Un ataque a la cadena de suministro ocurre cuando los delincuentes comprometen a un tercero de confianza para llegar al objetivo real. Ese tercero podría ser un proveedor de software, un proveedor de TI, una plataforma SaaS o un socio comercial con acceso a sistemas o datos.
Para las pequeñas y medianas empresas, es fácil subestimar este riesgo. Es posible que usted no administre una infraestructura compleja ni tenga un gran equipo de TI, pero es probable que su empresa dependa de muchos servicios externos: correo electrónico empresarial, nómina, contabilidad, almacenamiento en la nube, soporte al cliente, CRM y sistemas de pago. Cada proveedor conectado crea una ruta potencial hacia su entorno.
Explicaremos qué es un ataque a la cadena de suministro, cómo ocurren estos ataques, por qué las pymes están expuestas y cómo evaluar y reducir el riesgo de la cadena de suministro de terceros.
¿Qué es un ataque a la cadena de suministro?
Cómo ocurren los ataques a la cadena de suministro
Por qué las pymes son más valiosas
Ejemplos del mundo real de ataques a la cadena de suministro
Cómo evaluar el riesgo de terceros
Qué puede hacer su empresa para reducir la exposición
La conexión de credenciales en los ataques a la cadena de suministro
Incorpore la seguridad de terceros en las operaciones diarias
¿Qué es un ataque a la cadena de suministro?
Un ataque a la cadena de suministro es un ciberataque que llega a una organización a través de una relación externa de confianza. En lugar de atacar a su empresa directamente, los delincuentes comprometen a un proveedor, una actualización de software, un proveedor de servicios, una integración o una cuenta de un tercero, y utilizan ese acceso para llegar a sus clientes de manera descendente.
Una debilidad fuera de su organización aún puede afectar sus sistemas, datos u operaciones si el proveedor está conectado a ellos. En la práctica, un ciberataque a la cadena de suministro puede involucrar:
- Un proveedor de software con un mecanismo de actualización comprometido.
- Una plataforma SaaS a través de la cual los atacantes acceden a los datos de los clientes.
- Un proveedor de TI cuyas credenciales de administrador fueron robadas.
- Una cuenta de contratista que aún tiene acceso después de que finaliza un proyecto.
- Una integración de terceros con más permisos de los que necesita.
- Una cuenta de empleado de un proveedor utilizada para acceder a los sistemas del cliente.
Los ataques a la cadena de suministro se basan en la confianza y la explotan. Su empresa permite la conexión porque el proveedor tenía un rol legítimo, y luego los atacantes abusan de esa confianza para acercarse a sus datos, cuentas o sistemas.
Cómo ocurren los ataques a la cadena de suministro
Los ataques a la cadena de suministro suelen comenzar con una conexión de confianza. Un atacante no necesita infiltrarse directamente en su empresa si un proveedor, proveedor de software, contratista o integración ya tiene acceso a algo valioso.
La ruta puede variar, pero el patrón suele ser similar:
- Comprometer al tercero
- Utilizar esa relación de confianza para llegar a los clientes o sistemas conectados
- Expandir el acceso a la red de su empresa
A través de cuentas de proveedores comprometidas
Los atacantes pueden robar o adivinar las credenciales de un proveedor, contratista, agencia o proveedor de servicios gestionados. Si ese tercero tiene acceso a sus sistemas, el atacante puede usar una cuenta legítima para ingresar a través de una ruta de confianza.
Esto es especialmente riesgoso cuando las cuentas de los proveedores tienen permisos amplios, contraseñas débiles, no tienen autenticación de múltiples factores o un acceso que nunca se eliminó después de que finalizó un proyecto. Por eso, el acceso de terceros debe revisarse periódicamente y revocarse de inmediato a través de un proceso de administración controlado cuando ya no sea necesario.
A través de actualizaciones de software y aplicaciones
Un ataque a la cadena de suministro de software puede ocurrir cuando los atacantes comprometen la forma en que se crea, distribuye o actualiza una aplicación. Su empresa podría entonces instalar o actualizar el software de un proveedor de confianza, sin darse cuenta de que la actualización ha sido manipulada.
Este tipo de ataque es difícil de detectar porque la actividad parece provenir de un proveedor de software conocido y no de una fuente desconocida.
A través de integraciones de terceros
Muchas herramientas de software como servicio (SaaS) se conectan entre sí a través de integraciones, complementos, API y permisos. Estas conexiones ayudan a los equipos a trabajar más rápido, pero también pueden crear rutas de acceso ocultas.
Si una integración se compromete o tiene más permisos de los que necesita, los atacantes pueden acceder a datos, cuentas o flujos de trabajo más allá de la herramienta original.
A través de credenciales compartidas y acceso no gestionado
El riesgo de la cadena de suministro también aumenta cuando el acceso de los proveedores depende de inicios de sesión compartidos, contraseñas almacenadas en documentos o credenciales enviadas por chat y correo electrónico. Si una de esas credenciales queda expuesta, es posible que su empresa no sepa quién la usó, dónde se compartió o a cuántos sistemas aún puede acceder.
El control de acceso es su mecanismo más sólido para proteger la seguridad de su cadena de suministro. Cuanto más controlada esté la conexión de cada proveedor, más fácil será limitar los daños si algo sale mal.
Por qué las pymes son más vulnerables
Las pymes a menudo asumen que los ataques a la cadena de suministro son un problema de las grandes empresas. En realidad, puede ser más fácil llegar a las empresas más pequeñas a través de terceros porque el acceso de los proveedores suele ser menos formal, se monitorea menos y se revisa con menor frecuencia.
Cada servicio SaaS añade una dependencia
La mayoría de las pequeñas empresas dependen ahora de los servicios SaaS para el trabajo diario. Estos pueden ayudar a las empresas a avanzar con rapidez y flexibilidad, pero también amplían la cantidad de sistemas que pueden contener datos comerciales o conectarse a cuentas comerciales.
Una pequeña agencia, consultora, firma de abogados o start-up puede utilizar decenas de servicios externos sin llamarlo cadena de suministro. Pero desde una perspectiva de seguridad, esos servicios forman parte de la cadena.
Es posible que los equipos más pequeños carezcan de procesos de revisión de proveedores
Las grandes organizaciones suelen contar con compras, cuestionarios de riesgo de proveedores, revisiones de seguridad y procesos legales. En su lugar, las pymes pueden confiar en la confianza informal y la rapidez.
Desde principios de 2025, el Observatorio de vulneraciones de datos de Proton identificó 512 vulneraciones que expusieron más de 902 millones de registros. Ese tipo de visibilidad es importante porque muchas vulneraciones no se quedan aisladas en una sola empresa una vez que se exponen las credenciales, los detalles de contacto o los datos comerciales.
Eso no significa que las pequeñas empresas necesiten la burocracia de una gran empresa. Sí significa que necesitan una forma práctica de hacer preguntas básicas antes de otorgar acceso y de revisar el acceso después de que cambie el trabajo.
El acceso de los proveedores a menudo es más amplio de lo necesario
El acceso de los proveedores dentro de una empresa suele expandirse por razones prácticas. A veces, un contratista necesita acceder a un drive compartido, o una agencia necesita acceder a análisis o a cuentas publicitarias. En el momento, otorgar acceso parece la forma más rápida de mantener el trabajo en marcha, especialmente para una pequeña empresa que no cuenta con muchas personas ni recursos.
El riesgo solo aparece más tarde, cuando esos permisos no se limitan, revisan o borran. Un proveedor puede conservar el acceso después de que finalice un proyecto, un inicio de sesión compartido puede seguir circulando o una integración puede permanecer conectada mucho tiempo después de que haya pasado la necesidad original.
Ejemplos del mundo real de ataques a la cadena de suministro
Los datos de vulneraciones recientes muestran que el riesgo de terceros no es teórico. Durante la investigación para nuestro Observatorio de Vulneraciones de Datos, descubrimos varios incidentes vinculados a la exposición de terceros o de la cadena de suministro, lo que muestra cómo los datos de clientes, empleados o empresas pueden aparecer en conjuntos de datos de vulneraciones, incluso cuando la organización afectada no haya sido necesariamente el punto de compromiso original.
Amtrak
En abril de 2026, el Observatorio de Vulneraciones de Datos detectó un incidente de terceros asociado con Amtrak, con más de 7.4 millones de registros expuestos. Los datos comprometidos incluían nombres, direcciones físicas, códigos postales, números de teléfono, direcciones de correo electrónico y nombres de usuario.
Para las empresas, este es un ejemplo claro de cómo un incidente de terceros puede exponer datos de identidad y de contacto a gran escala, lo que crea riesgos derivados de suplantación, personificación y ataques basados en credenciales.
Canada Goose
La empresa de ropa Canada Goose se vio afectada por un incidente de terceros en febrero de 2026, con más de 921,000 registros expuestos. Los datos comprometidos incluían nombres, direcciones físicas, números de teléfono y direcciones de correo electrónico.
Incluso sin contraseñas, este tipo de conjunto de datos puede aumentar el riesgo empresarial, ya que los atacantes pueden utilizar la información de contacto para hacer que las estafas, los intentos de suplantación y la ingeniería social sean más creíbles.
Cómo evaluar su riesgo de terceros
No necesita un gran equipo de riesgo ni muchos recursos para comenzar a evaluar el riesgo de su empresa. Comience con un inventario simple y concéntrese en los proveedores más importantes.
1. Mapee sus proveedores y su acceso
Haga una lista de los proveedores, servicios SaaS, contratistas y socios que tengan acceso a sus sistemas o datos. Para cada uno, anote:
- A qué datos pueden acceder.
- Qué cuentas o integraciones utilizan.
- Si tienen permisos de administrador.
- Si el acceso es individual o compartido.
- Si se requiere autenticación de múltiples factores.
- Quién es el responsable interno de la relación.
- Cuándo se revisó el acceso por última vez.
Este inventario es mucho más fácil de mantener cuando el acceso de los proveedores se gestiona a través de un sistema controlado con responsabilidades claras, visibilidad de administrador y acceso revocable.
2. Clasifique a los proveedores según el riesgo
No todos los proveedores necesitan una revisión detallada. Un proveedor de nómina, una plataforma de almacenamiento en la nube, un proveedor de TI, un CRM o un proveedor de servicios gestionados merecen más escrutinio que un servicio de bajo riesgo que no maneja datos confidenciales.
Priorice los proveedores que manejan datos de clientes, credenciales, pagos, información de empleados, sistemas de producción o acceso de administrador.
3. Haga preguntas de seguridad antes de otorgar acceso
Antes de otorgar acceso, es útil detenerse a evaluar si el tercero es realmente necesario, a qué sistemas o datos necesita acceder y si ese nivel de acceso está justificado. En esta etapa, muchas organizaciones descubren que dependen de más proveedores, integraciones y cuentas externas de las que suponían.
Una revisión sencilla de proveedores aún puede ser útil. Pregunte:
- ¿Qué pasa con nuestros datos si nos vamos?
- ¿Admiten 2FA?
- ¿Cómo protegen los datos de los clientes?
- ¿Ofrecen controles de acceso basados en roles?
- ¿Permiten registros de auditoría o informes de actividad?
- ¿Cuentan con certificaciones de seguridad relevantes o siguen estándares de seguridad reconocidos?
- ¿Cómo notifican a los clientes sobre los incidentes?
- ¿Cómo gestionan el acceso de los empleados internamente?
- ¿Admiten el acceso con privilegios mínimos?
Qué puede hacer su empresa para reducir la exposición
Reducir el riesgo de la cadena de suministro comienza con el control. En la práctica, esto significa que su empresa necesita reglas claras sobre cómo se evalúa a los proveedores, a qué pueden acceder, cómo se monitorea su actividad y qué sucede si un tercero se ve comprometido.
Evalúe las prácticas de seguridad de los terceros
Antes de dar a un proveedor acceso a los sistemas de la empresa o a datos confidenciales, verifique si sus prácticas de seguridad coinciden con el riesgo. Un proveedor que maneja registros de clientes, datos financieros o acceso de administrador debería cumplir con un estándar más alto que una aplicación de productividad básica.
Busque soporte para 2FA, permisos basados en roles, registros de auditoría, compromisos de notificación de incidentes, controles de conservación de datos y procesos de salida claros.
Aplique el principio de privilegios mínimos al acceso de terceros
El principio de privilegios mínimos reduce el radio de impacto si la cuenta de un proveedor se ve comprometida. Esto significa evitar otorgar permisos de administrador cuando el acceso de solo lectura es suficiente, o carpetas compartidas amplias cuando una carpeta específica basta.
Utilice principios de confianza cero para los proveedores
La confianza cero no significa desconfiar de todos los proveedores. Significa no asumir que una relación de confianza deba generar un acceso ilimitado.
Para el acceso de proveedores, esto significa verificar la identidad, limitar los permisos, revisar el acceso periódicamente, requerir 2FA, monitorear la actividad y tratar cada conexión como algo que requiere gobernanza.
Monitoree patrones de acceso inusuales
Se debe monitorear el comportamiento de las cuentas conectadas a proveedores que no se ajuste al uso normal. Preste atención a ubicaciones de inicio de sesión inusuales, descargas inesperadas, nuevos usuarios administradores, cambios de permisos, actividad fuera del horario de atención, nuevas integraciones o acceso a datos fuera del rol del proveedor.
Estas señales no siempre prueban que haya un compromiso, pero pueden ayudar a su equipo a responder antes de que un pequeño problema se convierta en una vulneración mayor.
Prepárese para el compromiso de terceros
Su plan de respuesta a incidentes debe incluir incidentes de proveedores. Si un proveedor informa sobre una vulneración, su empresa debe saber qué hacer a continuación. Hemos escrito sobre la protección contra vulneraciones de datos para empresas, lo que puede ayudarle a estructurar la respuesta de su empresa ante el compromiso de terceros.
Defina quién se pone en contacto con el proveedor, quién revisa el acceso, quién comprueba los registros, quién decide si se deben rotar las credenciales y quién se comunica con los clientes o reguladores si es necesario.
Use credenciales únicas para cada proveedor y herramienta de terceros
Las credenciales únicas son una de las formas más sencillas de reducir el radio de impacto en la cadena de suministro. Si el portal de un proveedor se ve vulnerado y un empleado reutilizó esa contraseña en otro lugar, los atacantes podrían intentar usar la misma credencial en el correo electrónico, plataformas SaaS, herramientas financieras o sistemas de administración.
Una contraseña única por proveedor evita esa reutilización directa. También hace que la respuesta a incidentes sea más clara. Cuando un proveedor se ve comprometido, usted sabe qué credenciales necesitan atención en lugar de preguntarse dónde se podría haber utilizado la misma contraseña.
Proton Pass es un gestor de contraseñas para empresas que puede ayudar a su equipo a generar contraseñas sólidas y únicas para cada proveedor y servicio de terceros, almacenarlas en bóvedas cifradas, usar el completado automático y compartir el acceso de forma segura. Esto facilita el mantenimiento de la higiene de las credenciales en los numerosos servicios externos en los que confían las empresas modernas.
La conexión de las credenciales en los ataques a la cadena de suministro
Los ataques a la cadena de suministro suelen comenzar con los proveedores, pero las credenciales determinan hasta dónde puede extenderse el impacto.
Si la cuenta de un contratista se ve comprometida pero tiene acceso limitado, el daño puede contenerse. Si esa misma cuenta tiene permisos amplios, credenciales compartidas, contraseñas reutilizadas o acceso a sistemas confidenciales, el atacante tiene más margen de maniobra.
Por eso, la gestión de contraseñas y accesos forma parte de la gestión de riesgos de la cadena de suministro. Para cada proveedor o herramienta de terceros, su empresa debe saber:
- Qué credenciales existen.
- Quién tiene acceso a ellas.
- Si la contraseña es única.
- Si el MFA está activado.
- Si aún se necesita el acceso.
- Si la cuenta es compartida o individual.
- Quién es el propietario interno de la cuenta.
Un gestor de contraseñas para empresas como Proton Pass ayuda a que sea más fácil responder a esas preguntas. En lugar de que las credenciales residan en hojas de cálculo, perfiles de navegador, mensajes de chat o notas personales, las contraseñas de los proveedores pueden almacenarse en un sistema controlado con un uso compartido seguro y una propiedad más clara.
Eso no elimina la necesidad de evaluar a los proveedores o supervisar la actividad. Refuerza uno de los controles de mayor impacto: asegurarse de que la vulneración de un tercero no se convierta en un problema de reutilización de contraseñas en su propia empresa.
Integre la seguridad de terceros en las operaciones diarias
Un ataque a la cadena de suministro convierte la confianza en la ruta de entrada. Un proveedor, una actualización de software, una cuenta de SaaS, un contratista o una integración que normalmente da soporte a la empresa pueden convertirse en la ruta que utilicen los atacantes para acceder a los datos o sistemas.
Las pequeñas empresas no pueden evitar a los terceros, y tampoco es necesario que lo hagan. Las herramientas de SaaS, los proveedores de TI, los contratistas y los proveedores son parte de la forma en que funcionan las empresas modernas. El objetivo es gestionar esas relaciones con el control suficiente para que un solo compromiso no se convierta en una vulneración más amplia.
Comience con lo básico: mapee a sus proveedores, evalúe el acceso, haga preguntas de seguridad, aplique el principio de mínimo privilegio, use principios de zero trust, supervise la actividad inusual y planifique para el caso de un compromiso de terceros. Luego, reduzca el riesgo de las credenciales al asignarle a cada proveedor y servicio de terceros su propia contraseña única.
Proton Pass ayuda a las empresas a poner ese control en práctica todos los días. Cuando cada inicio de sesión de un proveedor tiene su propia credencial única, el acceso compartido permanece dentro de bóvedas cifradas y los equipos pueden revocar el acceso en el momento en que finaliza una relación, es mucho menos probable que una sola contraseña vulnerada desencadene una reacción en cadena en las cuentas de su empresa.






