2X21 CIBERSEGOVIA: "Una empresa puede caer perfectamente por culpa de un proveedor"

Las empresas se han centrado tradicionalmente en protegerse de amenazas externas como hackers, virus o correos falsos, pero un riesgo creciente y a menudo subestimado amenaza su continuidad: sus propios proveedores. Así lo ha explicado Abel Gómez, experto en ciberseguridad, quien advierte que la dependencia de terceros se ha convertido en una de las brechas de seguridad más serias. "Perfectamente puede caer [una empresa por culpa de un proveedor]", ha afirmado Gómez, subrayando que ninguna empresa está protegida al 100 % en la actualidad.

El riesgo de la cadena de suministro

El problema, conocido en el sector como el riesgo de la cadena del proveedor, surge cuando los ciberdelincuentes atacan a una empresa a través de los socios tecnológicos que le prestan servicio. "Si ciberatacan a ese proveedor, también te ciberatacan a ti", ha señalado el experto. Esto es habitual con proveedores informáticos que gestionan el software de gestión (ERP), el correo electrónico o el almacenamiento en la nube, ya que a menudo tienen acceso remoto a los sistemas de todos sus clientes.

Las consecuencias de un ataque de este tipo son devastadoras. Un ejemplo común es el fraude del CEO, donde los delincuentes suplantan el correo de un proveedor para desviar pagos a una nueva cuenta bancaria. En otros casos, si roban las credenciales de un proveedor tecnológico, "el ciberdelincuente, a través de ese proveedor, accede a todo tu sistema", ha advertido Gómez. Esto puede derivar en la exfiltración de todos los datos de la compañía, provocando un daño no solo técnico, sino también operativo, económico y reputacional.

Errores comunes y la falsa sensación de seguridad

Uno de los errores más graves que cometen las empresas es, según Gómez, "confiar sin revisar". El experto relata cómo él mismo ha conseguido acceso a sistemas de clientes con una simple llamada, sin ser reconocido. Muchas organizaciones "confunden dos conceptos: el proveedor conocido y el proveedor seguro", lo que las lleva a no verificar las credenciales ni los protocolos de seguridad de sus socios.

Confiar sin revisar"

Esta falta de diligencia es especialmente peligrosa en las pymes, que a menudo creen que su tamaño las hace inmunes a los ciberataques. Sin embargo, Gómez es tajante al respecto: "El tamaño no importa". Los ciberdelincuentes "actúan como grandes empresas" y buscan cualquier brecha, sin importar si la estafa es de una cantidad grande o pequeña. "Aunque seas una pequeña empresa o un autónomo, todas estas cosas hay que revisarlas", ha insistido.

El tamaño no importa"

Medidas prácticas para proteger el negocio

Para mitigar estos riesgos, Gómez recomienda una serie de medidas prácticas. La primera es elaborar una lista corta de proveedores críticos (gestión, correo, soporte informático) y eliminar los que no sean necesarios. También es fundamental limitar los accesos que tienen. "Evita dar acceso permanente siempre a esos proveedores", ha aconsejado, sugiriendo establecer un protocolo de verificación para cada conexión remota.

Además, el experto subraya la importancia de revisar los contratos, tener un plan B o 'Disaster Recovery Plan' (DRP) y, sobre todo, formar a los empleados. La formación es crucial, ya que, como recuerda Gómez, "el eslabón más débil de la cadena de ciberseguridad en una empresa es el usuario, y tiene que estar siempre, siempre formado".

Finalmente, el experto ha instado a los empresarios a hacerse dos preguntas clave para evaluar su postura frente a este riesgo creciente. La primera es si su empresa está realmente protegida, y la segunda, y más importante: "¿Qué pasa si cae uno de los que sostiene mi negocio?".