Trustlinks free webinar: Turning regulation into resilience – Register now

Manténte al tanto de las últimas tendencias y mejores prácticasEl blog de Trustlinks

Por qué los ataques a la cadena de suministro están impulsando nuevas regulaciones cibernéticas

De MOVEit a Land Rover: por qué los ataques a la cadena de suministro están impulsando nuevas normativas cibernéticas.

Los ataques a la cadena de suministro se han convertido en una de las formas más disruptivas y costosas de riesgo cibernético. Un solo proveedor afectado puede poner en peligro a cientos o incluso miles de organizaciones, incluso a aquellas con una seguridad interna muy sólida. Este cambio en la dinámica de las amenazas es una de las principales razones por las que normativas como DORA y NIS2 hacen mucho más hincapié en la gestión de riesgos de terceros, la resiliencia operativa y la supervisión basada en pruebas. Los reguladores están respondiendo a una realidad muy sencilla: las organizaciones son tan resilientes como el eslabón más débil de su cadena de suministro.

A continuación presentamos cuatro ataques a la cadena de suministro bien documentados que, en conjunto, ilustran por qué la gestión estructurada de riesgos ya no es opcional, independientemente del tamaño de la empresa:

  • MOVEit Transfer (2023): más de 2.600 organizaciones y 90 millones de personas se vieron afectadas por una única vulnerabilidad de día cero en una herramienta de transferencia de archivos muy utilizada
  • Kaseya VSA (2021): el ransomware se propagó a unas 1.500 empresas a través de una plataforma de gestión remota comprometida que usaban los proveedores de servicios gestionados
  • JBS (2021): el mayor proveedor de carne del mundo se vio obligado a suspender sus operaciones en Estados Unidos, Australia y Canadá tras sufrir un ataque de ransomware
  • Jaguar Land Rover (2025): un ciberataque directo contra el fabricante paralizó la producción durante unas seis semanas, lo que supuso un coste estimado de 485 millones de libras en un solo trimestre

Ataque a la cadena de suministro de MOVEit Transfer (2023)

La filtración de MOVEit es uno de los incidentes más graves relacionados con la cadena de suministro de los últimos años. MOVEit, una herramienta de transferencia de archivos muy utilizada, se vio comprometida a través de una vulnerabilidad de día cero hasta entonces desconocida. Los atacantes aprovecharon el fallo para acceder a datos confidenciales de clientes de MOVEit de múltiples sectores, con víctimas de gran relevancia como la BBC, British Airways, Shell y varias agencias federales de EE. UU. En total, se vieron afectadas más de 2.600 organizaciones, lo que supuso un impacto en más de 90 millones de personas. El aviso de la CISA sobre el incidente sigue siendo uno de los relatos públicos más completos sobre cómo se desarrolló el ataque.

Lo que hizo que la filtración de MOVEit fuera especialmente grave es que muchas de las organizaciones afectadas contaban con un sistema de seguridad interno muy sólido. Sin embargo, eso no sirvió de mucho cuando el riesgo provenía de una herramienta de terceros. Este es precisamente el tipo de fallo en cadena que DORA y NIS2 están diseñadas para abordar.

Ataque de ransomware contra Kaseya VSA (2021)

El ataque a Kaseya es un claro ejemplo de cómo los incidentes en la cadena de suministro afectan de forma desproporcionada a las organizaciones más pequeñas. Kaseya, un proveedor de software de gestión remota para proveedores de servicios gestionados, sufrió una brecha de seguridad a través de vulnerabilidades en su producto VSA. La filtración permitió que el ransomware se propagara rápidamente a unas 1.500 empresas de los sectores minorista, logístico, manufacturero y de servicios profesionales. La CISA publicó unas directrices específicas para las organizaciones afectadas y sus proveedores de servicios en los días siguientes.

El incidente de Kaseya pone de relieve un punto clave: las debilidades de terceros se convierten rápidamente en tus propias debilidades. Las organizaciones más pequeñas suelen estar más expuestas porque dependen en gran medida de proveedores externos y carecen de los recursos necesarios para evaluar de forma continua el riesgo que suponen dichos proveedores. Precisamente por eso, los organismos reguladores esperan ahora que se documenten las evaluaciones de los proveedores, que se lleve a cabo un seguimiento continuo y que haya una responsabilidad clara.

Ataque de ransomware contra JBS (2021)

El ataque a JBS, el mayor proveedor de carne del mundo, demostró lo rápido que un ciberataque puede pasar de ser un simple problema informático a convertirse en una amenaza para la resiliencia nacional. El ransomware obligó a paralizar las operaciones en Estados Unidos, Australia y Canadá, lo que interrumpió las cadenas de suministro alimentarias mundiales y supuso unos costes de recuperación considerables. Tal y como informó Reuters en su momento, la Casa Blanca confirmó que el ataque procedía de una organización criminal probablemente con sede en Rusia, lo que llevó a establecer comparaciones con el incidente de Colonial Pipeline que había ocurrido apenas unas semanas antes.

El suministro de alimentos se considera una infraestructura crítica, lo que explica por qué las autoridades han reforzado desde entonces los requisitos en materia de resiliencia, notificación y gestión de riesgos en el marco de normativas como la NIS2.

Ciberataque a Jaguar Land Rover (2025)

En agosto de 2025, Jaguar Land Rover sufrió un ciberataque directo que obligó a la empresa a paralizar la producción en todas sus instalaciones del Reino Unido durante unas seis semanas. Según informó Computer Weekly, la empresa registró unas pérdidas de 485 millones de libras en el trimestre en el que se produjo el ataque, frente a los beneficios de 398 millones de libras del mismo periodo del año anterior. El coste económico global para el Reino Unido se estimó en 1.5 mil millones de libras. Miles de trabajadores tuvieron que quedarse en casa, los proveedores tuvieron dificultades para cobrar y las repercusiones se extendieron por toda la cadena de suministro del sector del automóvil.

El incidente de JLR pone de manifiesto cómo un ciberataque contra una sola organización puede propagarse rápidamente por todo un ecosistema de proveedores, socios y empresas de logística, y por qué comprender esas dependencias es ahora una exigencia normativa, y no solo una buena práctica.

¿Por qué son importantes estos incidentes para el cumplimiento con NIS2 y DORA?

Estos cinco incidentes apuntan todos a la misma conclusión: la ciberresiliencia ya no se limita a tus propios sistemas. Depende de todos los proveedores y prestadores de servicios de los que dependes. Según DORA y NIS2, se espera que las organizaciones identifiquen y evalúen a los proveedores externos, documenten y supervisen los riesgos de la cadena de suministro, garanticen la continuidad incluso cuando un proveedor se vea afectado y mantengan procesos claros y pruebas de supervisión. Estas son áreas en las que muchas organizaciones tienen dificultades, sobre todo aquellas que no cuentan con equipos específicos de cumplimiento normativo o de seguridad.

La gestión de riesgos en la cadena de suministro es uno de los aspectos más exigentes del cumplimiento de las normativas DORA y NIS2. Trustlinks está diseñado para aportar estructura y claridad a este reto, con flujos de trabajo guiados para las evaluaciones de riesgo de los proveedores, documentación centralizada, recordatorios automáticos para revisiones y renovaciones, y requisitos normativos directamente vinculados a las medidas que tu organización debe tomar. Una sola plataforma, supervisión completa, siempre listo para una auditoría.

Looking for a secure and user-friendly compliance solution?Share your details, and we’ll contact you to discuss how Trustlinks can help.

Habla con la Territory Manager
Maria Bobóc

El blog de TrustlinksSiguiente lectura ..

Las entidades financieras están preocupadas por los ataques basados en la IA: esto es lo que DORA espera que hagas
Por qué las amenazas cibernéticas cada vez más rápidas exigen un cumplimiento estructurado de la normativa DORA
Ya no da tiempo a reaccionar. Los controles compensatorios se están volviendo fundamentales

Solicita una reunión

Envíanos un mensaje y nuestro equipo se pondrá en contacto contigo en breve.

Solicita una reunión

Envíanos un mensaje y nuestro equipo se pondrá en contacto contigo en breve.
Logotipo Trustlinks blanco.

Habla con Ventas

¿Tienes preguntas sobre precios, marcos o sobre cómo se adapta Trustlinks a tu organización? Nuestro equipo está aquí para ayudarte a encontrar el enfoque adecuado.

→ O explora nuestras Preguntas frecuentes

Obtén asistencia para el producto

¿Necesitas ayuda para utilizar la plataforma o tienes algún problema? Nuestro equipo de asistencia está listo para ayudarte.

Contacta con nosotros