Un ataque a la cadena de suministro ocurre cuando los delincuentes comprometen a un tercero de confianza para llegar al objetivo real. Ese tercero podría ser un proveedor de software, un proveedor de TI, una plataforma SaaS o un socio comercial con acceso a sistemas o datos.
Para las pequeñas y medianas empresas, es fácil subestimar este riesgo. Puede que no gestiones una infraestructura compleja ni tengas un gran equipo de TI, pero tu empresa probablemente dependa de muchos servicios externos: correo electrónico empresarial, nóminas, contabilidad, almacenamiento en la nube, atención al cliente, CRM y sistemas de pago. Cada proveedor conectado crea una ruta potencial hacia tu entorno.
Te explicaremos qué es un ataque a la cadena de suministro, cómo ocurren estos ataques, por qué las pymes están expuestas y cómo evaluar y reducir el riesgo de la cadena de suministro de terceras partes.
¿Qué es un ataque a la cadena de suministro?
Cómo ocurren los ataques a la cadena de suministro
Por qué las pymes son más valiosas
Ejemplos reales de ataques a la cadena de suministro
Cómo evaluar tu riesgo de terceras partes
Qué puede hacer tu empresa para reducir la exposición
La conexión de las credenciales en los ataques a la cadena de suministro
Incorporar la seguridad de terceras partes en las operaciones diarias
¿Qué es un ataque a la cadena de suministro?
Un ataque a la cadena de suministro es un ciberataque que llega a una organización a través de una relación externa de confianza. En lugar de atacar a tu empresa directamente, los delincuentes comprometen a un proveedor, una actualización de software, un proveedor de servicios, una integración o una cuenta de terceras partes, y utilizan ese acceso para llegar a tus clientes finales.
Una debilidad fuera de tu organización aún puede afectar a tus sistemas, datos u operaciones si el proveedor está conectado a ellos. En la práctica, un ciberataque a la cadena de suministro puede implicar:
- Un proveedor de software con un mecanismo de actualización comprometido.
- Una plataforma SaaS a través de la cual los atacantes acceden a los datos de los clientes.
- Un proveedor de TI cuyas credenciales de administrador han sido robadas.
- Una cuenta de contratista que aún tiene acceso después de que finaliza un proyecto.
- Una integración de terceras partes con más permisos de los que necesita.
- Una cuenta de empleado de un proveedor utilizada para acceder a los sistemas del cliente.
Los ataques a la cadena de suministro se basan en la confianza y se aprovechan de ella. Tu empresa permite la conexión porque el proveedor tenía un rol legítimo, y luego los atacantes abusan de esa confianza para acercarse a tus datos, cuentas o sistemas.
Cómo ocurren los ataques a la cadena de suministro
Los ataques a la cadena de suministro suelen comenzar con una conexión de confianza. Un atacante no necesita entrar directamente en tu empresa si un proveedor, desarrollador de software, contratista o integración ya tiene acceso a algo valioso.
La ruta puede variar, pero el patrón suele ser similar:
- Comprometer al tercero
- Utilizar esa relación de confianza para llegar a los clientes o a los sistemas conectados
- Expandir el acceso a la red de tu empresa
A través de cuentas de proveedores comprometidas
Los atacantes pueden robar o adivinar las credenciales de un proveedor, contratista, agencia o proveedor de servicios gestionados. Si ese tercero tiene acceso a tus sistemas, el atacante puede utilizar una cuenta legítima para entrar a través de una ruta de confianza.
Esto es especialmente arriesgado cuando las cuentas de los proveedores tienen permisos amplios, contraseñas débiles, no tienen autenticación de doble factor o cuentan con un acceso que nunca se eliminó después de que finalizara un proyecto. Por eso, el acceso de terceras partes debe revisarse periódicamente y revocarse de inmediato a través de un proceso de administrador de confianza controlado cuando ya no sea necesario.
A través de actualizaciones de software y aplicaciones
Un ataque a la cadena de suministro de software puede ocurrir cuando los atacantes comprometen la forma en que se crea, distribuye o actualiza una aplicación. Tu empresa podría entonces instalar o actualizar el software de un proveedor de confianza, sin darse cuenta de que la actualización ha sido manipulada.
Este tipo de ataque es difícil de detectar porque la actividad parece provenir de un proveedor de software conocido, no de una fuente desconocida.
A través de integraciones de terceras partes
Muchas herramientas de software como servicio (SaaS) se conectan entre sí a través de integraciones, complementos, API y permisos. Estas conexiones ayudan a los equipos a trabajar más rápido, pero también pueden crear rutas de acceso ocultas.
Si una integración está comprometida o tiene más permisos de los que necesita, los atacantes podrían llegar a datos, cuentas o flujos de trabajo más allá de la herramienta original.
A través de credenciales compartidas y un acceso no gestionado
El riesgo de la cadena de suministro también aumenta cuando el acceso de los proveedores depende de inicios de sesión compartidos, contraseñas almacenadas en documentos o credenciales enviadas por chat y correo electrónico. Si una de esas credenciales se expone, es posible que tu empresa no sepa quién la usó, dónde se compartió o a cuántos sistemas aún puede acceder.
El control de acceso es tu mecanismo más fuerte para proteger la seguridad de tu cadena de suministro. Cuanto más controlada esté la conexión de cada proveedor, más fácil será limitar los daños si algo sale mal.
Por qué las pymes son más vulnerables
Las pymes suelen asumir que los ataques a la cadena de suministro son un problema de las grandes empresas. En realidad, puede ser más fácil llegar a las empresas más pequeñas a través de terceras partes porque el acceso de los proveedores suele ser menos formal, estar menos supervisado y revisarse con menos frecuencia.
Cada servicio SaaS añade una dependencia
La mayoría de las pequeñas empresas dependen ahora de los servicios SaaS para su trabajo diario. Pueden ayudar a las empresas a avanzar con rapidez y flexibilidad, pero también amplían la cantidad de sistemas que pueden albergar datos comerciales o conectarse a cuentas comerciales.
Una pequeña agencia, consultoría, bufete de abogados o startup puede utilizar decenas de servicios externos sin llamarlo cadena de suministro. Pero, desde el punto de vista de la seguridad, esos servicios forman parte de la cadena.
Los equipos más pequeños pueden carecer de procesos de revisión de proveedores
Las grandes organizaciones suelen tener procesos de adquisición, cuestionarios de riesgo de proveedores, revisiones de seguridad y procesos legales. Las pymes pueden depender en cambio de la confianza informal y de la rapidez.
Desde principios de 2025, el Observatorio de Vulneraciones de Datos de Proton ha identificado 512 vulneraciones que exponen más de 902 millones de registros. Ese tipo de visibilidad es importante porque muchas vulneraciones no se quedan aisladas en una sola empresa una vez que se exponen las credenciales, los detalles de contacto o los datos comerciales.
Eso no significa que las pequeñas empresas necesiten una burocracia empresarial. Significa que necesitan una forma práctica de hacer preguntas básicas antes de conceder acceso y de revisar el acceso después de que cambie el trabajo.
El acceso de los proveedores suele ser más amplio de lo necesario
El acceso de los proveedores dentro de una empresa suele ampliarse por razones prácticas. A veces, un contratista necesita acceso a un Drive compartido, o una agencia necesita acceso a las analíticas o a la cuenta de anuncios. En el momento, conceder el acceso parece la forma más rápida de mantener el trabajo en marcha, especialmente para una pequeña empresa que no dispone de muchas personas o recursos.
El riesgo solo aparece más tarde, cuando esos permisos no se limitan, revisan o eliminan. Un proveedor puede conservar el acceso una vez finalizado un proyecto, un inicio de sesión compartido puede seguir circulando o una integración puede permanecer conectada mucho después de que haya pasado la necesidad original.
Ejemplos reales de ataques a la cadena de suministro
Los datos recientes sobre vulneraciones demuestran que el riesgo de terceras partes no es teórico. Durante la investigación para nuestro Observatorio de vulneraciones de datos, descubrimos varios incidentes relacionados con la exposición de terceras partes o de la cadena de suministro, lo que demuestra cómo los datos de clientes, empleados o empresas pueden aparecer en conjuntos de datos de vulneraciones incluso cuando la organización afectada no haya sido necesariamente el punto de compromiso original.
Amtrak
En abril de 2026, el Observatorio de vulneraciones de datos reveló un incidente de terceras partes asociado con Amtrak, con más de 7,4 millones de registros expuestos. Los datos comprometidos incluían nombres, direcciones físicas, códigos postales, números de teléfono, direcciones de correo electrónico y nombres de usuario.
Para las empresas, este es un claro ejemplo de cómo un incidente de terceras partes puede exponer datos de identidad y contacto a gran escala, lo que genera riesgos derivados de phishing, suplantación y ataques basados en credenciales.
Canada Goose
La empresa de ropa Canada Goose se vio afectada por un incidente de terceras partes en febrero de 2026, con más de 921 000 registros expuestos. Los datos comprometidos incluían nombres, direcciones físicas, números de teléfono y direcciones de correo electrónico.
Incluso sin contraseñas, este tipo de conjunto de datos puede aumentar el riesgo empresarial, ya que los atacantes pueden utilizar la información de contacto para hacer que las estafas, los intentos de suplantación de identidad (phishing) y la ingeniería social sean más creíbles.
Cómo evaluar tu riesgo de terceras partes
No necesitas un gran equipo de riesgos ni muchos recursos para empezar a evaluar el riesgo de tu empresa. Empieza con un inventario sencillo y céntrate en los proveedores más importantes.
1. Mapea tus proveedores y su acceso
Haz una lista de los proveedores, servicios SaaS, contratistas y socios que tengan acceso a tus sistemas o datos. Para cada uno, anota:
- A qué datos pueden acceder.
- Qué cuentas o integraciones utilizan.
- Si tienen permisos de administrador.
- Si el acceso es individual o compartido.
- Si se requiere autenticación de múltiples factores.
- Quién es el responsable interno de la relación.
- Cuándo se revisó el acceso por última vez.
Este inventario es mucho más fácil de mantener si el acceso de los proveedores se administra a través de un sistema controlado con responsabilidades claras, visibilidad del administrador y acceso revocable.
2. Clasifica a los proveedores según su riesgo
No todos los proveedores necesitan una revisión detallada. Un proveedor de nóminas, una plataforma de almacenamiento en la nube, un proveedor de TI, un CRM o un proveedor de servicios administrados merecen más atención que un servicio de bajo riesgo que no gestiona datos confidenciales.
Prioriza a los proveedores que gestionan datos de clientes, credenciales, pagos, información de empleados, sistemas de producción o acceso de administrador.
3. Haz preguntas de seguridad antes de conceder acceso
Antes de conceder acceso, conviene pararse a evaluar si esa tercera parte es realmente necesaria, a qué sistemas o datos necesita acceder y si ese nivel de acceso está justificado. En esta fase, muchas organizaciones descubren que dependen de más proveedores, integraciones y cuentas externas de lo que suponían.
Una revisión ligera de los proveedores puede resultar útil. Pregunta:
- ¿Qué pasa con nuestros datos si nos vamos?
- ¿Ofrecéis soporte para 2FA?
- ¿Cómo protegéis los datos de los clientes?
- ¿Ofrecéis controles de acceso basados en roles?
- ¿Permitís registros de auditoría o informes de actividad?
- ¿Contáis con certificaciones de seguridad relevantes o seguís estándares de seguridad reconocidos?
- ¿Cómo notificáis los incidentes a los clientes?
- ¿Cómo administráis el acceso de los empleados a nivel interno?
- ¿Admitís el acceso con privilegios mínimos?
Qué puede hacer tu empresa para reducir la exposición
Reducir el riesgo de la cadena de suministro empieza por el control. En la práctica, esto significa que tu empresa necesita reglas claras sobre cómo se evalúa a los proveedores, a qué pueden acceder, cómo se supervisa su actividad y qué ocurre si una tercera parte se ve comprometida.
Evalúa las prácticas de seguridad de los proveedores de terceras partes
Antes de dar acceso a un proveedor a los sistemas de la empresa o a datos confidenciales, comprueba si sus prácticas de seguridad se corresponden con el riesgo. Un proveedor que gestione registros de clientes, datos financieros o acceso de administrador debe cumplir unos requisitos más exigentes que una aplicación de productividad básica.
Busca soporte para 2FA, permisos basados en roles, registros de auditoría, compromisos de notificación de incidentes, controles de conservación de datos y procesos de salida claros.
Aplica el principio de privilegios mínimos al acceso de terceras partes
El principio de privilegios mínimos reduce el radio de impacto si la cuenta de un proveedor se ve comprometida. Esto significa evitar dar permisos de administrador cuando basta con un acceso de solo lectura, o carpetas compartidas amplias cuando es suficiente con una carpeta específica.
Utiliza principios de confianza cero para los proveedores
La confianza cero no significa desconfiar de todos los proveedores. Significa no dar por sentado que una relación de confianza deba generar un acceso ilimitado.
Para el acceso de los proveedores, esto significa verificar la identidad, limitar los permisos, revisar el acceso periódicamente, exigir 2FA, supervisar la actividad y tratar cada conexión como algo que requiere gobernanza.
Supervisa patrones de acceso inusuales
Se debe supervisar que el comportamiento de las cuentas conectadas a proveedores no se salga del uso habitual. Presta atención a ubicaciones de inicio de sesión inusuales, descargas inesperadas, nuevos usuarios administradores, cambios de permisos, actividad fuera del horario laboral, nuevas integraciones o acceso a datos fuera del rol del proveedor.
Estas señales no siempre prueban que haya un compromiso, pero pueden ayudar a tu equipo a responder antes de que un pequeño problema se convierta en una vulneración más amplia.
Prepárate para el compromiso de terceras partes
Tu plan de respuesta ante incidentes debería incluir los incidentes de los proveedores. Si un proveedor informa de una vulneración, tu empresa necesita saber qué hacer a continuación. Hemos escrito sobre la protección contra vulneraciones de datos para empresas, lo que puede ayudarte a estructurar la respuesta de tu negocio ante el compromiso de terceras partes.
Define quién se pone en contacto con el proveedor, quién revisa el acceso, quién comprueba los registros, quién decide si se deben rotar las credenciales y quién se comunica con los clientes o reguladores si es necesario.
Utiliza credenciales únicas para cada proveedor y herramienta de terceras partes
Las credenciales únicas son una de las formas más sencillas de reducir el radio de impacto en la cadena de suministro. Si el portal de un proveedor sufre una vulneración y un empleado ha reutilizado esa contraseña en otro lugar, los atacantes podrían probar la misma credencial en el correo electrónico, plataformas SaaS, herramientas financieras o sistemas de administración.
Una contraseña única por proveedor evita esa reutilización directa. También hace que la respuesta ante incidentes sea más limpia. Cuando un proveedor se ve comprometido, sabes qué credenciales necesitan atención en lugar de tener que preguntarte dónde se habrá utilizado la misma contraseña.
Proton Pass es un gestor de contraseñas para empresas que puede ayudar a tu equipo a generar contraseñas seguras y únicas para cada proveedor y servicio de terceras partes, almacenarlas en cajas fuertes cifradas, usar el relleno automático y compartir el acceso de forma segura. Esto facilita el mantenimiento de la higiene de las credenciales en los numerosos servicios externos en los que confían las empresas modernas.
La conexión de las credenciales en los ataques a la cadena de suministro
Los ataques a la cadena de suministro suelen empezar con los proveedores, pero las credenciales determinan hasta dónde puede extenderse el impacto.
Si la cuenta de un contratista se ve comprometida pero tiene un acceso limitado, el daño puede contenerse. Si esa misma cuenta tiene permisos amplios, credenciales compartidas, contraseñas reutilizadas o acceso a sistemas sensibles, el atacante tendrá más margen de maniobra.
Por eso la administración de contraseñas y de accesos debe formar parte de la gestión de riesgos de la cadena de suministro. Para cada proveedor o herramienta de terceras partes, tu empresa debería saber:
- Qué credenciales existen.
- Quién tiene acceso a ellas.
- Si la contraseña es única.
- Si el MFA está activado.
- Si el acceso sigue siendo necesario.
- Si la cuenta es compartida o individual.
- Quién es el propietario interno de la cuenta.
Un gestor de contraseñas para empresas como Proton Pass ayuda a que sea más fácil responder a esas preguntas. En lugar de que las credenciales estén en hojas de cálculo, perfiles de navegador, mensajes de chat o notas personales, las contraseñas de los proveedores pueden almacenarse en un sistema controlado con un uso compartido seguro y una propiedad más clara.
Eso no elimina la necesidad de evaluar a los proveedores o supervisar la actividad, sino que refuerza uno de los controles de mayor impacto: asegurarse de que una vulneración de terceras partes no se convierta en un problema de reutilización de contraseñas en tu propia empresa.
Integra la seguridad de terceras partes en las operaciones diarias
Un ataque a la cadena de suministro convierte la confianza en la ruta de entrada. Un proveedor, una actualización de software, una cuenta de SaaS, un contratista o una integración que normalmente sirve de soporte para la empresa pueden convertirse en la vía que utilizan los atacantes para acceder a los datos o sistemas.
Las pequeñas empresas no pueden evitar a las terceras partes, ni tampoco lo necesitan. Las herramientas SaaS, los proveedores de TI, los contratistas y los proveedores forman parte del funcionamiento de las empresas modernas. El objetivo es administrar esas relaciones con el control suficiente para que un solo compromiso no se convierta en una vulneración mayor.
Empieza por lo básico: mapea tus proveedores, evalúa el acceso, haz preguntas de seguridad, aplica el principio de mínimo privilegio, utiliza los principios de zero trust, supervisa la actividad inusual y planifica ante el compromiso de terceras partes. Después, reduce el riesgo de las credenciales dando a cada proveedor y servicio de terceras partes su propia contraseña única.
Proton Pass ayuda a las empresas a poner ese control en práctica a diario. Cuando cada inicio de sesión de un proveedor tiene su propia credencial única, el acceso compartido permanece dentro de cajas fuertes cifradas y los equipos pueden revocar el acceso en el momento en que finaliza una relación, por lo que es mucho menos probable que una sola contraseña vulnerada desencadene una reacción en cadena en tus cuentas de empresa.






