Tendencias de phishing: ¿Son tus proveedores un riesgo de seguridad inesperado?
Para los ciberdelincuentes, los proveedores pueden representar una vía de acceso atractiva a tu organización. Y, por desgracia, no es un caso aislado. Un socio aparentemente fiable puede abrir sin querer la puerta a ataques de phishing, filtraciones de datos o incidentes a gran escala en la cadena de suministro. Con la entrada en vigor de la directiva NIS2, esta cuestión es más urgente que nunca: las organizaciones deben demostrar no solo la seguridad de su propia infraestructura, sino también la de su red de proveedores.
Los proveedores como eslabón débil
Gracias al uso de la inteligencia artificial, las campañas de phishing se han vuelto mucho más sofisticadas y difíciles de detectar. Durante años, los empleados fueron el objetivo principal (y lo siguen siendo), pero hoy en día los ciberdelincuentes también centran su atención en los proveedores. Un solo proveedor comprometido puede dar acceso a datos sensibles, sistemas críticos de TI o incluso a toda la cadena de suministro. Algunos ejemplos habituales de ataques son:
- Business Email Compromise (BEC): el atacante se hace con el control del correo electrónico de un proveedor y envía facturas o solicitudes de pago muy convincentes.
- Phishing de terceros: los atacantes se hacen pasar por un socio de confianza para robar credenciales de acceso o información contractual.
- Ataques a la cadena de suministro: un único eslabón vulnerable puede provocar brechas de seguridad a gran escala en múltiples organizaciones.
El papel de la NIS2
La directiva europea NIS2 establece con claridad la responsabilidad de las organizaciones a la hora de evaluar la seguridad de su cadena de suministro. No se trata solo de cumplir con la normativa, sino de reducir de forma efectiva los riesgos reales que afectan a todo el ecosistema. En la práctica, esto implica:
- Visibilidad: tener claro qué proveedores tienen acceso a tus sistemas y datos. Esto se recoge en el artículo 21(2d), que exige explícitamente que se tengan en cuenta los aspectos de seguridad en las relaciones con proveedores y prestadores de servicios dentro del análisis de riesgos.
- Diligencia debida (Due diligence): demostrar que se evalúan y controlan las medidas de seguridad aplicadas por los proveedores. Según el artículo 21(3), al determinar las medidas adecuadas, las organizaciones deben considerar las vulnerabilidades tanto de su cadena de suministro como de sus proveedores directos.
- Notificación de incidentes: incluso los incidentes que se originan a través de terceros pueden ser objeto de notificación obligatoria. El artículo 23 exige que los incidentes significativos se comuniquen en un plazo de 24 horas como “advertencia temprana”, seguidos de un informe inicial en 72 horas y un informe definitivo dentro del plazo de un mes.
En otras palabras: la ignorancia ya no es una excusa válida.
Del modelo basado en la confianza a la verificación continua
La reacción instintiva sigue siendo confiar en las relaciones consolidadas. Pero en ciberseguridad, la confianza ya no es suficiente. Para desarrollar una estrategia de seguridad sólida, es fundamental adoptar un enfoque Zero Trust: confía, pero verifica. Incluso si se trata de proveedores con los que llevas años trabajando.
Conclusión: la seguridad es una responsabilidad compartida
Los proveedores son clave para el funcionamiento diario de tu organización, pero también pueden convertirse en una amenaza inesperada. Mantenerse al tanto de las tendencias de phishing e integrar activamente a los socios de tu cadena de suministro en tu estrategia de ciberseguridad reduce el riesgo de incidentes y te ayuda a cumplir con los exigentes requisitos de la NIS2.
Fuente: eur-lex.europa.eu