- El 33% de las empresas españolas reparte los costes de ciberseguridad con sus proveedores.
- Más del 66% de las organizaciones a nivel mundial invertiría en proteger a sus contratistas y socios.
- El 25% de las compañías ya destina presupuesto específico a reforzar la seguridad de terceros.
- Kaspersky recomienda evaluar a fondo a los proveedores y adoptar medidas tecnológicas preventivas.
Una de cada tres empresas españolas ha decidido repartir la factura de la ciberseguridad con sus proveedores. Este movimiento, que afecta ya al 33% del tejido empresarial nacional, refleja hasta qué punto la protección frente a ataques digitales se ha convertido en un esfuerzo compartido a lo largo de toda la cadena de suministro.
El dato procede del informe de Kaspersky “Supply chain reaction: securing the global digital ecosystem in an age of interdependence”, que pone el foco en la creciente interdependencia entre empresas y contratistas y socios tecnológicos. Las organizaciones empiezan a asumir que un fallo en la seguridad de un proveedor puede impactar de lleno en su propio negocio, por lo que optan por invertir de manera conjunta en mecanismos de defensa.
Las empresas españolas comparten el coste de protegerse
Según el estudio, el 33% de las compañías en España ya comparte los costes de ciberseguridad con su red de proveedores. Esto incluye tanto servicios especializados de protección como soluciones tecnológicas desplegadas de manera coordinada en los sistemas de las distintas partes implicadas.
Este modelo responde a un contexto en el que el número de incidentes dirigidos a la cadena de suministro no deja de crecer. Los atacantes buscan el eslabón más débil, que muchas veces no es la gran empresa, sino un proveedor con menos recursos o controles menos estrictos, pero con acceso privilegiado a sistemas críticos.
De esta forma, compartir la inversión no es solo una cuestión económica, sino también estratégica: reforzar los puntos vulnerables del ecosistema digital común para minimizar la probabilidad de sufrir una intrusión que se propague a varias organizaciones a la vez.
Además, esta colaboración suele ir acompañada de acuerdos más detallados sobre requisitos de seguridad, auditorías y mecanismos de supervisión. Las empresas clientes empiezan a exigir estándares más altos a sus proveedores y, al mismo tiempo, están dispuestas a apoyar económicamente la puesta en marcha de esas mejoras.
Tendencia global: invertir en la seguridad de contratistas y socios
A escala internacional, el informe de Kaspersky apunta a una tendencia clara: más del 66% de las organizaciones en todo el mundo estaría dispuesta a destinar presupuesto a reforzar la seguridad de sus contratistas y socios. Es decir, la mayoría de las empresas ve con buenos ojos invertir más allá de sus propios límites internos.
De hecho, un 25% de las compañías ya ha dado el paso y está realizando inversiones concretas en la protección de terceros con los que trabaja. Estas partidas pueden materializarse en licencias de software de seguridad, proyectos de monitorización conjunta de amenazas o planes de respuesta coordinada ante incidentes.
El estudio subraya que esta disposición a invertir en la seguridad de la cadena de suministro no se limita a un sector o región concreta, sino que se extiende a múltiples mercados. Sin embargo, se observan diferencias relevantes en cuanto al grado de compromiso y la rapidez con la que se adoptan estas estrategias.
Una parte significativa de las organizaciones reconoce que, sin una base mínima de seguridad en sus proveedores, es muy difícil garantizar la continuidad del negocio y la protección de los datos. La ciberseguridad deja de verse como un asunto aislado y pasa a formar parte de las relaciones comerciales y contractuales.
La resiliencia frente a ataques a la cadena de suministro
En un escenario que Kaspersky describe como marcado por el “aumento de los ataques a la cadena de suministro”, muchas empresas están revisando desde cero su estrategia de protección digital. La idea ya no es solo bloquear intentos directos contra la organización, sino prever cómo podría entrar un atacante a través de terceros.
El informe señala que el 69% de las organizaciones está considerando invertir de forma específica en mejorar la seguridad de sus proveedores con el objetivo de reforzar su propia resiliencia frente a incidentes. Es decir, casi siete de cada diez empresas se plantean destinar parte de su presupuesto de ciberseguridad a fortalecer a otros actores con los que se relacionan.
Esta predisposición se dispara en algunos mercados, con porcentajes especialmente elevados en India (83%), Indonesia (80%), Rusia (80%) y Brasil (76%). En estos países, la conciencia sobre la importancia de proteger la cadena de suministro es particularmente alta, lo que se traduce en una mayor voluntad de colaboración económica y técnica.
Kaspersky destaca que, en muchos casos, las empresas han aprendido esta lección a raíz de ataques sonados en los que una brecha en un proveedor de software o servicios ha desencadenado un efecto dominó sobre múltiples organizaciones de todo el mundo.
Como consecuencia, cada vez más compañías incorporan a sus estrategias de ciberseguridad planes de continuidad de negocio y gestión de crisis que incluyen a sus socios y contratistas, de forma que puedan responder de manera coordinada cuando se detecta una amenaza o se produce un incidente.
La seguridad como responsabilidad compartida en todo el ecosistema
Sergey Soldatov, responsable del Centro de Operaciones de Seguridad en Kaspersky, resume el cambio de mentalidad con una idea clave: la seguridad ya no puede limitarse a los límites formales de la organización. Según explica, debe extenderse a todo el ecosistema de socios, clientes y proveedores con los que se intercambian datos, acceso y servicios.
Esta visión implica que la ciberseguridad deja de ser un asunto puramente interno y pasa a convertirse en una . Las empresas no solo miran hacia dentro, sino que analizan de forma sistemática qué impacto puede tener un incidente en cada uno de los eslabones que intervienen en sus operaciones.
En la práctica, esto se traduce en que los acuerdos comerciales incluyen cada vez más cláusulas específicas sobre requisitos de seguridad, auditorías periódicas, notificación de incidentes y niveles de servicio vinculados a la protección de la información.
Del mismo modo, se fomenta la colaboración técnica: intercambio de información sobre amenazas, simulacros conjuntos y coordinación en la respuesta a incidentes. De este modo, se busca que toda la red de socios actúe como un bloque más robusto frente a intentos de intrusión o movimientos laterales dentro de los sistemas.
Esta forma de entender la ciberseguridad refuerza el mensaje de que un ecosistema es tan seguro como su componente más vulnerable, lo que anima a las organizaciones a invertir no solo en sus propias defensas, sino también en las de aquellos con quienes trabajan a diario.
Recomendaciones para reducir el riesgo en la cadena de suministro
Kaspersky propone una serie de pautas para ayudar a las empresas a contener las amenazas que pueden llegar a través de terceros. La primera de ellas pasa por adoptar medidas organizativas que vayan más allá de la mera instalación de herramientas tecnológicas.
Entre estas medidas, la firma de seguridad sugiere realizar una evaluación exhaustiva y basada en evidencias de los proveedores de software y servicios antes de integrarlos en los sistemas corporativos. No se trata solo de revisar referencias, sino de analizar procesos, certificaciones, historial de incidentes y mecanismos de respuesta.
También se recomienda someter a los proveedores a un análisis detallado previo a la firma de acuerdos, con el fin de identificar posibles vulnerabilidades y determinar qué requisitos específicos deberán cumplir en materia de seguridad.
Otra de las claves es trabajar estrechamente con los proveedores, de manera que se establezcan canales fluidos de comunicación y se puedan coordinar de forma rápida ante cualquier indicio de amenaza. Para ello, resulta útil definir roles y responsabilidades claras en caso de incidente.
Por último, los especialistas insisten en la importancia de desplegar soluciones tecnológicas preventivas que permitan detectar comportamientos anómalos, verificar la integridad de las actualizaciones de software y limitar el impacto de un posible ataque que se origine en un tercero.
Todo este enfoque, que combina inversión compartida, controles organizativos y herramientas avanzadas, muestra cómo las empresas españolas y de otros países están repensando la ciberseguridad como un esfuerzo colectivo que abarca a toda la cadena de suministro, con el objetivo de reducir al máximo los riesgos que puedan proceder de sus proveedores y socios.
