La exposición de las empresas no se define solo por su perímetro interno, sino por los accesos, integraciones y privilegios concedidos en su cadena de suministro.

Los ataques a la cadena de suministro ganan importancia como una de las principales categorías de ciberamenazas. La Agencia de la Unión Europea para la Ciberseguridad (ENISA) los sitúa como un vector prioritario en el ecosistema de riesgo europeo, con un especial impacto en la administración pública y los proveedores de servicios digitales.

La realidad es que, en un mundo cada vez más interconectado, cada integración con terceros (proveedores, partners o subcontratas) amplía la superficie de ataque más allá del control directo de la empresa. El riesgo ya no está solo en el perímetro interno, sino en la red de accesos externos que sostiene los procesos diarios y que, en muchos casos, no se inventaría y monitoriza con el mismo rigor que los activos propios.

Imaginemos que una empresa contrata a un integrador tecnológico certificado y auditado para gestionar parte de sus sistemas críticos. El integrador, a su vez, subcontrata el mantenimiento remoto a una empresa más pequeña en otro país. Esa subcontrata tiene acceso permanente a entornos de operación sensibles, pero no figura en ningún registro de terceros de la empresa principal: nadie la ha dado de alta, ni la audita o revisa sus credenciales. Si se produce un incidente de seguridad, la cadena contractual tiene tres eslabones y la responsabilidad se diluye en cada uno.

Este escenario hipotético cobra especial realismo si tenemos en cuenta que el 86 % de las empresas declara tener políticas de ciberseguridad implementadas para su cadena de suministro según ENISA. Sin embargo, solo el 47 % asigna un presupuesto específico para ejecutar esas políticas, y un alarmante 76 % carece por completo de roles y responsabilidades dedicados a supervisar a los colaboradores y terceros.

 

Un nuevo marco regulatorio para la corresponsabilidad

Con el objetivo de fomentar la prevención y clarificar las responsabilidades, en 2023 se aprobó la conocida como Directiva NIS2, cuya transposición nacional se espera completar a lo largo del año 2026 en España. Este marco normativo de ciberseguridad afecta especialmente a medianas y grandes empresas de sectores clave como los proveedores de servicios digitales, la industria y la gestión de residuos, entre otros.

La norma exige una supervisión activa y una homologación formal de las capacidades de ciberseguridad de cada actor involucrado en la provisión de servicios. Introduce también un principio de corresponsabilidad según el cual las sanciones y el impacto reputacional recaen sobre la entidad principal si esta no puede acreditar que ha ejercido una vigilancia continua sobre sus proveedores críticos.

El cumplimiento normativo deja de ser un requisito documental para convertirse en un aspecto clave de la continuidad de negocio. En este escenario, la presión regulatoria y las amenazas autónomas están empujando a las empresas hacia modelos de seguridad más adaptativos. Pero, ¿cómo se puede traducir esto en la práctica?

 

La brecha entre la política formal y la ejecución real

Solo el 37 % de las empresas realiza una evaluación de riesgos formal sobre sus proveedores antes de contratarlos, y únicamente el 43 % emplea servicios de calificación de seguridad automatizados para monitorizar la postura de seguridad de sus partners de forma continua. Muchas empresas asumen que una validación puntual durante el alta del proveedor garantiza la integridad del sistema de forma permanente.

Sin embargo, la realidad operativa desmiente esta premisa; la seguridad de la información requiere una gobernanza dinámica basada en la verificación constante.

Para revertir esta inercia, la ciberseguridad de la cadena de suministro debe evolucionar desde la auditoría de cumplimiento hacia un modelo de control de la arquitectura. Un responsable de seguridad no debería dar por válido el acceso de un tercero sin revisar aspectos como el aislamiento y segregación operativa. Es prioritario determinar bajo qué criterios de diseño se aíslan los entornos compartidos con el colaborador para evitar el movimiento lateral de un atacante en caso de una brecha, o mediante qué sistemas automatizados se revocan los accesos de un profesional externo en el mismo instante en que cesa su relación laboral con la subcontrata.

Asimismo, los contratos de gobernanza actuales deben transformarse en acuerdos de nivel de seguridad que exijan la auditoría técnica activa mediante ejercicios de intrusión simulados y la notificación obligatoria de cualquier anomalía detectada en la infraestructura del socio. Es necesario romper la tendencia de intentar silenciar los incidentes de seguridad menores… hasta que el impacto afecta a todo el sistema.

Esta transformación hacia una gobernanza dinámica exige un cambio en la relación con el ecosistema de colaboradores. Mitigar el riesgo de terceros no consiste en bloquear la colaboración externa, sino en estructurarla bajo la premisa de que cualquier eslabón de la cadena puede poner en riesgo al resto, y todos deben colaborar para evitarlo.

 

Cyber Security World Madrid 2026: una visión global para la gestión del riesgo

La resiliencia corporativa ya no se mide por la solidez de las propias defensas, sino por la capacidad de operar de forma segura dentro de una red de confianza en la que la identidad y los privilegios se verifican de manera continua entre todos los actores. El verdadero reto para los responsables de seguridad consiste en liderar esta transición técnica y contractual antes de que una intrusión ponga en riesgo el sistema entero.

Para abordar esta transformación y conocer las soluciones ante las exigencias de normativas como NIS2, Cyber Security World 2026 es el principal punto de encuentro para la ciberseguridad empresarial, corporativa e institucional en España. Celebrado en el marco de Tech Show Madrid (cuya edición anterior reunió a más de 470 empresas expositoras, 400 ponentes y 27.000 profesionales), este evento especializado congregará los próximos 4 y 5 de noviembre de 2026 en IFEMA Madrid a más de 40 proveedores y más de 60 expertos de referencia en sus mesas de debate y tech talks.

Se trata de un foro profesional con más de 3.600 visitantes cualificados, el 32 % con perfiles de C-Level (CISO, CTO, IT Risk Officers y arquitectos de seguridad), que ofrece a los asistentes una oportunidad única para identificar tecnologías emergentes y socios estratégicos en ámbitos como seguridad en la nube y entornos híbridos, IA aplicada a la ciberseguridad, identidad y autenticación avanzada, protección de datos... Por su parte, los expositores pueden posicionarse ante responsables con capacidad de toma de decisiones y conectar con una audiencia especializada dispuesta a transformar la gestión del riesgo de la cadena de suministro en una auténtica ventaja competitiva.