dos tercios de las organizaciones siguen usando hojas de cálculo para sus evaluaciones de riesgos. Las hojas de cálculo funcionan bien para controlar tu presupuesto o planificar un proyecto, pero son totalmente insuficientes para gestionar la postura de seguridad de decenas o cientos de proveedores en tiempo real.

La capacidad de respuesta de los proveedores es otro reto. Según la encuesta, el 61% de las organizaciones informa que los proveedores suelen tardar cuatro meses o más en responder a los cuestionarios de evaluación de riesgos. Aún más preocupante: en promedio, el 27% de los proveedores simplemente nunca responde. No puedes gestionar un riesgo que no puedes medir, y no puedes medir lo que los proveedores se niegan a revelar.

El panorama de la remediación es igual de desalentador. Solo el 16% de los encuestados dijo que la remediación estaba entre el 90% y el 100% completada antes de incorporar a un nuevo proveedor. Casi uno de cada cinco reportó que normalmente no se completan actividades de remediación antes de poner un proveedor en producción. Las organizaciones conocen los riesgos. Los documentan. Pero igual incorporan al proveedor porque los plazos de negocio no esperan.

El problema de los cuartos proveedores del que nadie habla

Tus proveedores también tienen proveedores. Esos subcontratistas y prestadores de servicios, comúnmente llamados cuartos proveedores, suelen tener acceso a los mismos datos confidenciales y sistemas que tus proveedores directos. Sin embargo, menos de la mitad de las organizaciones realiza evaluaciones de cuartos proveedores como parte de sus programas de administración de riesgos. Solo el 23% extiende estas evaluaciones más allá de los proveedores críticos.

Esta brecha genera lo que los profesionales de riesgos llaman un problema de concentración. Cuando un proveedor importante sufre un incidente, el daño se propaga a todas las organizaciones que dependen de él, y a todas las que dependen de sus clientes. La filtración de credenciales de Snowflake en 2024 demostró cómo el compromiso de un proveedor puede afectar a todo un ecosistema, incluyendo a grandes empresas como Advance Auto Parts, que reportó una filtración que afectó a más de 2.3 millones de personas.

Los incidentes de Change Healthcare y CDK Global ilustran aún más este riesgo agregado. Un solo punto de falla en la cadena de suministro puede provocar una interrupción operativa generalizada en todo un sector.

Correo electrónico: la puerta principal por donde siguen entrando los atacantes

Aunque el riesgo de terceros acapara titulares, el informe de Coalition revela que el camino más común hacia tu organización sigue siendo el mismo: el correo electrónico.

El compromiso de correo electrónico empresarial y el fraude por transferencia de fondos representan el 60% de todas las reclamaciones de ciberseguros. El ransomware, a pesar de su fama, solo representa alrededor del 20% de las reclamaciones, aunque esos incidentes tienen un impacto financiero mucho mayor cuando ocurren.

La intersección entre el compromiso de correo electrónico y el riesgo de terceros crea una superficie de ataque especialmente peligrosa. Los atacantes que acceden a los sistemas de correo electrónico de proveedores pueden hacerse pasar por contactos de confianza, iniciar transferencias fraudulentas y robar credenciales que permitan un acceso más profundo a tu entorno. Un incidente en Coinbase en 2025 demostró este riesgo cuando empleados maliciosos de un proveedor de soporte externo exfiltraron datos de usuarios e intentaron una extorsión de $20 millones.

La implicación práctica: tus controles de seguridad de correo electrónico y los procesos de verificación de pagos merecen tanta atención como los cuestionarios de evaluación de proveedores. El marco de riesgos más sofisticado no servirá si un atacante accede a tu bandeja de entrada porque alguien hizo clic en un enlace aparentemente legítimo.

Por eso, las organizaciones que gestionan datos sensibles cada vez adoptan plataformas de protección de correo electrónico que ofrecen cifrado de extremo a extremo, detección avanzada de amenazas y registros de auditoría integrales. Cuando el correo electrónico es tanto tu canal principal de comunicación como tu mayor vulnerabilidad, tratarlo como infraestructura crítica y no como un simple servicio es esencial.

Ransomware: sigue siendo el campeón del impacto financiero

Aunque la gravedad del ransomware ha disminuido año tras año, sigue siendo el principal factor de costo en las reclamaciones de ciberseguros. La severidad global del ransomware promedió alrededor de $292,000 en 2024, y la amenaza sigue evolucionando.

El estudio de caso del informe de Coalition describe un escenario que se repite en todos los sectores: los atacantes obtienen acceso inicial a través de software de escritorio remoto u otras herramientas de acceso remoto, se mueven lateralmente por la red, corrompen las copias de seguridad locales para eliminar opciones de recuperación y luego despliegan ransomware con amenazas de filtrar datos si no se paga.

La táctica de corromper las copias de seguridad merece especial atención. Muchas organizaciones creen que su estrategia de respaldo las protege del ransomware, pero los atacantes sofisticados apuntan específicamente a los sistemas de respaldo como parte de su estrategia. Si tus copias de seguridad están en la misma red que tus sistemas de producción y accesibles con las mismas credenciales, ofrecen una falsa sensación de seguridad en lugar de una protección real.

Las herramientas de acceso remoto representan otra vulnerabilidad crítica. La proliferación del trabajo remoto ha ampliado enormemente la superficie de ataque disponible para los actores maliciosos. Cada concentrador VPN, servicio de escritorio remoto y portal de acceso a la nube es un posible punto de entrada que los atacantes exploran activamente.

Industria y tamaño de empresa: el riesgo no se distribuye por igual

Los datos de Coalition muestran variaciones significativas en la exposición al riesgo según el sector y el tamaño de la empresa.

Las empresas de productos de consumo enfrentan la mayor frecuencia de reclamaciones (2.60%), mientras que las del sector energético experimentan la mayor gravedad, con una pérdida promedio de $292,000 por incidente. Las pequeñas y medianas empresas con ingresos inferiores a $25 millones representaron el 64% del total de reclamaciones, a pesar de tener tasas de frecuencia más bajas. Esto sugiere que las organizaciones más pequeñas suelen carecer de recursos y experiencia para prevenir incidentes, aunque sean menos atacadas.

En el otro extremo, las empresas con ingresos superiores a $100 millones experimentan una frecuencia de reclamaciones cercana al 6%, pero también cuentan con recursos para invertir en defensas más sólidas. La gravedad promedio que enfrentan ronda los $228,000 por incidente.

Estas diferencias tienen implicaciones prácticas para la asignación de recursos en la gestión de riesgos. Una pequeña empresa manufacturera enfrenta amenazas distintas a las de una gran firma de servicios financieros, y sus inversiones defensivas deben reflejar esas diferencias.

La transformación de la IA: oportunidad y riesgo se cruzan

La inteligencia artificial está transformando la administración de riesgos de terceros de formas prometedoras y preocupantes.

Por el lado positivo, la adopción de IA para evaluaciones de riesgos avanza rápidamente. Según la encuesta de ProcessUnity, el 25% de las organizaciones ha adoptado parcialmente IA para apoyar sus evaluaciones de riesgos de terceros, el 19% reporta adopción total y el 37% planea adoptarla en el futuro. Entre quienes usan IA, el 53% afirma que libera al personal para tareas de mayor valor, el 48% dice que aporta inteligencia en tiempo real y el 42% reporta mejores resultados de gestión.

Las herramientas de IA pueden acelerar los ciclos de evaluación, identificar riesgos emergentes en tiempo real y ayudar a las organizaciones a escalar sus capacidades de monitoreo sin aumentar proporcionalmente la plantilla. Para quienes se ahogan en hojas de cálculo y cuestionarios, esto representa una oportunidad real de transformación.

Sin embargo, la IA también introduce nuevos vectores de riesgo. Aproximadamente uno de cada seis incidentes en 2025 involucró ataques impulsados por IA, con atacantes usando IA para crear correos de phishing más convincentes, automatizar el escaneo de vulnerabilidades y acelerar sus operaciones. La IA en la sombra (empleados usando herramientas de IA sin supervisión de seguridad) se ha convertido en un multiplicador de costos significativo, agregando en promedio $670,000 a los gastos de una filtración cuando está presente.

La brecha de gobernanza es considerable. Muchas organizaciones han implementado capacidades de IA más rápido de lo que han desarrollado políticas para su uso. Las auditorías regulares de herramientas de IA no autorizadas siguen siendo la excepción y no la norma.

El problema de las soluciones puntuales: por qué la seguridad fragmentada genera riesgo

Un patrón se repite en los análisis post-incidente: las organizaciones con arquitecturas de seguridad fragmentadas (una herramienta para correo electrónico, otra para uso compartido de archivos, sistemas separados para formularios y recolección de datos) tienen dificultades para mantener una protección y visibilidad consistentes en sus operaciones.

Cada solución puntual introduce su propio modelo de seguridad, controles de acceso, registros de auditoría y posibles vulnerabilidades. Cuando estos sistemas no se comunican eficazmente, surgen brechas. Un atacante que compromete un sistema puede moverse a otros porque la arquitectura fragmentada carece de visibilidad y control unificados.

Los datos de Coalition sobre el riesgo de concentración de proveedores refuerzan este punto. Cuando el 52% de las pérdidas internas diversas provienen de incidentes de terceros, el número de proveedores en tu stack de seguridad se correlaciona directamente con tu exposición. Cada relación adicional, incluidos los propios proveedores de seguridad, amplía tu superficie de ataque.

Esta realidad impulsa el creciente interés en plataformas unificadas que consoliden las comunicaciones de contenido confidencial bajo una sola arquitectura de seguridad. En vez de gestionar herramientas separadas para correo seguro, uso compartido de archivos, transferencia gestionada y formularios web, las organizaciones pueden reducir la complejidad y el riesgo adoptando soluciones integradas con controles de seguridad consistentes, administración centralizada de políticas y capacidades de auditoría integral en todos los flujos de datos sensibles.

Formularios web: el vector de ataque olvidado

Aunque el correo electrónico domina las estadísticas de reclamaciones, los formularios web representan una vulnerabilidad cada vez más explotada que merece atención. Cada formulario que recopila datos sensibles (información de ingreso de pacientes, solicitudes financieras, documentación de incorporación de empleados, solicitudes de servicio al cliente) crea un posible punto de entrada para atacantes y una responsabilidad de cumplimiento para las organizaciones.

Las plataformas tradicionales de formularios web priorizan la conveniencia sobre la seguridad. Operan en arquitecturas multi-tenant donde una sola filtración puede exponer datos de miles de organizaciones al mismo tiempo. Almacenan envíos en bases de datos sin cifrar. Carecen de los registros de auditoría que los reguladores exigen cada vez más.

Para las organizaciones que recopilan datos sensibles mediante formularios web seguros, los requisitos de seguridad deben incluir cifrado en reposo y en tránsito, controles de acceso granulares, registros de auditoría completos e integración con los sistemas de gestión de identidades existentes. Los formularios que recopilan datos de salud requieren infraestructura compatible con HIPAA. Los que procesan información financiera necesitan controles apropiados para SOX. Los generadores de formularios genéricos rara vez cumplen estos requisitos de fábrica.

Cumplimiento: el multiplicador de costos que nadie presupone

Los incidentes no se quedan en el departamento de seguridad. Se convierten en eventos de cumplimiento con sus propios flujos de trabajo y centros de costos.

Coalition atribuye el aumento de la gravedad del compromiso de correo electrónico empresarial en parte a la creciente carga de gastos legales, costos de respuesta a incidentes, esfuerzos de minería de datos y requisitos de notificación. Cuando ocurre una filtración, intervienen abogados. Los reguladores pueden solicitar información. Hay que notificar a las personas afectadas. Se debe preservar evidencia. Todo esto consume recursos y amplía el impacto financiero mucho más allá del incidente inicial.

La dimensión de cumplimiento transforma lo que podría ser un incidente contenido en una crisis a nivel organizacional. Las organizaciones de salud enfrentan requisitos de notificación HIPAA y posibles sanciones. Las instituciones financieras deben sortear las implicaciones de SOX. Cualquier organización que gestione datos de residentes de la UE se enfrenta a los estrictos plazos de notificación de brechas del GDPR y a multas sustanciales.

Las organizaciones que ven la preparación para el cumplimiento como algo secundario enfrentan tiempos de recuperación más largos y mayores costos. Construir la infraestructura para la respuesta a incidentes (saber a qué abogados llamar, tener plantillas de notificación listas, comprender los requisitos regulatorios) debe hacerse antes de necesitarla, no durante una crisis.

La generación automática de informes de cumplimiento y los registros de auditoría completos no solo satisfacen a los reguladores, sino que aceleran la respuesta a incidentes al proporcionar visibilidad inmediata sobre qué datos se vieron afectados, quién accedió y cuándo. Esta capacidad puede marcar la diferencia entre un incidente contenido y una catástrofe regulatoria.

Soberanía de datos: la nueva frontera del cumplimiento

A medida que las organizaciones enfrentan el riesgo de terceros, la soberanía de datos se ha convertido en una consideración crítica que muchos programas de riesgos de proveedores pasan por alto. Las leyes de soberanía de datos ya existen en más de 100 países, cada una con requisitos específicos sobre dónde pueden almacenarse y procesarse los datos sensibles.

Cuando tus proveedores almacenan o procesan tus datos, sus decisiones de residencia de datos se convierten en tu problema de cumplimiento. Un proveedor que enruta datos de clientes europeos a servidores en EE. UU. puede exponerte a violaciones del GDPR, sin importar tu propia infraestructura. Un proveedor de salud que almacena información de pacientes en una jurisdicción sin protecciones adecuadas de privacidad genera responsabilidad HIPAA para tu organización.

Esto también se extiende al acceso gubernamental a los datos. Leyes como el Cloud Act de EE. UU. pueden obligar a los proveedores a entregar datos almacenados en el extranjero, generando posibles conflictos entre obligaciones legales y compromisos contractuales. Las organizaciones con requisitos estrictos de soberanía de datos exigen cada vez más garantías arquitectónicas, no solo promesas contractuales, de que sus datos permanecerán dentro de límites geográficos específicos y fuera del alcance de solicitudes de gobiernos extranjeros.

Cómo construir un programa de riesgos de terceros que realmente funcione

Los datos señalan varias mejoras prácticas que las organizaciones pueden implementar para fortalecer su postura frente a los riesgos de proveedores.

Primero, la automatización ya no es opcional. Los procesos manuales basados en hojas de cálculo no pueden seguir el ritmo del volumen y velocidad de las relaciones modernas con proveedores. Es necesario invertir en plataformas que permitan escalar las actividades de evaluación, hacer seguimiento del progreso de remediación y ofrecer capacidades de monitoreo continuo. El objetivo no es eliminar el juicio humano, sino enfocarlo en decisiones relevantes en vez de en la entrada de datos y la persecución de documentos.

Segundo, la priorización importa más que la exhaustividad. Probablemente no puedas evaluar a todos los proveedores con el mismo rigor, ni deberías intentarlo. Implementa un sistema de niveles que concentre la debida diligencia más intensa en proveedores con acceso a datos sensibles, sistemas críticos o dependencias operativas significativas. Los proveedores de menor riesgo pueden recibir evaluaciones más ligeras y monitoreo de señales de alerta.

Tercero, amplía la visibilidad a los cuartos proveedores. Las relaciones de tus proveedores críticos con sus propios proveedores merecen atención, especialmente cuando esos subcontratistas gestionan datos sensibles o prestan servicios que afectan tus operaciones. Los requisitos contractuales para la divulgación y cooperación en la evaluación de cuartos proveedores deben convertirse en práctica estándar.

Cuarto, consolida cuando sea posible. Cada proveedor adicional en tu ecosistema representa una exposición adicional al riesgo. Antes de sumar otra solución puntual, evalúa si las plataformas existentes pueden cubrir la necesidad. Las arquitecturas unificadas con controles de seguridad consistentes reducen tanto la complejidad como la superficie de ataque.

Quinto, mide lo que importa. Solo el 49% de las organizaciones en la encuesta de ProcessUnity mide formalmente la efectividad de sus evaluaciones de proveedores. Sin métricas como el tiempo de ciclo de evaluación, tasas de finalización de remediación, cobertura de la población de proveedores y recurrencia de hallazgos, estás operando a ciegas. Establece líneas base, sigue tendencias y usa los datos para impulsar mejoras.

Sexto, no descuides lo básico. Aunque los marcos sofisticados de riesgos de proveedores llaman la atención, los fundamentos siguen siendo esenciales. Los controles de seguridad de correo electrónico, procesos de verificación de pagos, refuerzo del acceso remoto y resiliencia de copias de seguridad previenen más daños que cualquier cuestionario de evaluación. Trátalos como controles clave, no como simples medidas de higiene que puedes dar por sentadas.

La paradoja de la relación con proveedores

Las empresas modernas no pueden operar sin proveedores. La especialización y escalabilidad que ofrecen las relaciones de terceros son fundamentales para la competitividad. Pero esas mismas relaciones generan una exposición al riesgo que las organizaciones tienen dificultades para gestionar eficazmente.

La solución no es reducir las relaciones con proveedores, ya que no es práctico ni deseable. En cambio, las organizaciones deben transformar la gestión del riesgo de proveedores de un ejercicio periódico de cumplimiento a una disciplina continua integrada en las operaciones del negocio.

Las organizaciones que tendrán éxito serán aquellas que traten la administración de riesgos de proveedores como una capacidad estratégica, no como una carga de cumplimiento. Invertirán en herramientas, procesos y habilidades para mantener visibilidad sobre su ecosistema de proveedores. Construirán relaciones que incluyan cooperación en seguridad, no solo acuerdos de nivel de servicio. Y medirán su desempeño de forma continua, mejorando su enfoque con base en datos, no en suposiciones.

Los números son claros: tus proveedores están siendo comprometidos, probablemente más de lo que imaginas. La cuestión es si estarás preparado cuando le ocurra a uno de los tuyos.

¿Qué significa esto para tu organización?

Si estas estadísticas generan conversaciones incómodas en tu organización, probablemente sea una reacción saludable. Aquí es donde debes enfocar tu atención primero:

Revisa la cobertura de tus evaluaciones de proveedores. ¿Qué porcentaje de tus proveedores pasa por una evaluación formal de riesgos? Si estás en o por debajo del promedio del 36%, tienes puntos ciegos importantes que debes atender.

Examina los plazos de tus evaluaciones. Los ciclos de evaluación de cuatro meses no siguen el ritmo de la evolución de las amenazas. Identifica cuellos de botella y evalúa si la tecnología puede acelerar el proceso sin sacrificar calidad.

Audita tu visibilidad de cuartos proveedores. ¿Sabes de quién dependen tus proveedores críticos para sus propias operaciones? Si no, te falta una dimensión clave de tu exposición al riesgo.

Evalúa la fragmentación de tus plataformas. Cuenta cuántos sistemas separados gestionan datos sensibles en tu organización. Cada uno representa una posible vulnerabilidad y un reto de gobernanza. Considera si la consolidación podría reducir tanto el riesgo como la complejidad.

Prueba tu recuperación de copias de seguridad. Da por hecho que los atacantes intentarán comprometer tus respaldos. ¿Puedes realmente restaurar operaciones si tus sistemas principales de respaldo se ven afectados? ¿Cuándo fue la última vez que lo verificaste?

Evalúa la seguridad de tu correo electrónico y controles de pago. Dado que los ataques por correo electrónico generan la mayoría de las reclamaciones, estos controles merecen una revisión proporcional al riesgo que representan.

Verifica tu preparación para el cumplimiento. Cuando ocurra un incidente (no si ocurre), ¿tendrás los registros de auditoría, procesos de notificación y documentación necesarios para responder dentro de los plazos regulatorios?

La buena noticia: las organizaciones que tomen estos pasos estarán mejor posicionadas que la mayoría de sus pares. La mala noticia: «mejor que el promedio» sigue significando una exposición significativa a incidentes impulsados por proveedores. La verdadera resiliencia requiere atención sostenida y mejora continua, no proyectos puntuales.

Tus proveedores forman parte de tu perímetro de seguridad, lo reconozcas o no. Las organizaciones que prosperen serán aquellas que gestionen esta realidad de forma proactiva, en vez de aprenderla a través de experiencias dolorosas.

Para descubrir cómo Kiteworks puede ayudarte, agenda una demo personalizada hoy mismo.

Preguntas frecuentes

Significa que la organización promedio sufrió un incidente de seguridad relacionado con proveedores aproximadamente una vez al mes, no desde sus propios sistemas, sino desde los proveedores, contratistas y prestadores de servicios en quienes confía el acceso a datos y operaciones. Lo que hace especialmente alarmante esta cifra es la brecha de confianza que revela: el 53% de las organizaciones aún cree que sus programas de administración de riesgos de terceros son efectivos, a pesar de experimentar filtraciones mensuales. Esta desconexión sugiere que la mayoría de los programas de riesgos de proveedores están midiendo actividad (evaluaciones completadas, cuestionarios enviados) en lugar de resultados reales de seguridad.

Tres fallas estructurales debilitan la mayoría de los programas. Primero, la cobertura es demasiado limitada: las organizaciones solo evalúan formalmente al 36% de sus proveedores en promedio, dejando casi dos tercios de las relaciones sin ninguna supervisión de seguridad. Segundo, las evaluaciones son demasiado lentas: seis de cada diez organizaciones tardan cuatro meses o más en completar una sola revisión de proveedor, lo que significa que la postura de seguridad de un proveedor puede cambiar drásticamente antes de que la evaluación termine. Tercero, el proceso depende demasiado del trabajo manual: casi dos tercios de las organizaciones siguen usando hojas de cálculo para la administración de riesgos de proveedores, y el 27% de los proveedores nunca responde a las solicitudes de evaluación, dejando a las organizaciones tomando decisiones con datos incompletos.

El riesgo de cuartos proveedores se refiere a la exposición de seguridad creada por los proveedores de tus proveedores, es decir, los subcontratistas y prestadores de servicios de los que dependen tus proveedores directos. Estos cuartos proveedores suelen acceder a los mismos datos sensibles y sistemas críticos que tus proveedores directos, pero la mayoría de las organizaciones tiene poca o ninguna visibilidad sobre ellos. Menos de la mitad de las organizaciones realiza evaluaciones de cuartos proveedores, y solo el 23% extiende las revisiones más allá de sus proveedores más críticos. La filtración de Snowflake en 2024 ilustró el peligro: una sola credencial comprometida se propagó a decenas de grandes empresas, incluyendo Advance Auto Parts, que reportó una filtración que afectó a más de 2.3 millones de personas. Sin visibilidad de cuartos proveedores, las organizaciones no pueden evaluar con precisión su verdadera exposición en la cadena de suministro.

Por volumen, el compromiso de correo electrónico empresarial y el fraude por transferencia de fondos representan el 60% de todas las reclamaciones de ciberseguros, tres veces más que el ransomware. La dimensión de terceros hace esto especialmente peligroso: cuando los atacantes comprometen el sistema de correo electrónico de un proveedor, pueden hacerse pasar por un contacto de confianza con el que tu organización ya trabaja regularmente, haciendo que las solicitudes fraudulentas sean mucho más creíbles. El incidente de Coinbase en 2025 lo demostró directamente: empleados maliciosos de un proveedor de soporte externo exfiltraron datos de usuarios e intentaron una extorsión de $20 millones usando el acceso otorgado a través de una relación de proveedor de confianza. Los controles de seguridad de correo electrónico y los procedimientos de verificación de pagos merecen tanta atención como los cuestionarios de evaluación de proveedores.

Empieza por abordar la cobertura antes que la sofisticación. Implementa un sistema de niveles para proveedores que concentre la debida diligencia más rigurosa en aquellos con acceso a datos sensibles, sistemas críticos o dependencias operativas importantes; incluso un enfoque escalonado que cubra a los proveedores de mayor riesgo es más efectivo que un programa uniforme pero superficial. Segundo, automatiza el trabajo administrativo que consume tiempo: la distribución de evaluaciones, el seguimiento de respuestas y la remediación consumen recursos que podrían destinarse al análisis y la toma de decisiones. Tercero, cierra el punto ciego de los cuartos proveedores para tus proveedores más críticos antes de ampliar la supervisión. Por último, no descuides lo fundamental: los controles de seguridad de correo electrónico, los procesos de verificación de pagos, la resiliencia de copias de seguridad y el refuerzo del acceso remoto previenen más daños que cualquier cuestionario de evaluación y protegen contra los ataques por correo electrónico que generan la mayoría de las reclamaciones.

Recursos adicionales

  • Artículo del Blog Arquitectura Zero Trust: nunca confíes, siempre verifica
  • Video Microsoft GCC High: desventajas que impulsan a los contratistas de defensa hacia ventajas más inteligentes
  • Artículo del Blog Cómo proteger datos clasificados una vez que DSPM los identifica
  • Artículo del Blog Generar confianza en la IA generativa con un enfoque Zero Trust
  • Video Guía definitiva para el almacenamiento seguro de datos sensibles para líderes de TI

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks