Riesgo de terceros: cuando el tiburón blanco no está en el agua, sino en tu cadena de suministro

“El riesgo del proveedor no es ajeno. Eres tú”. Esa frase, lanzada con contundencia por un representante del Banco de España en un reciente foro sobre riesgos cibernéticos en la cadena de suministro en Madrid, lo cambió todo.

Porque cuando el regulador te dice que el tercero ya no es “otro”, sino parte integral de ti , ya no puedes mirar hacia otro lado.

¿Recuerdas cuando pensábamos que un ciberataque llegaría directo, como un rayo cayendo sobre nuestros sistemas centrales? ¿O cuando creíamos que la seguridad terminaba en nuestro firewall?

Hoy sabemos que el 70% del riesgo está fuera de ese perímetro . El verdadero peligro se esconde en los márgenes: proveedores subcontratados, sistemas integrados por terceros, APIs heredadas o mal gestionadas. Esos elementos “externos” son ya parte íntima de tu ecosistema digital. Lo confirma Gartner, lo demuestran los datos de IBM y lo vemos en los grandes incidentes: SolarWinds, MOVEit, XZ Utils .

Spoiler: El tiburón blanco no viene nadando desde el mar abierto. Ya está dentro de tu piscina. Camuflado entre tus contratos, tus dependencias, tus accesos compartidos. Y no lo viste venir porque seguías creyendo que era “otro”; no fue falta de información sino fue falta de prioridad.

En el episodio 8 de Cibervoces, entrevisté a María Camila Ortiz, una de las voces más lúcidas en Latinoamérica cuando se trata de traducir el lenguaje de los seguros cibernéticos a decisiones empresariales reales. Una de sus frases me quedó resonando durante días: “Si tu póliza es solo para cumplir un requisito, no estás transfiriendo riesgo: estás comprando papel”.

Y tiene razón. No basta con “tener un seguro”, hay que entender qué pasa si el proveedor falla, si el incidente nace en un eslabón débil de tu cadena. Porque cuando ese tercero cae, el impacto te lo llevas tú y muchas veces, ni siquiera sabes cuántificarlo.

¿Estamos ignorando un riesgo sistémico? Sí, y esa es la amenaza de fondo en nuestra región. En Latinoamérica seguimos repitiendo errores que ya deberían estar superados. Nos quedamos en el “dame lo más barato que cumpla con el RFP”, en vez de preguntarnos:

• ¿Qué parte me toca asumir si la brecha comienza por un tercero?
• ¿Tengo identificadas y auditadas mis dependencias críticas?
• ¿Tu proveedor tiene una sola póliza para cubrir a todos sus clientes? Si ocurre un incidente sistémico, ¿quién cree que tendrá prioridad en la cobertura?

La cadena de suministro es hoy el talón de Aquiles de muchas organizaciones y en nuestra región, donde la tercerización es profunda, la conciencia del riesgo es baja, y la gestión sigue tratándolo como si fuera un problema ajeno, el impacto es estructural.

Los datos no aparecen, muchos incidentes catastróficos comienzan por un proveedor, un sistema subcontratado o una API olvidada.

Desde Target hasta MOVEit , el patrón se repite. La tormenta perfecta nace de una cadena de suministro sin gobernanza:

• 65% de los ciberataques más impactantes de 2024 involucraron a terceros o cuartos niveles de proveedores. (Fuente: IBM X-Force)
• En la mayoría, no fue un “cisne negro”:

Una frase que escuché en Madrid lo resume a la perfección: “Un evento no es un Black Swan si ya lo mencionaste en la última reunión de la junta”.

¿Y ahora qué?

1. Evalúa a tus proveedores como si fueran tus propios sistemas.No subcontrates el riesgo, contrólalo.
2. Incluye cláusulas contractuales de ciberhigiene.Controles de acceso, reporting, pruebas de seguridad, planes de respuesta.
3. Haz simulacros que incluyan incidentes vía terceros.Porque así es como ocurre en la vida real.
4. Audita las certificaciones.ISO o SOC sin validación técnica es puro maquillaje.
5. Aplicación confianza inteligente, no ciega.Zero Trust también aplica para tus proveedores.
6. Tercero ≠ Ajeno.“No es que el proveedor falló. Es que tú no lo integraste en tu sistema de defensa”.
7. Evita pólizas compradas por “cumplimiento”.Porque cuando más lo necesites, podrías quedarte fuera de cobertura.

Tu cadena de suministro es como el océano y como en la película Tiburón, el peligro no siempre viene desde el fondo. A veces está justo al lado tuyo, agazapado, esperando el momento exacto.

No sigamos actuando como si los riesgos estructurales fueran sorpresas. El verdadero liderazgo en ciberseguridad no solo consiste en prever lo imprevisible, sino en tomar decisiones responsables frente a lo que ya sabemos y hemos ignorado por demasiado tiempo.

Por Andrea García Beltrán, directora de Riesgo Cibernético en Europa, Nirvana Insurance| host cibervoces podcast | Founder y ChairWomen CyberSpecsTM.