Los ciberataques se dirigen cada vez más a la cadena de suministro. Proveedores, servicios en la nube y componentes de software se convierten en puntos de entrada. Los expertos trasladan la responsabilidad de TI a la dirección y apuestan por la evaluación continua de riesgos, zero trust y resiliencia.
Asegurar la propia red ya no es suficiente para muchas empresas. Los atacantes apuntan cada vez más a la periferia: proveedores, prestadores de servicios y componentes de software a lo largo de la cadena de suministro digital. Los llamados ataques a la cadena de suministro aprovechan que los niveles de seguridad dentro de un ecosistema están distribuidos de forma desigual.
La creciente interconexión ha acelerado este desarrollo. Las empresas integran servicios en la nube, utilizan procesos de desarrollo externos y trabajan con cientos de proveedores. Cada conexión aumenta las dependencias digitales y crea posibles puntos de entrada. Para los atacantes, a menudo es más fácil llegar a un cliente más grande a través de un proveedor menos protegido.
«Los panoramas de amenazas dinámicos requieren evaluaciones de riesgo continuas, también de las cadenas de suministro», afirma Holger Könnecke, director general de la empresa de seguridad berlinesa MACONIA. «La buena gobernanza también significa mayor seguridad». Esto desplaza la responsabilidad. La seguridad de la cadena de suministro se entiende menos como una cuestión puramente técnica y más como una tarea de la dirección empresarial.
Esta clasificación se refleja en normas y regulaciones actuales. La norma ISO 28000 describe la seguridad de la cadena de suministro como parte de un sistema de gestión con fases de planificación, implementación, evaluación y mejora continua. VdS 10100 y DIN SPEC 14027 exigen una asignación clara de roles y responsabilidades. La seguridad debe integrarse así en la gestión estratégica.
Aumenta la presión regulatoria
Los requisitos regulatorios están creciendo. La Directiva NIS2 de la Unión Europea exige explícitamente una evaluación continua de riesgos en toda la cadena de suministro y la aplicación de medidas de seguridad adecuadas. La ley marco KRITIS de Alemania enfatiza la necesidad de evaluaciones de resiliencia continuas para dependencias críticas. Según MACONIA, muchas empresas hasta ahora solo han implementado estos requisitos de forma parcial.
Un problema estructural radica en la metodología: muchas organizaciones siguen evaluando riesgos con auditorías periódicas y listas de verificación estáticas, a menudo en ciclos anuales. En un entorno donde las amenazas evolucionan en tiempo real, este enfoque pierde eficacia. La brecha entre amenazas dinámicas y procesos de gobernanza estáticos se amplía.
Análisis con apoyo de IA y Zero Trust
En este contexto, ganan importancia las plataformas de análisis que combinan datos de diversas fuentes. Entre ellos se incluyen informes de vulnerabilidades, datos de inteligencia de amenazas, información sobre certificaciones, indicadores de seguridad de acceso público y datos de telemetría de redes. El análisis crea una imagen de riesgo actualizada de forma continua. Las empresas pueden así identificar cuándo un proveedor se convierte en un riesgo potencial antes de que ocurra un incidente.
Al mismo tiempo, cambia el principio de seguridad. Las arquitecturas zero trust parten de que la confianza no se otorga por defecto. Cada acceso se verifica de forma continua, no solo según la identidad, sino también según información contextual como ubicación, integridad del dispositivo y comportamiento. El acceso solo se concede cuando se cumplen todos los criterios definidos.
Resiliencia además de prevención
A pesar de la prevención, evitar por completo los ataques se considera poco realista. Por ello, el enfoque se desplaza hacia la resiliencia: la capacidad de limitar el impacto y restablecer las operaciones rápidamente. Esto incluye planes de respuesta a incidentes en la cadena de suministro que definen medidas internas y procesos de coordinación externa con proveedores. Los ejercicios conjuntos de crisis y los simulacros basados en simulación que combinan aspectos técnicos y organizativos buscan estabilizar los procesos.
Las empresas que integran estratégicamente la seguridad de la cadena de suministro mejoran no solo su resiliencia, sino también su cumplimiento normativo. Las cadenas de suministro transparentes y seguras se están convirtiendo también en un factor de confianza para clientes, socios y autoridades de supervisión.

El Dr. Jakob Jung es redactor jefe de Security Storage y Channel Germany. Lleva más de 20 años trabajando en el periodismo especializado en TI. A lo largo de su carrera ha colaborado con Computer Reseller News, Heise Resale, Informationweek, Techtarget (almacenamiento y centros de datos) y ChannelBiz. Además, colabora como freelance con numerosas publicaciones del sector de las TI, entre las que se incluyen Computerwoche, Channelpartner, IT-Business, Storage-Insider y ZDnet. Sus temas principales son el canal, el almacenamiento, la seguridad, los centros de datos, los sistemas ERP y CRM.
Contacto – Contacto por correo electrónico: jakob.jung@security-storage-und-channel-germany.de
