Ataques a la cadena de suministro

Conoce los tipos de ataque ejecutados a proveedores y protege tu empresa.

24/11/2025

Los ataques a la cadena de suministro se han convertido en una de las amenazas de ciberseguridad más críticas y complejas para las empresas modernas. 

Estos ataques no van dirigidos directamente a la organización, sino a sus proveedores y socios externos, ya que estos cuentan con menos medidas de protección en muchos casos. Los ciberdelincuentes explotan sus vulnerabilidades y brechas de seguridad para obtener un acceso no autorizado al sistema o red de la empresa objetivo.

El impacto de estos ataques puede tener un gran alcance, y su detección y mitigación son inherentemente complejas, ya que la vulneración de un único proveedor puede propagarse rápidamente a cientos o miles de empresas que dependen de ese servicio o producto, creando un efecto dominó.

Los ataques a la cadena de suministro continuarán siendo una de las amenazas más relevantes, impulsada por la hiperconectividad, la dependencia de terceros y la complejidad de la sociedad digital. Kaspersky advirtió en su Boletín de Seguridad 2024 que estos riesgos podrían intensificarse por factores geopolíticos, ciberriesgos e interrupciones tecnológicas. CCN-CERT también indicó en el informe Ciberamenazas y Tendencias 2024 que los ataques a la cadena de suministro mediante la inserción de código dañino en software legítimo continuarán aumentando.

Categorías de ataque: vectores de entrada

  1. Software. Los ataques se centran en comprometer una aplicación o software para que envíe malware a través de la cadena. Van dirigidos al código fuente de la aplicación (los ciberdelincuentes usan certificados robados para firmarlo) y utilizan como punto de entrada las actualizaciones de dicho software.
  2. Hardware. El ciberdelincuente instala un componente malicioso en el dispositivo físico o realiza una modificación no autorizada en él antes de que llegue a los usuarios. 
  3. Ingeniería social. El ciberdelincuente envía correos electrónicos fraudulentos (phishing) a los proveedores para robar credenciales de cuentas con altos privilegios y lograr acceder así a sus sistemas críticos. 

Buenas prácticas de seguridad para proteger tu empresa

  • Activa la verificación en dos pasos (MFA) en todos los accesos, y asegúrate de que los registros de actividad puedan ser revisados por tu empresa.
  • Lleva un registro claro del software que se usa (SBOM), indicando qué versión está instalada y desde dónde se ha obtenido para poder comprobar su origen.
  • Define un proceso de aviso y corrección de fallos con tiempos de respuesta acordados, y guarda pruebas de que las copias de seguridad se pueden restaurar correctamente.
  • Limita el acceso a los recursos aplicando el principio de mínimo privilegio: concede los permisos estrictamente necesarios para cada tarea.
  • Ten un plan de respuesta a incidentes coordinado con el proveedor y un contacto disponible las 24 horas.
  • Establece un proceso formal de evaluación de riesgos de terceros antes de firmar cualquier contrato. Dicho proceso debe incluir la revisión de sus certificaciones de seguridad y políticas de respuesta a incidentes.
  • Evalúa y monitoriza la red de los proveedores externos que tienen acceso a tus sistemas.
  • Asegúrate de que todo el software de terceros, especialmente las actualizaciones, está firmado digitalmente por el proveedor legítimo y verifica la validez de esa firma antes de la instalación.
  • Instala el software de alto riesgo en entornos de pruebas aislados (sandboxes) o segmentos de red separados para monitorizar su comportamiento antes de implementarlo ampliamente.
  • Mantén tus sistemas de desarrollo, firewalls y proxies de red actualizados para minimizar las vulnerabilidades que un atacante pueda explotar. 

No bajes la guardia en tu relación con terceros: son una extensión más de la empresa y una posible vía de ataque. Todos operáis en el medio digital y formáis parte de él. Permanece alerta y establece controles teniendo siempre en cuenta que la ciberseguridad es una responsabilidad compartida.

La información de este artículo tiene carácter divulgativo y no constituye asesoramiento de ningún tipo.

Contacta con BBVA en el 91 224 98 02 si sufres un incidente de seguridad relacionado con tus cuentas o tarjetas.