La transformación digital ha hecho que las empresas estén más conectadas que nunca, pero también más expuestas. Hoy, una compañía no solo depende de sus propios sistemas, sino de toda la red de proveedores, herramientas y socios con los que trabaja a diario. En este contexto, el 40% de las empresas en España está expuesto a riesgos en la cadena de suministro, un tipo de amenaza que ha ganado peso en el último año.
En esta línea, un estudio de Kaspersky apunta a que los ataques a la cadena de suministro ya son los más habituales. De hecho, el 31% de las organizaciones reconoce haber sufrido uno en los últimos doce meses. No se trata de casos aislados, sino de una tendencia que refleja cómo los ciberdelincuentes están cambiando de estrategia: en lugar de atacar directamente a una empresa, buscan el punto más débil dentro de su red de relaciones.
Por otro lado, el tamaño de la empresa también influye. Las grandes organizaciones, que pueden trabajar con más de 100 proveedores tecnológicos, tienen más puertas abiertas y, por tanto, más riesgo. Además, muchas de ellas dan acceso a sus sistemas a terceros, lo que amplía aún más las posibilidades de ataque. En este escenario, la confianza entre empresas se convierte, paradójicamente, en una vulnerabilidad.
Asimismo, los ataques que aprovechan esas relaciones de confianza se han convertido en una constante. Este tipo de ciberataques, que utilizan conexiones legítimas para infiltrarse en los sistemas, ya ha afectado al 25% de las compañías. Sin embargo, pese a su frecuencia, siguen sin ocupar el lugar que deberían en la lista de prioridades de muchas empresas.
En líneas generales, existe un desfase claro entre lo que las empresas creen que es más peligroso y lo que realmente ocurre. Aunque más de la mitad reconoce que un ataque en la cadena de suministro puede paralizar su actividad, solo el 9% lo considera su principal preocupación. En cambio, siguen centrando su atención en amenazas más conocidas, aunque no siempre sean las más frecuentes.
En palabras de Sergey Soldatov, responsable del Security Operations Center en Kaspersky, “cada proveedor y cada integración pasa a formar parte del perfil de seguridad de una empresa”. Por ello, Soldatov ha insistido en que la protección ya no puede limitarse a los sistemas internos, sino que debe extenderse a todo el entorno digital en el que opera la organización.
Además, este cambio obliga a replantear cómo se entiende la ciberseguridad. Ya no basta con proteger lo propio: es necesario revisar a los proveedores, limitar accesos y vigilar de forma constante lo que ocurre en toda la red. Porque, en muchos casos, el problema no está dentro, sino justo en ese punto externo al que nadie estaba mirando.
En definitiva, la cadena de suministro se ha convertido en uno de los puntos más delicados de la seguridad digital. Y cuanto más conectadas están las empresas, más importante es entender que protegerse ya no es solo una cuestión interna, sino de todo el ecosistema.