El Problema de los Proveedores como Vector de Ataque
La seguridad de su empresa es tan fuerte como el eslabón más débil de su cadena de suministro tecnológica. Si su proveedor de software de gestión, de soporte remoto, de backup, de contabilidad o de cualquier otro servicio crítico tiene una vulnerabilidad, esa vulnerabilidad es potencialmente su vulnerabilidad.
Los atacantes lo saben. En lugar de atacar directamente a una empresa bien protegida, atacan a su proveedor de servicios de TI — que tiene acceso a decenas o cientos de clientes. El retorno de inversión del ataque se multiplica exponencialmente.
El ataque a Kaseya VSA en 2021 afectó a más de 1.500 empresas a través de un único proveedor de software de gestión de IT. Las víctimas no tenían vulnerabilidades propias — la brecha estaba en el proveedor que tenían instalado.
Casos Conocidos en Chile y el Mundo
SolarWinds (2020) demostró que incluso agencias del gobierno de EE.UU. pueden ser comprometidas a través de una actualización de software de un proveedor. MOVEit (2023) afectó a miles de organizaciones globales que usaban un servicio de transferencia de archivos. En Chile, múltiples incidentes han involucrado el compromiso de proveedores de TI que daban acceso a sus clientes empresariales.
La ANCI, en el proceso de calificación de OIV, considera la dependencia de proveedores como un factor de riesgo crítico. Las organizaciones que dependen de un único proveedor sin alternativas tienen mayor exposición.
Cómo Evaluar la Seguridad de sus Proveedores
Cuestionario de seguridad
Para proveedores críticos, solicite un cuestionario de seguridad que cubra: políticas de acceso a datos del cliente, controles de autenticación para el acceso a sistemas de clientes, procedimiento de notificación de incidentes, certificaciones de seguridad (ISO 27001, SOC 2), y historial de incidentes conocidos.
Verificar certificaciones
Certificaciones como ISO 27001 o SOC 2 Type II son evidencia de que el proveedor ha sido auditado por terceros independientes y cumple estándares mínimos de seguridad. No son garantía absoluta, pero sí reducen significativamente el riesgo.
Cláusulas contractuales de seguridad
Los contratos con proveedores tecnológicos que acceden a sus datos o sistemas deben incluir cláusulas de obligación de notificación de incidentes (plazo máximo de 24 horas), estándares mínimos de seguridad que deben cumplir, derecho de auditoría, y responsabilidades en caso de brecha por negligencia del proveedor.
Controles Mínimos que Debe Exigir a sus Proveedores
Todo proveedor que acceda a sus sistemas o datos debe tener: MFA en todos los accesos a sistemas del cliente, acceso de mínimo privilegio (solo a los sistemas que necesitan para su función), registro de todas las acciones realizadas en sistemas del cliente, política de contraseñas robusta, y plan de respuesta a incidentes documentado.
DaiBackup es un proveedor que cumple con estándares enterprise de seguridad en el acceso a datos de clientes. Nuestros técnicos acceden a los sistemas de clientes únicamente con acceso controlado, con MFA y registro completo de actividad.
Conclusión
La seguridad de la cadena de suministro es uno de los vectores de ataque que más ha crecido en los últimos años. Ninguna empresa puede ignorar los riesgos que vienen de sus proveedores. Evaluar la seguridad de los proveedores críticos no es una actividad de una vez — es un proceso continuo de gestión de riesgo.