Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Cuando el proveedor es la brecha: por qué el aumento del 60% en compromisos de terceros exige un plano de control

Cuando el proveedor es la brecha: por qué el aumento del 60% en compromisos de terceros exige un plano de control

by Patrick Spencer updated mayo 29, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 8 minutes

El DBIR 2026 clasifica las filtraciones de terceros en tres arquetipos. Arquetipo 1: una vulnerabilidad en el producto de un proveedor permite el acceso inicial al entorno del cliente: el clásico ataque a la cadena de suministro de software. Arquetipo 2: los datos del cliente ya estaban en el entorno del proveedor cuando este fue vulnerado. Arquetipo 3: el proveedor perdió credenciales o claves de acceso que los atacantes usaron contra el cliente. El DBIR detecta que en 2025 aumentaron los incidentes en los que se combinan dos o incluso los tres arquetipos en una sola filtración, lo que significa que el modelo de incidente único y proveedor único sobre el que se construyen la mayoría de los programas de gestión de riesgos de terceros ya no se ajusta a los patrones reales de incidentes.

El caso de Salesloft Drift es el ejemplo más claro. Se comprometieron tokens OAuth en el proveedor (Arquetipo 3), luego se usaron contra la plataforma de otro proveedor donde residían los datos del cliente (Arquetipo 2), para extraer información de empresas que no sabían que estaban expuestas por esta vía hasta que la noticia se hizo pública. La cascada es la clave: cada empresa evaluó y confió de forma independiente en Salesloft Drift, y esa confianza se convirtió en el camino del ataque.

5 conclusiones clave

1. Las filtraciones que involucran a terceros ya representan casi la mitad de todos los incidentes.

El DBIR 2026 de Verizon registró un aumento interanual del 60% en filtraciones que involucran a terceros, alcanzando el 48% del total. El DBIR 2024 documentó un 15%; el de 2025, aproximadamente un 30%; la cifra de 2026 marca un cambio radical que traslada el problema de las filtraciones del perímetro empresarial al ecosistema de proveedores. El camino del proveedor es ahora la principal vía de ataque.

2. Un solo plugin SaaS comprometido puede afectar a todos.

La campaña de tokens OAuth de Salesloft Drift derivó en robo de datos de clientes en Google, Zscaler, Cisco y otros, atribuida a ShinyHunters/UNC6040. El compromiso de un proveedor se convirtió en la filtración de decenas de empresas que no tenían relación directa con el atacante. Este es el nuevo arquetipo de filtración de terceros: en cascada, atribuible y estructuralmente imposible de contener mediante controles que las empresas afectadas pudieran aplicar por sí mismas.

3. Las brechas de MFA no se están cerrando.

Solo el 23% de las organizaciones de terceros corrigieron completamente la ausencia o mala configuración de MFA en cuentas en la nube. El 37% tenía una cuenta de administrador con MFA deshabilitada en una plataforma IaaS. El 32% de los problemas relacionados con MFA nunca se resolvieron. El control básico que la mayoría de los marcos de gestión de riesgos de proveedores asumen que existe está ausente en aproximadamente un tercio del ecosistema de proveedores, y la empresa asume las consecuencias.

4. Los puntajes de cumplimiento no son puntajes de seguridad.

El Black Kite Third-Party Breach Report 2026 encontró una calificación cibernética promedio de 90,27 (A) entre 200.000 organizaciones monitorizadas, pero el 53,77% aún tenía al menos una vulnerabilidad crítica. Entre los 50 proveedores compartidos más conectados: el 70% tenía una falla listada por CISA KEV, el 84% vulnerabilidades críticas CVSS 8+, el 62% credenciales en registros de stealer logs. Las certificaciones y declaraciones anuales validan proveedores que siguen siendo explotables. Los cuestionarios estáticos no están diseñados para un retraso de 73 días en la divulgación.

5. La respuesta arquitectónica es un plano de control.

Correo electrónico, uso compartido de archivos, MFT, SFTP, APIs, formularios web e integraciones de IA gobernados por un solo motor de políticas, un solo registro de auditoría y una sola arquitectura de seguridad, porque el camino de terceros es ahora el camino de la filtración, y la gobernanza fragmentada produce forénsica fragmentada.

Confías en que tu organización es segura. Pero ¿puedes comprobarlo?

Leer ahora

El problema del MFA: Remediar el 23% no es remediar

El DBIR 2026 revela un hallazgo silencioso pero devastador sobre la higiene de MFA en terceros. Solo el 23% de las organizaciones corrigieron completamente la ausencia o mala configuración de MFA en cuentas en la nube. El tiempo medio para resolver el 50% de los hallazgos relacionados con MFA fue de aproximadamente un mes, y cerca del 32% de los problemas nunca se resolvieron. Para contraseñas débiles y errores de permisos, el tiempo medio para resolver el 50% de los hallazgos llegó a casi ocho meses.

Un análisis puntual separado encontró que el 37% de las organizaciones tenía una cuenta de administrador con MFA deshabilitada en una plataforma IaaS, frente a solo el 14% con esa brecha en Snowflake, lo que sugiere que las empresas aprendieron de exposiciones previas en almacenes de datos en la nube, pero no del panorama IaaS más amplio. El WEF Global Cybersecurity Outlook 2026 lo plantea desde el lado empresarial: el principal riesgo cibernético en la cadena de suministro en todos los sectores es el riesgo de herencia (incapacidad de asegurar la integridad de software y servicios de terceros) o la falta de visibilidad (incapacidad de ver la cadena de suministro extendida). Ambos describen el mismo problema estructural: la empresa depende de controles que no posee ni puede verificar directamente.

Cumplimiento no es seguridad: El hallazgo de Black Kite

Calificación cibernética promedio entre 200.000 organizaciones monitorizadas: 90,27 (A). Porcentaje con al menos una vulnerabilidad crítica: 53,77%. Entre los 50 proveedores compartidos más conectados: el 70% tenía una falla listada por CISA KEV, el 84% vulnerabilidades críticas CVSS 8+, el 62% credenciales corporativas en stealer logs, el 80% mostró exposición a phishing, el 52% tenía antecedentes de filtraciones.

Black Kite documentó 136 eventos de filtraciones de terceros verificados en 2025 con 719 empresas víctimas nombradas públicamente, estimando unas 26.000 empresas adicionales afectadas que nunca se identificaron públicamente. Tiempo medio desde la filtración hasta la divulgación pública: 73 días. Un programa de gestión de riesgos de proveedores basado en certificaciones, declaraciones anuales o puntajes de cumplimiento no tiene señal durante 73 días después de la filtración. Los datos ya se han movido.

JLR y el costo de la exposición en cascada

El DBIR 2026 documenta el ciberataque más costoso en la historia del Reino Unido: el ataque de ransomware a Jaguar Land Rover a finales de 2025. Cinco semanas de producción detenida. Pérdida estimada de JLR: £1.900 millones. Impacto en la cadena de suministro: unas 5.000 entidades. El PIB del Reino Unido quedó un 0,1% por debajo de lo proyectado, lo que llevó al gobierno a intervenir con préstamos para apoyar a JLR y su red de proveedores.

JLR es el ejemplo de incidente único que muestra por qué las filtraciones de terceros importan a escala macroeconómica. Esas 5.000 entidades no tenían una seguridad débil: estaban conectadas a un nodo central que sí la tenía. El modelo de fallo en cascada está documentado a nivel de impacto en el PIB. La mayoría de las evaluaciones de riesgo de terceros tratan a cada proveedor como una exposición independiente evaluada por sus propios méritos. El patrón real es en red: el compromiso en un nodo distribuye el riesgo a todos los nodos conectados. Black Kite lo llama riesgo de concentración; el WEF lo llama riesgo de herencia; el DBIR lo llama la regla de tres. Todos describen lo mismo.

Por qué la integración de IA es la nueva dimensión del problema de terceros

Cada integración de IA es una nueva vía de datos de terceros. El caso de Salesloft Drift fue un compromiso de token OAuth que se propagó a través de permisos de integración en la nube. Cada servidor MCP, cada plugin de IA, cada flujo de trabajo de IA que accede a datos empresariales mediante un servicio externo opera bajo el mismo modelo: acceso delegado mediante tokens, confiando en que el servicio de IA respete el alcance y las obligaciones de auditoría.

El CrowdStrike 2026 Global Threat Report lo confirma: actores vinculados a estados están abusando cada vez más de constructos legítimos de identidad (federación, tenants de socios, OAuth, acceso condicional) para mantener accesos prolongados y discretos a datos sensibles. A medida que proliferan las integraciones de IA, crece el número de estos caminos de acceso delegado, y cada uno es un posible punto de cascada. La cuestión de gobernanza de IA es idéntica a la de terceros: cuando un servicio externo tiene tokens que le otorgan acceso a datos empresariales, ¿cómo asegura la empresa que ese acceso esté acotado, limitado en el tiempo, auditado y sea revocable, sin importar lo que ocurra dentro del entorno del servicio externo?

La respuesta arquitectónica: un solo plano de control, todos los canales de datos

La seguridad por solución puntual para cada canal de intercambio de datos genera visibilidad fragmentada y aplicación inconsistente. Una plataforma para correo electrónico seguro, otra para MFT, una tercera para SFTP, una cuarta para formularios web, una quinta para APIs, una sexta para integraciones de IA: seis motores de políticas, seis registros de auditoría, seis posturas de seguridad. Cuando ocurre una filtración de terceros, la pregunta forense es por qué canal viajó la cascada, y la respuesta requiere correlacionar registros entre sistemas que no fueron diseñados para ello.

El modelo de plano de control resuelve esto. La Red de Datos Privados de Kiteworks gobierna todos los canales de intercambio de datos bajo un solo motor de políticas, un registro de auditoría consolidado y una arquitectura de seguridad reforzada. Los compromisos arquitectónicos relevantes incluyen: un único motor de políticas que aplica controles de acceso basados en roles y atributos de forma consistente en todos los canales; OAuth 2.0 con PKCE para integraciones de IA y terceros, con tokens almacenados en el llavero del sistema operativo y nunca expuestos a la aplicación que los solicita; un registro de auditoría consolidado que captura cada actividad de intercambio de datos en tiempo real, sin limitaciones ni retrasos; aislamiento de tenencia única en un dispositivo virtual reforzado que elimina la exposición entre tenants; y defensa en profundidad desde el propio dispositivo: firewall integrado, WAF, IDS, cifrado doble FIPS 140-3 y actualizaciones de sistema completas con un solo clic.

El principio arquitectónico: los datos permanecen gobernados en la capa donde residen, sin importar qué camino de acceso de terceros los alcance. Cuando el compromiso de un proveedor es el vector de filtración, el control de la empresa está en la capa de datos, no en el perímetro del proveedor.

Qué deben hacer ahora los responsables de seguridad y riesgo

Primero, mapea los caminos reales de datos de terceros hacia la empresa. La mayoría de los inventarios listan proveedores, pero no flujos de datos: qué proveedores gestionan qué categorías de datos, qué integraciones otorgan qué permisos, qué alcances OAuth están activos. La cascada de Salesloft Drift mostró por qué: las empresas que no sabían qué integraciones de Drift estaban activas en sus instancias de Salesforce lo descubrieron durante la respuesta a incidentes, no antes.

Segundo, trata los puntajes de cumplimiento como un dato más, no como validación. Los proveedores con calificación A suelen tener exposiciones críticas. El monitoreo continuo de la superficie de ataque, la vigilancia de exposición de credenciales en fuentes de la dark web y los plazos contractuales de notificación de filtraciones complementan el modelo basado en certificaciones, pero no lo reemplazan.

Tercero, consolida los canales de intercambio de datos donde la consolidación reduzca el radio de impacto. Cada canal fragmentado es un posible punto de entrada para una cascada de terceros. Un solo plano de control gobernado —un solo camino de ataque con aplicación consistente— es estructuralmente más defendible que cinco herramientas con cinco posturas de seguridad independientes.

Cuarto, exige MFA en todas las cuentas administrativas de cada plataforma IaaS que uses, y verifícalo. El 37% de brecha que documenta el DBIR está en las propias configuraciones de la empresa, no solo en las del proveedor. Es la mejora más rápida y económica en todo el panorama de riesgos de terceros.

Quinto, construye evidencia lista para auditoría de cada movimiento de datos entre organizaciones antes de que se divulgue la próxima filtración de un proveedor. El registro forense existe o no existe. Construirlo después de la divulgación —con 73 días de retraso ya transcurridos— es mucho más costoso que hacerlo antes.

Para saber más sobre cómo proteger tus datos sensibles frente al riesgo de terceros, agenda una demo personalizada hoy mismo.

Preguntas frecuentes

Las filtraciones que involucran a terceros aumentaron un 60% interanual y ahora representan el 48% del total. La cascada de tokens OAuth de Salesloft Drift hacia Google, Zscaler, Cisco y otros es el ejemplo clásico. La filtración de terceros ya no es un riesgo secundario: es casi la mitad del problema, y la combinación de varios arquetipos significa que los modelos estándar de riesgo de proveedor único ya no se ajustan a los incidentes reales.

Cada integración con acceso delegado —tokens OAuth, servidores MCP, plugins de IA, APIs de socios— es un posible punto de cascada. El DBIR documenta que la combinación de patrones de compromiso de proveedores es ahora la norma. Para minimizar el riesgo, inventaría los flujos de datos reales (no solo la lista de proveedores), limita el alcance de los tokens, monitorea la exposición de credenciales en stealer logs y consolida el intercambio de datos bajo una auditoría unificada.

Las certificaciones son una base útil, pero no una validación. El informe Black Kite 2026 encontró una calificación cibernética promedio de 90,27 (A) entre 200.000 organizaciones, pero el 53,77% aún tenía vulnerabilidades críticas. El monitoreo continuo de la superficie de ataque, la vigilancia de exposición de credenciales y los plazos contractuales de notificación de filtraciones deben complementar —no reemplazar— el modelo basado en certificaciones.

Los reguladores esperan evidencia demostrable de visibilidad de flujos de datos y registros de auditoría listos para inspección sobre movimientos de datos entre organizaciones. El retraso medio de 73 días en la divulgación, según Black Kite, significa que las empresas suelen enterarse del compromiso de un proveedor mucho después del hecho. Un registro de auditoría consolidado en todos los canales de intercambio de datos es la base práctica para esa evidencia y la diferencia entre una postura de cumplimiento defendible y una responsabilidad bajo el Artículo 30 del GDPR y la HIPAA.

La consolidación reduce cinco motores de políticas, cinco registros de auditoría y cinco posturas de seguridad a uno solo de cada tipo. Los patrones de cascada de terceros del DBIR lo justifican directamente: cuando una filtración cruza canales, el registro forense también debe hacerlo. La Red de Datos Privados de Kiteworks proporciona este plano de control para correo electrónico, uso compartido de archivos, SFTP, MFT, APIs, formularios web e integraciones de IA bajo un solo motor de políticas y un registro de auditoría inmutable.

Recursos adicionales 

  • Artículo del Blog
    Cómo diseñar un flujo de trabajo seguro de transferencia de archivos para proveedores y contratistas externos
  • Artículo del Blog
    La importancia de la administración de riesgos de proveedores para CISOs
  • Artículo del Blog
    Cómo proteger la propiedad intelectual al colaborar con terceros
  • Artículo del Blog
    Combate amenazas con seguridad y administración de riesgos en la cadena de suministro
  • Artículo del Blog
    Filtraciones de datos de socios: solo eres tan fuerte como tu socio más débil

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks