- Financial Times: Los 'hackers' atacan las cadenas de suministro
- Las empresas ponen el foco en la ciberseguridad de sus proveedores
Ciberataques recientes como los sufridos por Iberia, Iberdrola, Repsol o Banco Santander, en los que los criminales robaron datos de clientes atacando a proveedores externos, exponen la debilidad de las cadenas de suministro de las grandes corporaciones.
"El motivo de esta comunicación es informarle de que, como probablemente ya sabe, lamentablemente en Iberia Líneas Aéreas de España hemos detectado un incidente de seguridad relacionado con un acceso no autorizado a los sistemas de un proveedor de Iberia, que ha comprometido la confidencialidad de ciertos datos". Con este mensaje informaba la aerolínea española, el pasado 29 de noviembre, a través de un correo electrónico, de que había sido víctima de un ciberataque que había expuesto datos personales de sus clientes.
El incidente se suma a una serie de brechas de seguridad registradas en 2024 que afectaron a grandes grupos del Ibex 35. Iberdrola sufrió la filtración de información sensible de 850.000 clientes debido a una vulnerabilidad en los sistemas de Konecta, su proveedor de contact center. Banco Santander informó de un "acceso no autorizado" a una base de datos alojada en un proveedor externo, comprometiendo datos de clientes y empleados en España, Chile y Uruguay. Por su parte, Repsol experimentó una filtración masiva de datos de miles de clientes en España, también originada por una vulnerabilidad en los sistemas de un tercero.
Lo que tienen en común todos estos incidentes es que los cibercriminales aprovecharon puntos débiles en la cadena de suministro de las grandes corporaciones para tener acceso a datos sensibles de estos grupos. Esta práctica es cada vez más habitual entre los grupos de hacker, que apuntan a proveedores y terceros de confianza para utilizarlos como trampolín hacia múltiples clientes, en lugar de atacar directamente a cada gran empresa. "Los atacantes están optimizando el retorno. Atacar de forma directa a una gran compañía suele implicar enfrentarse a capas de defensa, monitorización, procesos de respuesta y controles maduros. En cambio, comprometer un eslabón menos protegido de la cadena permite abrir una puerta lateral con mucho menos esfuerzo y, lo más importante, con un gran alcance", destaca Marc Sarrias, responsable para España y Portugal de Palo Alto Networks, una firma global de ciberseguridad con sede en Silicon Valley
En 2024, el número de ataques a proveedores externos de empresas de todo el mundo se duplicó. Alrededor del 30% de los 7.965 ciberataques de 2024 se originaron a través de un tercero, el doble que el año anterior, según el Informe de Investigaciones de Violaciones de Datos de 2025 de Verizon. En 2023, este tipo de ataques informáticos representó el 14,9% de un total de 7.268 ciberataques.
Sarrias opina que estos datos muestran únicamente la punta del iceberg, ya que solo contabilizan lo que es visible y está confirmado. A su juicio, el problema es mucho más profundo y, lo más preocupante, es que solo puede ir a peor. "A medida que las empresas continúan digitalizándose, externalizan servicios y se conectan a un número cada vez mayor de proveedores, los posibles puntos de entrada crecen de forma exponencial", señala.
Esto es especialmente preocupante en el caso de España, donde el tejido empresarial está ampliamente dominado por pymes. "[Estas empresas] a menudo actúan como proveedores críticos dentro de estas cadenas y no siempre cuentan con defensas equivalentes a las de sus grandes clientes, lo que incrementa el riesgo sistémico", advierte el directivo de Palo Alto Networks.
La técnica que suelen utilizar los hacker en este tipo de ataques es el ransomware, encriptando los sistemas de las empresas y reclamando un rescate a cambio de recuperar el control y evitar que los datos acaben publicados en la dark web.
Esta nueva táctica de los grupos de ciberdelincuentes ha disparado la tensión en los consejos de administración de las grandes compañías. De hecho, se trata del asunto que más preocupa a los responsables de ciberseguridad de todo el mundo, por delante de otras amenazas cibernéticas como las relacionadas con la nube, la ingeniería social o los fallos de software, según el informe Global Digital Trust Insights 2026 elaborado por la consultora PwC, que recopila las opiniones de más de 3.000 directivos a nivel mundial.
En concreto, un 27% de los encuestados señalan las brechas de terceros entre las ciberamenazas para las que están menos preparados, un porcentaje que escala hasta el 41% en el caso de las corporaciones españolas.
Una de las vías de entrada más habituales por los criminales es el uso de accesos robados. "Con demasiada frecuencia, a los proveedores de servicios se les proporcionan credenciales con los mismos derechos y privilegios que a los empleados internos", señalan desde la firma de ciberseguridad británica Sophos. A menudo los hackers recurren a técnicas de ingeniería social con las que engañan a los trabajadores para robarles sus credenciales y obtienen vía libre para penetrar en los sistemas de la empresa.
Fue lo que pasó con la cadena británica de grandes almacenes Marks & Spencer el pasado mes de mayo. Los criminales accedieron a sus sistemas haciéndose pasar fraudulentamente por empleados ante el personal de TI de uno de sus proveedores, logrando que les cambiaran las contraseñas y restablecieran los procesos de autenticación.
El incidente obligó al grupo a cerrar su negocio de ropa en línea durante más de tres semanas, provocó el robo de datos de clientes y redujo el beneficio operativo de la cadena en hasta 300 millones de libras (342 millones de euros), según reveló después el presidente de Marks & Spencer, Archie Norman.
La cadena británica de grandes almacenes Marks & Spencer sufrió un ciberataque el pasado mes de mayo que le obligó a cerrar su negocio de ropa en línea durante tres semanas.El aumento de la piratería informática ha llevado a los gobiernos de todo el mundo a introducir leyes en los últimos años para obligar a los proveedores de servicios a priorizar la ciberseguridad. Una de las más relevante es NIS2 de la Unión Europea, introducida en 2023, considerada la primera legislación importante que endureció las restricciones a las cadenas de suministro.
Las entidades sujetas a la normativa, como los sectores de la energía, el transporte y la banca, ahora deben gestionar los posibles riesgos de los proveedores. "NIS2 exige a las empresas que tenga un cierto nivel de importancia —por su actividad, facturación o número de empleados— un control más estricto de los datos que ceden a sus proveedores y la forma en que estos los gestionan", expone Eusebio Nieva, jefe técnico de Check Point Software para España y Portugal.
En lo que respecta a la autoría de los ataques, Sarrias apunta a una colaboración cada vez más estrecha entre estados -como Rusia, China, Corea del Norte o Irán- y grupos de cibercriminales. "Estamos observando una convergencia cada vez mayor entre ecosistema del cibercrimen y actores estatales", asegura. Esto hace que los ataques no respondan únicamente a objetivos puramente económicos. "Hemos investigado ataques con una clara intencionalidad política, estratégica o de inteligencia que utilizan la cadena de suministro como vía de acceso", conluye el experto de Palo Alto Networks.
Alphabet compra el grupo de energía y 'data center' Intersect por 4.055 millonesOpenAI, ante su prueba más difícil: negocia una ronda que dispararía su valor hasta los 830.000 millones de dólaresSamsung y Apple llevarán su batalla a los plegables en 2026 Comentar ÚLTIMA HORA