Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Qué significa el incidente de Snowflake en Rockstar Games para la seguridad de datos de terceros

Qué significa el incidente de Snowflake en Rockstar Games para la seguridad de datos de terceros

by Patrick Spencer updated mayo 20, 2026 Riesgo de Terceros
Reading Time: 8 minutes

No se recibió una respuesta válida de la API de Grok.

Piensa en cómo se desarrolla este escenario. Una empresa de videojuegos otorga a un proveedor de análisis en la nube acceso a su almacén de datos Snowflake; una integración rutinaria para optimizar el gasto en la nube. Las credenciales del proveedor están en una cuenta de servicio con permisos elevados, exactamente el tipo de acceso persistente y privilegiado que buscan los atacantes.

En abril de 2026, el grupo de ransomware ShinyHunters anunció que había vulnerado el entorno Snowflake de Rockstar Games; no atacando a Rockstar directamente, sino pivotando a través de Anandot, un proveedor externo de monitoreo de costos en la nube. Rockstar confirmó el incidente, informando que datos corporativos—contratos, registros financieros, planes de mercado—fueron exfiltrados. Los primeros reportes indican que aproximadamente 78,6 millones de registros estuvieron involucrados.

Esta no es una historia sobre una empresa de videojuegos con mala seguridad. Es una historia sobre cómo los sistemas que las organizaciones usan para gestionar sus entornos en la nube pueden convertirse en el camino que los atacantes aprovechan para vaciarlos. Y es una historia que los datos de riesgo en la cadena de suministro demuestran que no es una excepción, sino un patrón.

5 conclusiones clave

1. Un proveedor de monitoreo de costos fue el vector de la brecha.

ShinyHunters accedió al entorno Snowflake de Rockstar Games a través de Anandot, un proveedor de análisis en la nube, exponiendo un estimado de 78,6 millones de registros corporativos, incluidos contratos, documentos financieros y planes de salida al mercado. La causa raíz no fue una falla en Rockstar, sino una credencial persistente y elevada de una cuenta de servicio del proveedor que se convirtió en el punto de entrada del atacante. Los programas de administración de riesgos de terceros que se limitan a los contratos pasaron esto por alto por completo.

2. El riesgo de brecha por terceros es sistémico, no aislado.

En 2025, 136 eventos verificados de brechas por terceros produjeron 719 víctimas nombradas públicamente y un estimado de 26.000 empresas adicionales afectadas—la mayoría nunca identificadas públicamente. El retraso medio en la divulgación pública fue de 73 días. Las organizaciones están rutinariamente expuestas a través de relaciones con proveedores que no monitorean con el mismo rigor que aplican a su propia infraestructura.

3. Los almacenes de datos en la nube son el nuevo objetivo de alto valor.

El almacenamiento en la nube (35%), las aplicaciones SaaS (34%) y la infraestructura de gestión en la nube (32%) ocupan los tres primeros puestos como objetivos de ataque por tercer año consecutivo, según el Informe de Amenazas de Datos Thales 2026. Solo el 33% de las organizaciones tiene visibilidad completa de dónde se almacena su información, lo que convierte a las plataformas de análisis en un punto ciego importante.

4. Los puntajes de riesgo de proveedores generan una falsa confianza.

Entre 200.000 organizaciones monitoreadas, la calificación promedio de ciberseguridad fue de 90,27 sobre 100—una A. Sin embargo, el 53,77% aún tenía al menos una vulnerabilidad crítica. Las evaluaciones estáticas de riesgo de proveedores no detectan exposiciones dinámicas: fallas en la rotación de credenciales, escalada de permisos y exposición en tiempo real de credenciales en registros de stealer.

5. El 65% de las grandes empresas ahora considera las vulnerabilidades en la cadena de suministro como su mayor reto de resiliencia.

Esa cifra subió desde el 54% el año anterior, según el Global Cybersecurity Outlook 2026 del WEF. La falta de visibilidad en la cadena de suministro extendida ocupa el primer lugar entre los riesgos específicos de la cadena de suministro, seguida por el riesgo de herencia y el riesgo de concentración. El incidente Rockstar/Anandot encaja en los tres.

El panorama de brechas por terceros: 136 eventos, 26.000 víctimas silenciosas

El Informe de Brechas por Terceros Black Kite 2026 documentó 136 eventos verificados de brechas por terceros en 2025, produciendo 719 empresas víctimas nombradas públicamente. Pero la cifra real es mucho mayor: se estima que 26.000 empresas adicionales afectadas nunca fueron nombradas públicamente. El tiempo medio desde la brecha hasta la divulgación pública fue de 73 días, más de dos meses de exposición silenciosa.

El riesgo de concentración es notable. Entre los 50 principales proveedores compartidos monitoreados por Black Kite, el 70% tenía una vulnerabilidad listada por CISA KEV, el 84% tenía vulnerabilidades críticas CVSS 8+, el 62% tenía credenciales corporativas circulando en registros de stealer y el 80% mostraba exposición a phishing. No son proveedores marginales. Son los proveedores en los que cientos o miles de organizaciones confían al mismo tiempo.

Cuando uno de ellos cae, el radio de impacto es enorme. Y el entorno Snowflake—donde los datos corporativos se agrupan a gran escala para análisis, reportes y optimización—es precisamente el tipo de objetivo de alto valor donde una sola credencial de proveedor comprometida puede desbloquear millones de registros. El rastro de auditoría necesario para detectar ese acceso antes de que se complete la exfiltración simplemente no existe en la mayoría de los entornos.

Por qué los almacenes de datos en la nube están en el cruce de todos los riesgos

Las plataformas de datos en la nube como Snowflake, BigQuery y Redshift ocupan una posición especialmente peligrosa en el panorama de datos empresarial. Están diseñadas para centralizar y hacer accesible la información, lo que las hace atractivas tanto para proveedores legítimos de análisis como para actores de amenazas que los comprometen.

El Informe de Amenazas de Datos Thales 2026 confirma el alcance. El almacenamiento en la nube (35%), las aplicaciones SaaS (34%) y la infraestructura de gestión en la nube (32%) son los tres principales objetivos de ataque por tercer año consecutivo. Solo el 33% de las organizaciones reporta conocimiento completo de dónde se almacena su información, y solo el 39% puede clasificarla toda.

Esa brecha en la clasificación de datos es crítica. Si dos tercios de las organizaciones no pueden decir con confianza dónde reside su información confidencial, no pueden saber a qué podría acceder una credencial de proveedor comprometida. En el caso de Rockstar, los datos expuestos no eran PII de clientes, sino inteligencia corporativa: contratos, documentos financieros, estrategias de salida al mercado. Este es el tipo de información que se acumula en plataformas de análisis sin que nadie decida explícitamente que debe estar ahí.

El Informe Global de Amenazas CrowdStrike 2026 refuerza la perspectiva del atacante. Las plataformas SaaS son objetivos principales porque agrupan datos confidenciales de clientes, empleados y operaciones, pero suelen estar menos monitoreadas que los endpoints y la infraestructura principal. Tanto actores eCrime como estatales buscan activamente en entornos cloud y SaaS datos regulados e inteligencia empresarial de alto valor.

La falsa comodidad de los puntajes de riesgo de proveedores

Uno de los hallazgos más incómodos del informe de Black Kite es lo poco que las evaluaciones tradicionales de riesgo de proveedores predicen las brechas. Entre aproximadamente 200.000 organizaciones monitoreadas, la calificación promedio de riesgo cibernético fue de 90,27 sobre 100—una A. Sin embargo, el 53,77% de esas organizaciones aún tenía al menos una vulnerabilidad crítica.

El informe afirma explícitamente que las calificaciones altas pueden coexistir con fundamentos débiles. Los cuestionarios estáticos, las evaluaciones anuales y las declaraciones de proveedores capturan un momento, pero no reflejan la realidad dinámica de cómo los proveedores gestionan el acceso, rotan credenciales y monitorean sus propias conexiones en la cadena de suministro.

Esto es relevante directamente para el escenario de Snowflake. Un proveedor como Anandot podría obtener una buena puntuación en un cuestionario de seguridad estándar: cifra datos en tránsito, ejecuta escaneos de vulnerabilidades y mantiene un plan de respuesta a incidentes. Pero el cuestionario no pregunta si la cuenta de servicio Snowflake del proveedor usa acceso de mínimo privilegio, si sus claves API rotan periódicamente o si sus prácticas de gestión de credenciales resistirían una campaña de robo de credenciales dirigida.

El Informe de Pronóstico de Seguridad, Cumplimiento y Riesgo de Datos Kiteworks 2026 encontró que solo el 39% de las organizaciones tiene enfoques unificados de intercambio de datos con registros de auditoría de nivel de cumplimiento. Otro 34% tiene enfoques parciales con brechas, y el 27% solo cobertura mínima o específica por canal. Cuando los flujos de datos de proveedores operan fuera de una gobernanza unificada, los registros necesarios para detectar accesos anómalos simplemente no existen.

El riesgo en la cadena de suministro ahora es un problema del consejo directivo

El Global Cybersecurity Outlook 2026 del World Economic Forum ofrece la visión macro. El sesenta y cinco por ciento de las grandes empresas por ingresos ahora identifica las vulnerabilidades de terceros y de la cadena de suministro como su mayor reto para la resiliencia cibernética, frente al 54% del año anterior.

Los datos del WEF clasifican los principales riesgos cibernéticos en la cadena de suministro: la falta de visibilidad en la cadena extendida ocupa el primer lugar, seguida por el riesgo de herencia (la incapacidad de garantizar la integridad de software, hardware y servicios de terceros) y el riesgo de concentración (dependencia excesiva de proveedores críticos). El incidente Rockstar/Anandot encaja en los tres.

Las consecuencias financieras son importantes. El Informe de Amenazas Internas DTEX/Ponemon 2026 encontró que las amenazas internas—incluyendo manejo negligente de datos y los caminos de acceso que crean—ahora cuestan a las organizaciones un promedio de 19,5 millones de dólares anuales. Cuando las cuentas de servicio de proveedores funcionan como insiders de facto con acceso persistente y elevado, aplican las mismas dinámicas de costo.

La presión regulatoria aumenta al mismo tiempo. Los datos de cumplimiento del GDPR de la encuesta de DLA Piper muestran 1.200 millones de euros en multas durante 2025, con un promedio de 443 notificaciones de brechas por día—un aumento anual del 22%. Las autoridades de protección de datos ahora tratan rutinariamente la supervisión inadecuada de proveedores y los controles técnicos débiles como factores agravantes en el cálculo de multas. La intersección entre el riesgo de brecha de terceros y las obligaciones de cumplimiento de datos es donde se concentra la exposición a sanciones.

El enfoque Kiteworks: gobernar el intercambio de datos a nivel de arquitectura

El incidente Rockstar/Anandot ilustra un problema estructural: cuando los datos confidenciales fluyen a terceros a través de sistemas fragmentados y específicos por canal, sin una capa de gobernanza unificada, los equipos de seguridad no tienen forma de detectar accesos anómalos, aplicar políticas de mínimo privilegio o generar la evidencia de auditoría que reguladores y aseguradoras exigen cada vez más.

La Red de Contenido Privado de Kiteworks resuelve esto al funcionar como el plano de control para el intercambio seguro de datos: una sola plataforma que gobierna el movimiento de información confidencial a través de correo electrónico seguro, uso compartido seguro de archivos, SFTP, transferencia de archivos gestionada, APIs, formularios web e integraciones de IA, todo bajo un motor de políticas y un registro de auditoría consolidado.

Para el riesgo de proveedores y terceros específicamente, esta arquitectura cambia tres cosas. Primero, cada intercambio de datos con una parte externa pasa por el mismo marco de gobernanza, aplicando controles de acceso consistentes sin importar el canal. Un proveedor que accede a datos mediante una integración API enfrenta el mismo motor de políticas que uno que recibe archivos vía SFTP o correo electrónico seguro. Segundo, el registro de auditoría consolidado captura toda la actividad de intercambio de datos en tiempo real sin limitaciones, eliminando los vacíos de visibilidad que permiten que credenciales comprometidas de proveedores pasen desapercibidas durante semanas. Tercero, la arquitectura de tenencia única y la defensa en profundidad de Kiteworks—firewalls integrados, WAF, cifrado doble y controles de acceso de confianza cero—garantizan que la propia plataforma no se convierta en una vulnerabilidad de la cadena de suministro.

La relevancia para el caso Snowflake es directa: las organizaciones necesitan gobernanza a nivel de datos que se aplique de forma consistente en todas las plataformas e integraciones de proveedores donde se acumula información confidencial, no solo protección de endpoints que omite por completo la capa de análisis en la nube.

Qué deben hacer los líderes de seguridad antes de que el próximo proveedor sea la brecha

Primero, audita todo el acceso de terceros a almacenes de datos en la nube y plataformas de análisis. Identifica cada cuenta de servicio, clave API y credencial que los proveedores usan para acceder a Snowflake, BigQuery, Redshift y plataformas similares. El informe de Black Kite encontró que el 62% de los principales proveedores compartidos tenía credenciales corporativas en registros de stealer; cualquiera podría ser el próximo punto de pivote al estilo Anandot.

Segundo, aplica acceso de mínimo privilegio y limitado en el tiempo para todas las integraciones de proveedores. Un proveedor de monitoreo de costos no necesita acceso persistente de solo lectura a todo el almacén de datos. Limita permisos a conjuntos de datos específicos, rota credenciales en ciclos cortos y exige reautenticación para accesos fuera de los patrones operativos normales.

Tercero, implementa registros de auditoría unificados en todos los canales de intercambio de datos, no solo en endpoints y cargas de trabajo en la nube. El Pronóstico de Kiteworks encontró que el 61% de las organizaciones intenta construir registros de auditoría de calidad probatoria sobre infraestructuras fragmentadas de intercambio de datos. Registros fragmentados significan detección fragmentada. Unifícalos.

Cuarto, deja de depender de evaluaciones de proveedores puntuales. Los datos de Black Kite muestran que una puntuación de riesgo superior a 90 coexiste con vulnerabilidades críticas en más de la mitad de las organizaciones monitoreadas. Pasa a monitoreo continuo de la postura de seguridad de los proveedores, incluyendo exposición de credenciales, estado de vulnerabilidades y anomalías en patrones de acceso.

Quinto, trata las plataformas de análisis en la nube como entornos de datos regulados. Los datos que se acumulan en Snowflake para reportes y optimización suelen incluir los mismos contratos, registros financieros y documentos estratégicos que las organizaciones protegen cuidadosamente en sistemas primarios. Aplica los mismos estándares de cifrado, control de acceso y monitoreo a la capa de análisis.

Con las multas del GDPR en aumento, los plazos de notificación de brechas más estrictos y las autoridades de protección de datos considerando explícitamente la falta de supervisión de proveedores como agravante, el costo de la inacción crece más rápido que el costo de la gobernanza.

Para saber más sobre la administración de riesgos de terceros, agenda una demo personalizada hoy mismo.

Preguntas frecuentes

Haz un inventario de todos los proveedores con acceso a tu entorno Snowflake, incluidas cuentas de servicio y claves API. El informe Black Kite 2026 encontró que el 62% de los principales proveedores compartidos tenía credenciales corporativas en registros de stealer. Audita permisos, aplica controles de acceso de mínimo privilegio e implementa detección de anomalías en todas las cuentas de servicio de proveedores, no solo al renovar contratos.

No necesariamente. El informe Black Kite 2026 encontró que el 53,77% de las organizaciones calificadas con 90+/100 aún tenía vulnerabilidades críticas. Las evaluaciones estáticas no detectan riesgos dinámicos: fallas en la rotación de credenciales, escalada de permisos y exposición en tiempo real en registros de stealer. Pasa a monitoreo continuo del riesgo de proveedores junto a evaluaciones periódicas.

Prioriza la supervisión demostrable de proveedores y evidencia lista para auditoría. Las autoridades del GDPR consideran los controles inadecuados de proveedores como factores agravantes de multas. Implementa registros de auditoría unificados, exige requisitos de seguridad contractuales con verificación activa y asegúrate de que los flujos de notificación de brechas cubran explícitamente incidentes originados por proveedores.

Las herramientas fragmentadas generan visibilidad fragmentada. Solo el 39% de las organizaciones tiene intercambio de datos unificado con registros de auditoría de nivel de cumplimiento según el Pronóstico Kiteworks 2026. La Red de Contenido Privado de Kiteworks aplica políticas y registros consistentes en correo electrónico, SFTP, APIs y uso compartido de archivos, así que el acceso anómalo de proveedores se detecta sin importar el canal y la evidencia está disponible bajo demanda.

Los almacenes de datos en la nube centralizan grandes volúmenes de información confidencial para análisis y suelen estar menos monitoreados que los endpoints. El Informe de Amenazas de Datos Thales 2026 sitúa el almacenamiento en la nube (35%), las apps SaaS (34%) y la gestión en la nube (32%) como los tres principales objetivos de ataque. Solo el 33% de las organizaciones tiene clasificación y visibilidad completa de datos, lo que convierte la capa de análisis en un punto ciego importante que los controles estándar de endpoint no cubren.

Recursos adicionales 

  • Artículo del Blog
    Cómo diseñar un flujo seguro de transferencia de archivos para proveedores y contratistas externos
  • Artículo del Blog
    La importancia de la administración de riesgos de proveedores para CISOs
  • Artículo del Blog
    Cómo proteger la propiedad intelectual al colaborar con externos
  • Artículo del Blog
    Combate amenazas con seguridad y administración de riesgos en la cadena de suministro
  • Artículo del Blog
    Brechas de datos de socios: tu seguridad es tan fuerte como tu socio más débil

No se recibió una respuesta válida de la API de Grok.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks