Ataques a la cadena de suministro: el vector que más creció en el último año

Ilustración: Ataques a la cadena de suministro de software

Toda organización opera dentro de un ecosistema de terceros: proveedores de software, plataformas de desarrollo, servicios en la nube, herramientas de colaboración. Cada uno de esos vínculos representa una relación de confianza implícita. Y esa confianza, precisamente, es lo que los atacantes explotan.

Un ataque a la cadena de suministro no apunta directamente a la organización objetivo. Apunta a quien tiene acceso legítimo a ella: un proveedor de software, una librería de código abierto, una herramienta de actualización. Los atacantes eligen el camino de menor resistencia, apuntando al eslabón más débil de un ecosistema de sistemas y software interconectados, con la capacidad de infiltrar múltiples organizaciones a través de un único punto de compromiso.

Los números que definen el momento

Crecimiento del vector 2021-2025

+431% Aumento de ataques entre 2021 y 2023
15% De todas las brechas documentadas en 2024
267 días Promedio para identificar y contener
$138B Costo global proyectado para 2031

Los compromisos de terceros y la cadena de suministro duplicaron su prevalencia año contra año, superando incluso a las credenciales robadas o comprometidas como vector de entrada, según Gartner.

Desde el punto de vista financiero, las cifras son igualmente significativas. El costo promedio global de una brecha de datos es de $4.44 millones según el IBM Cost of a Data Breach Report 2025, mientras que en Estados Unidos esa cifra llega a un récord de $10.22 millones.

2025: el año en que se duplicaron

Los ataques cibernéticos con implicaciones en la cadena de suministro han promediado 26 incidentes por mes desde abril de 2025, el doble de la tasa registrada entre principios de 2024 y marzo de 2025.

En los primeros cinco meses de 2025, los ataques a la cadena de suministro afectaron 22 de los 24 sectores monitoreados por Cyble. Solo las industrias minera e inmobiliaria permanecieron fuera del radar. De los 79 incidentes documentados, 50 (el 63%) apuntaron directamente a empresas de TI, tecnología y telecomunicaciones.

Entre los países más afectados, Estados Unidos fue objetivo en 31 de los 79 incidentes. En Europa, Francia registró el mayor número de ataques con 10 incidentes. En Asia-Pacífico, India y Taiwán lideraron como objetivos regionales.

Por qué este vector se volvió tan atractivo

📦

Ecosistema inmenso

+1,300% crecimiento de amenazas en repositorios open source. Más de 704,000 paquetes maliciosos desde 2019. La mayoría de organizaciones no tiene visibilidad completa.

🔓

Confianza estructural

Los proveedores necesitan acceso. Los pipelines CI/CD requieren conectividad. Las actualizaciones automáticas son recomendadas. Cada necesidad legítima crea superficie de ataque.

Impacto multiplicado

Un proveedor con 500 clientes = 500 ataques simultáneos. Un grupo ransomware obtuvo datos de 41,000 clientes comprometiendo una sola compañía.

🤖

IA ofensiva

16% de brechas en 2025 involucraron IA. Deepfakes convincentes y campañas de phishing sofisticadas generadas automáticamente.

Casos que marcaron el año

El proveedor de RR.HH. sueco y 200 municipios

Un ataque de ransomware a un proveedor de software de recursos humanos sueco impactó aproximadamente a 200 municipios suecos, junto con múltiples administraciones regionales, universidades y corporaciones. El ataque interrumpió una plataforma que gestiona datos críticos de empleados, incluyendo certificados médicos, planes de rehabilitación y registros de lesiones laborales. Un solo proveedor comprometido, cientos de organizaciones afectadas.

Notepad++ y actores estatales

Los servidores de actualización de Notepad++ fueron comprometidos entre junio y diciembre de 2025 por un grupo vinculado a un estado-nación chino, quienes secuestraron el mecanismo de actualización de una herramienta utilizada por millones de desarrolladores.

SafePay y 3.5TB de datos

El grupo de ransomware SafePay reivindicó un ataque a un importante proveedor global de servicios tecnológicos y de cadena de suministro, alegando el robo de 3.5 terabytes de datos. La interrupción operativa resultante afectó sistemas clave de distribución, licenciamiento, transacciones e infraestructura de APIs.

La brecha de preparación

A pesar de las advertencias claras de Gartner y otros analistas, solo 1 de cada 3 organizaciones se siente preparada para protegerse de las amenazas a la cadena de suministro de software, según el Ivanti 2025 State of Cybersecurity Report.

"Gestionar el riesgo de la cadena de suministro sigue siendo uno de los mayores problemas para los CISOs — la mayor área de riesgo no gestionado o difícil de gestionar."

— Philip Reitinger, presidente del Global Cyber Alliance y ex-CISO de SONY

Esta brecha entre el nivel de amenaza y el nivel de preparación es precisamente lo que hace que este vector siga siendo tan productivo para los atacantes.

Cómo reducir la exposición

No existe una solución que garantice inmunidad total, pero hay prácticas que reducen significativamente la exposición:

Inventario de dependencias de software (SBOM). Un Software Bill of Materials es la base para saber qué hay en tu stack y qué necesita ser monitoreado. Sin visibilidad, no hay defensa posible.

Seguridad en el pipeline CI/CD. El lugar más efectivo para controlar los riesgos de la cadena de suministro es el proceso de integración y desarrollo continuo. Revisar cuidadosamente a los proveedores y requerir controles de seguridad sólidos en los contratos son medidas esenciales.

Monitoreo continuo de terceros. La evaluación de riesgos de proveedores no puede ser un proceso anual. Requiere revisión continua, especialmente cuando hay cambios en los equipos o en las plataformas de un proveedor.

Zero Trust hacia terceros. El hecho de que un proveedor sea de confianza no significa que su software o sus credenciales deban tener acceso irrestricto. Aplicar el principio de mínimo privilegio también a las integraciones externas es una práctica fundamental.

El objetivo estratégico debe ser la resiliencia: la capacidad de detectar, resistir y recuperarse rápidamente de un compromiso con el mínimo impacto en el negocio. La prevención al 100% no es posible, pero la preparación y la respuesta rápida marcan la diferencia entre un incidente contenido y una crisis que paraliza la operación.

Imagen generada con IA
© Copyright: Natalia Jaimes

Comentarios

Publicar un comentario

Entradas más populares de este blog

vCard vs Linktree ¿Cuál representa mejor tu marca?

Imagen
Muchos han optado por soluciones como Linktree para reunir enlaces dispersos. Funciona. Pero si tu objetivo es dejar una impresión clara, profesional y alineada con lo que representas, necesitas algo más que un catálogo de links. Las vCards  son una herramienta estratégica: una forma de decir "esto es lo que soy, esto es lo que ofrezco", con diseño, intención y una experiencia coherente desde el primer segundo. ¿Qué es una vCard (y por qué no es solo una tarjeta con links)? Una vCard es una tarjeta de presentación digital que no se conforma con listar. Esta diseñada para reflejar tu identidad visual, integrar tus canales de contacto y alinear cada elemento con tu marca personal o empresarial, una vCard permite que quien te encuentra se quede por lo que ve, entiende y siente. A diferencia de los generadores de enlaces tradicionales, aquí no solo compartes accesos: proyectas presencia. Tu logo, tus colores, tu mensaje y tus botones de contacto trabajan en conjunto para...
Leer más

3 formas de usar tu vCard en eventos para generar leads reales

Imagen
Los eventos empresariales, ferias comerciales y networking presenciales siguen siendo espacios clave para generar contactos. Pero hay un problema: muchos siguen usando tarjetas físicas que se pierden, se mojan, se olvidan… o simplemente no se escanean jamás. Si tu objetivo es generar leads reales, no solo repartir papel, necesitas algo más ágil, moderno y medible. Aquí es donde entran las vCards digitales. En U-site lo hemos visto en acción: cuando usas bien tu tarjeta digital, puedes captar contactos en segundos, sin depender de la memoria del otro ni de una pila de papeles. Aquí te contamos cómo aprovecharlas al máximo en entornos presenciales: 1. QR a la vista y listo para escanear Tu vCard de U-site genera un código QR único. Puedes imprimirlo en un cartel, llevarlo en un sticker, camiseta o incluso como fondo de pantalla en tu celular o tablet. Cuando alguien escanea tu QR: Ve tu foto, nombre, cargo y empresa de inmediato. Puede hacer clic y escribirte por ...
Leer más

El futuro del trabajo: Cómo adaptarse a la automatización y la IA

Imagen
Imagina un mundo donde los asistentes virtuales manejan tu agenda, los algoritmos predicen tendencias de negocio con precisión y las máquinas aprenden a realizar tareas que antes eran exclusivas de los humanos. Ese futuro ya está aquí. En este artículo, exploraremos cómo estos avances están transformando el trabajo y qué pasos puedes tomar para no quedarte atrás en esta revolución tecnológica. ¿Cómo está transformando la IA el mundo laboral? 1. Automatización de tareas repetitivas Las tareas rutinarias y repetitivas, como la entrada de datos, el servicio al cliente básico y la gestión de inventarios, están siendo automatizadas con software inteligente. Esto libera tiempo para que los empleados se enfoquen en tareas de mayor valor agregado. 2. Optimización de la toma de decisiones Las empresas están utilizando IA para analizar grandes volúmenes de datos y mejorar la toma de decisiones. Esto es especialmente útil en sectores como las finanzas, la salud y el marketing, donde la ...
Leer más