Las empresas ya invierten en ciberseguridad. Tienen firewalls, autenticación, protocolos y equipos dedicados. El problema es otro: gran parte del riesgo no pasa por sus propios sistemas, sino por los de terceros con acceso autorizado.
En un informe público de Kaspersky, los ataques a la cadena de suministro fueron el incidente más experimentado por las empresas en los últimos 12 meses, con 31% de incidencia. Sin embargo, solo 9% los considera entre los riesgos más peligrosos. Los ataques por relaciones de confianza siguen el mismo patrón: afectan a 25% de las organizaciones, pero solo 8% los prioriza.
La brecha no es técnica, es de enfoque. Las empresas reconocen el riesgo en abstracto, pero no lo incorporan en sus decisiones operativas ni en su asignación de recursos.
El problema no es la amenaza, es la visibilidad
El modelo tradicional de seguridad parte de un supuesto: proteger el perímetro. Ese supuesto dejó de ser suficiente.
Hoy, las empresas operan dentro de un ecosistema donde proveedores, contratistas, software externo y plataformas digitales tienen acceso directo a sistemas críticos. Ese acceso —necesario para operar— es también la principal vulnerabilidad.
El informe identifica un dato revelador: 21% de las organizaciones que consideran tener baja o nula vulnerabilidad ni siquiera pueden estimar cuántos proveedores de hardware y software tienen.
No es un problema menor. Si una empresa no puede mapear su superficie de exposición, tampoco puede gestionarla.
En promedio:
- más de 60 proveedores tecnológicos por empresa
- alrededor de 72 contratistas con acceso a sistemas
La seguridad deja de ser un tema de sistemas internos. Se convierte en un problema de gobernanza del ecosistema.
La defensa existe, pero no está conectada
Las empresas no están desprotegidas. Están desarticuladas.
Las medidas más comunes incluyen:
- autenticación de dos factores (38%)
- cláusulas de seguridad en contratos (37%)
- revisión de seguridad de proveedores (35%)
El problema es que ninguna supera la mitad de adopción. No hay un estándar dominante.
Eso genera una defensa fragmentada:
- controles aislados
- procesos inconsistentes
- falta de continuidad en la supervisión
El resultado es predecible. Solo 15% de las empresas considera efectivas sus medidas de seguridad frente a ataques de supply chain.
No es falta de herramientas. Es falta de integración.
El mayor punto ciego está en los proveedores
El momento más crítico ocurre antes de empezar la relación comercial. Y es donde menos control existe.
Solo 28% de las empresas evalúa la confiabilidad de sus proveedores antes de trabajar con ellos. Apenas 18% revisa su nivel de ciberseguridad.
Incluso entre quienes sí realizan evaluaciones, no hay consistencia:
- algunos revisan políticas
- otros incidentes pasados
- otros cumplimiento normativo
Pero no existe un marco estándar que garantice un nivel mínimo de seguridad.
Además, 38% de las empresas que sí evalúan proveedores no incluye criterios de ciberseguridad en esa evaluación.
Eso convierte a la cadena de suministro en un punto de entrada estructural para ataques.
Las barreras no son técnicas, son organizacionales
Las empresas saben que tienen que mejorar. El 85% reconoce que necesita fortalecer su protección.
Las razones para no hacerlo son claras:
- 42%: falta de personal especializado
- 42%: otras prioridades en seguridad
- 39%: contratos sin obligaciones de ciberseguridad
- 32%: falta de comprensión fuera del área de IT
No es un problema de conciencia. Es un problema de ejecución.
La ciberseguridad sigue tratándose como una función técnica, cuando en realidad es una variable operativa que impacta:
- continuidad del negocio
- costos operativos
- reputación
- cumplimiento regulatorio
Mientras no se integre a nivel organizacional, seguirá siendo reactiva.
Las empresas más expuestas son las más complejas
El riesgo no se distribuye de forma uniforme.
Las grandes empresas, con mayor número de proveedores y operaciones más complejas, reportan más ataques de supply chain (36%).
Eso rompe una idea común: que la escala protege.
En realidad, la escala expone:
- más proveedores
- más integraciones
- más puntos de acceso
A mayor complejidad, mayor superficie de ataque.
Para empresas con operaciones distribuidas —retail, logística, manufactura, real estate— el riesgo es estructural.
La tendencia apunta a responsabilidad compartida
El modelo tradicional de seguridad es unilateral: cada empresa protege su entorno.
Ese modelo empieza a cambiar.
El informe muestra que:
- 69% de las empresas está dispuesto a compartir costos de ciberseguridad con proveedores
- 25% ya lo hace
Esto redefine la lógica:
- la seguridad deja de ser individual
- se convierte en una responsabilidad compartida
No es altruismo. Es eficiencia. La cadena es tan fuerte como su eslabón más débil.
Qué cambia para las empresas en México y LATAM
El reporte refleja una tendencia global, pero su impacto en la región es más intenso.
En México y América Latina:
- las cadenas de suministro son más fragmentadas
- la digitalización avanza, pero no siempre de forma integrada
- los marcos regulatorios son menos homogéneos
Eso amplifica el riesgo.
Para las empresas, la implicación es directa:
1. La ciberseguridad deja de ser un tema de IT
Se convierte en un componente de gestión operativa y estratégica.
2. Los proveedores pasan a ser parte del riesgo corporativo
No solo del área de compras o legal.
3. La visibilidad se vuelve crítica
No se puede proteger lo que no se mide.
4. La inversión cambia de enfoque
Menos herramientas aisladas, más integración y monitoreo continuo.
Las empresas que logren cerrar esa brecha no solo reducirán riesgo. Van a operar mejor.
Porque en un entorno donde la disrupción ya es recurrente, la ventaja no está en evitar todos los incidentes. Está en tener una operación que pueda absorberlos sin romperse.
