Ciberseguridad compartida: 7 de cada 10 empresas planean financiar la seguridad digital de sus proveedores

El panorama de la ciberseguridad corporativa experimenta una transformación profunda a escala global. Ante el incremento sostenido de los ciberataques dirigidos a las cadenas de suministro, las organizaciones modifican de raíz su estrategia de protección. Un nuevo estudio global revela que casi el 70% de las empresas está dispuesto a invertir recursos económicos en la seguridad digital de sus contratistas y proveedores. Esta decisión responde a la necesidad apremiante de disminuir la exposición a incidentes informáticos y robustecer la resiliencia operativa de los negocios.

La noción tradicional de que la protección corporativa se limita al perímetro de la propia infraestructura informática ha quedado obsoleta. En la actualidad, los socios comerciales y contratistas externos ya no son vistos como entidades ajenas, sino como eslabones de un ecosistema digital interconectado. Debido a esta interdependencia, cualquier vulnerabilidad o fallo en los sistemas de un tercero posee el potencial de paralizar la operación completa de una gran compañía.

La cadena de suministro en la mira de los atacantes

La urgencia de cofinanciar las defensas digitales de terceros surge del aumento en la frecuencia de los incidentes informáticos. De acuerdo con la investigación de la firma de ciberseguridad Kaspersky, los ataques a las cadenas de suministro afectaron a casi una de cada tres empresas a nivel global durante el último año. De igual manera, los ataques basados en la explotación de relaciones de confianza impactaron negativamente a una de cada cuatro corporaciones en el mismo periodo.

Estos datos evidencian que el riesgo digital de cualquier organización está directamente condicionado por el nivel de madurez tecnológica de las empresas externas que poseen accesos legítimos a sus redes, plataformas o software esenciales.

Adopción internacional y tendencias de inversión

La disposición para absorber los costos de seguridad de los proveedores varía de acuerdo con las condiciones de cada mercado geográfico:

• Mercados con alta intención de inversión: la disposición a financiar la protección de terceros la encabeza India con un 83% de aprobación. A este país le siguen de cerca Indonesia y Rusia con un 80% en ambos casos, y Brasil con un 76%. Estas regiones coinciden con un alto nivel de confianza hacia los contratistas externos.
• Mercados con adopción activa: actualmente, el 25% de las organizaciones globales ya comparte de forma efectiva estos gastos con sus proveedores. Las tasas más altas de ejecución se registran en Hong Kong, Taiwán y España, donde el 33% de las empresas sufraga estos costos. Turquía y Vietnam registran una participación activa del 31%.

Este cambio de paradigma demuestra que compartir capacidades, estándares de cumplimiento y recursos financieros no constituye un acto de beneficencia corporativa. Al contrario, representa una decisión de negocio estratégica orientada a erradicar puntos ciegos y contener amenazas que se propagan con rapidez en redes comerciales interconectadas.

Recomendaciones esenciales para mitigar riesgos de terceros

Para disminuir eficazmente las brechas de seguridad originadas por agentes externos, resulta indispensable que las compañías adopten medidas organizacionales rigurosas. Kaspersky aconseja implementar las siguientes prácticas antes y durante cualquier acuerdo comercial:

1. Evaluación exhaustiva previa a la contratación

Las empresas deben realizar auditorías basadas en evidencias tangibles antes de firmar cualquier convenio de colaboración. Es mandatorio exigir a los posibles proveedores la entrega de sus políticas de ciberseguridad, un historial transparente de incidentes pasados y pruebas de cumplimiento con las normas de la industria. Cuando se contraten servicios en la nube o productos de software, se deben recopilar reportes de vulnerabilidades, pruebas de penetración y evaluaciones dinámicas de seguridad en aplicaciones (DAST).

2. Establecimiento de requisitos contractuales estrictos

Los contratos legales deben estipular con claridad las obligaciones del proveedor en materia de seguridad de la información. Estos documentos jurídicos tienen que incluir cláusulas que fuercen la realización de auditorías periódicas, el acatamiento de las políticas de protección de la empresa contratante y la activación de protocolos obligatorios de notificación inmediata en caso de sufrir un incidente.

3. Colaboración estrecha y monitoreo avanzado

Fomentar una relación de cooperación constante con los subcontratistas permite transformar la ciberseguridad en una prioridad compartida. Además de la colaboración humana, la implementación de herramientas tecnológicas de visibilidad profunda —como los sistemas de monitoreo para entornos industriales— ayuda a detectar comportamientos anómalos en redes operativas (OT). Esto reduce de forma drástica la posibilidad de que un ataque en los servidores del proveedor contamine la infraestructura interna de la corporación principal.

Detalles metodológicos del estudio

Los datos provienen del informe global titulado Supply chain reaction: securing the global digital ecosystem in an age of interdependence. Para su elaboración, el centro de investigación de Kaspersky encuestó a 1,714 líderes corporativos, entre los que se incluyen ejecutivos de nivel C, vicepresidentes y especialistas senior de organizaciones con más de 500 empleados. El estudio incluyó la participación de compañías distribuidas en 16 países, entre los que destacan México, Colombia, Brasil, España y Alemania.