Trustlinks free webinar: Turning regulation into resilience – Register now
Los ataques a la cadena de suministro se han convertido en una de las formas más disruptivas y costosas de riesgo cibernético. Un solo proveedor afectado puede poner en peligro a cientos o incluso miles de organizaciones, incluso a aquellas con una seguridad interna muy sólida. Este cambio en la dinámica de las amenazas es una de las principales razones por las que normativas como DORA y NIS2 hacen mucho más hincapié en la gestión de riesgos de terceros, la resiliencia operativa y la supervisión basada en pruebas. Los reguladores están respondiendo a una realidad muy sencilla: las organizaciones son tan resilientes como el eslabón más débil de su cadena de suministro.
A continuación presentamos cuatro ataques a la cadena de suministro bien documentados que, en conjunto, ilustran por qué la gestión estructurada de riesgos ya no es opcional, independientemente del tamaño de la empresa:
La filtración de MOVEit es uno de los incidentes más graves relacionados con la cadena de suministro de los últimos años. MOVEit, una herramienta de transferencia de archivos muy utilizada, se vio comprometida a través de una vulnerabilidad de día cero hasta entonces desconocida. Los atacantes aprovecharon el fallo para acceder a datos confidenciales de clientes de MOVEit de múltiples sectores, con víctimas de gran relevancia como la BBC, British Airways, Shell y varias agencias federales de EE. UU. En total, se vieron afectadas más de 2.600 organizaciones, lo que supuso un impacto en más de 90 millones de personas. El aviso de la CISA sobre el incidente sigue siendo uno de los relatos públicos más completos sobre cómo se desarrolló el ataque.
Lo que hizo que la filtración de MOVEit fuera especialmente grave es que muchas de las organizaciones afectadas contaban con un sistema de seguridad interno muy sólido. Sin embargo, eso no sirvió de mucho cuando el riesgo provenía de una herramienta de terceros. Este es precisamente el tipo de fallo en cadena que DORA y NIS2 están diseñadas para abordar.
El ataque a Kaseya es un claro ejemplo de cómo los incidentes en la cadena de suministro afectan de forma desproporcionada a las organizaciones más pequeñas. Kaseya, un proveedor de software de gestión remota para proveedores de servicios gestionados, sufrió una brecha de seguridad a través de vulnerabilidades en su producto VSA. La filtración permitió que el ransomware se propagara rápidamente a unas 1.500 empresas de los sectores minorista, logístico, manufacturero y de servicios profesionales. La CISA publicó unas directrices específicas para las organizaciones afectadas y sus proveedores de servicios en los días siguientes.
El incidente de Kaseya pone de relieve un punto clave: las debilidades de terceros se convierten rápidamente en tus propias debilidades. Las organizaciones más pequeñas suelen estar más expuestas porque dependen en gran medida de proveedores externos y carecen de los recursos necesarios para evaluar de forma continua el riesgo que suponen dichos proveedores. Precisamente por eso, los organismos reguladores esperan ahora que se documenten las evaluaciones de los proveedores, que se lleve a cabo un seguimiento continuo y que haya una responsabilidad clara.
El ataque a JBS, el mayor proveedor de carne del mundo, demostró lo rápido que un ciberataque puede pasar de ser un simple problema informático a convertirse en una amenaza para la resiliencia nacional. El ransomware obligó a paralizar las operaciones en Estados Unidos, Australia y Canadá, lo que interrumpió las cadenas de suministro alimentarias mundiales y supuso unos costes de recuperación considerables. Tal y como informó Reuters en su momento, la Casa Blanca confirmó que el ataque procedía de una organización criminal probablemente con sede en Rusia, lo que llevó a establecer comparaciones con el incidente de Colonial Pipeline que había ocurrido apenas unas semanas antes.
El suministro de alimentos se considera una infraestructura crítica, lo que explica por qué las autoridades han reforzado desde entonces los requisitos en materia de resiliencia, notificación y gestión de riesgos en el marco de normativas como la NIS2.
En agosto de 2025, Jaguar Land Rover sufrió un ciberataque directo que obligó a la empresa a paralizar la producción en todas sus instalaciones del Reino Unido durante unas seis semanas. Según informó Computer Weekly, la empresa registró unas pérdidas de 485 millones de libras en el trimestre en el que se produjo el ataque, frente a los beneficios de 398 millones de libras del mismo periodo del año anterior. El coste económico global para el Reino Unido se estimó en 1.5 mil millones de libras. Miles de trabajadores tuvieron que quedarse en casa, los proveedores tuvieron dificultades para cobrar y las repercusiones se extendieron por toda la cadena de suministro del sector del automóvil.
El incidente de JLR pone de manifiesto cómo un ciberataque contra una sola organización puede propagarse rápidamente por todo un ecosistema de proveedores, socios y empresas de logística, y por qué comprender esas dependencias es ahora una exigencia normativa, y no solo una buena práctica.
Estos cinco incidentes apuntan todos a la misma conclusión: la ciberresiliencia ya no se limita a tus propios sistemas. Depende de todos los proveedores y prestadores de servicios de los que dependes. Según DORA y NIS2, se espera que las organizaciones identifiquen y evalúen a los proveedores externos, documenten y supervisen los riesgos de la cadena de suministro, garanticen la continuidad incluso cuando un proveedor se vea afectado y mantengan procesos claros y pruebas de supervisión. Estas son áreas en las que muchas organizaciones tienen dificultades, sobre todo aquellas que no cuentan con equipos específicos de cumplimiento normativo o de seguridad.
La gestión de riesgos en la cadena de suministro es uno de los aspectos más exigentes del cumplimiento de las normativas DORA y NIS2. Trustlinks está diseñado para aportar estructura y claridad a este reto, con flujos de trabajo guiados para las evaluaciones de riesgo de los proveedores, documentación centralizada, recordatorios automáticos para revisiones y renovaciones, y requisitos normativos directamente vinculados a las medidas que tu organización debe tomar. Una sola plataforma, supervisión completa, siempre listo para una auditoría.
Trustlinks valora tu privacidad. Sólo nos pondremos en contacto contigo para informarte sobre nuestras soluciones.
Trustlinks valora tu privacidad. Sólo nos pondremos en contacto contigo para informarte sobre nuestras soluciones.
¿Tienes preguntas sobre precios, marcos o sobre cómo se adapta Trustlinks a tu organización? Nuestro equipo está aquí para ayudarte a encontrar el enfoque adecuado.
→ O explora nuestras Preguntas frecuentes
¿Necesitas ayuda para utilizar la plataforma o tienes algún problema? Nuestro equipo de asistencia está listo para ayudarte.