Lucha contra las amenazas cibernéticas en la cadena de suministro: protección de datos y cadenas de suministro digitales en un panorama cibernético en rápida evolución

Puntos clave

Las cadenas de suministro de fabricación se han convertido en objetivos de gran valor para los ciberdelincuentes, y se enfrentan a ataques implacables, ya que la industria sigue siendo el sector más atacado por cuarto año consecutivo. Los ataques relacionados con la cadena de suministro han aumentado un 431 % desde 2021 y se encuentran entre los más costosos y lentos de resolver.
La supervisión insuficiente de los proveedores crea brechas críticas en la ciberseguridad. Muchos fabricantes no supervisan adecuadamente a los proveedores terceros y cuartos, lo que permite a los actores maliciosos explotar las conexiones de red de confianza e infiltrarse en los objetivos principales a través de los eslabones más débiles de la cadena de suministro, ampliando el alcance de un ciberataque y aumentando la exposición al riesgo cibernético de la cadena de suministro.
La ciberresiliencia fortalece las cadenas de suministro de fabricación y la ventaja competitiva en el mercado. La integración de los principios de seguridad desde el diseño, la diligencia debida de los proveedores y las prácticas de gestión de riesgos de la cadena de suministro cibernética (C-SCRM) en las operaciones permite a los fabricantes crear cadenas de suministro seguras, ágiles y sostenibles, lo que mejora tanto la continuidad del negocio como la competitividad en el mercado en el panorama digital actual, tan expuesto a las amenazas.

La industria manufacturera sigue siendo el sector más afectado por los ciberataques por cuarto año consecutivo.[1] Más del 26 % de los incidentes cibernéticos en todo el mundo tienen como objetivo la industria manufacturera. Las cadenas de suministro suelen ser el blanco, ya que cada vez están más digitalizadas e interconectadas. El panorama de amenazas cambia rápidamente, con ataques cada vez más sofisticados que afectan a todos los eslabones del ecosistema de la cadena de suministro, desde los proveedores de software y los proveedores de logística hasta los fabricantes y distribuidores.

A medida que los fabricantes desarrollan sus cadenas de suministro en Estados Unidos, no solo están ampliando sus operaciones, sino que también están sentando las bases para una resiliencia a largo plazo. Al integrar las mejores prácticas de ciberseguridad desde el principio, las empresas pueden convertir la gestión de riesgos en una ventaja competitiva para sus operaciones y garantizar que su crecimiento sea seguro y sostenible.

Los ciberataques a las cadenas de suministro siguen aumentando

Los ciberataques a la cadena de suministro han aumentado drásticamente en términos de prevalencia, coste y plazos de resolución . Entre 2021 y 2023, el número de ataques relacionados con la cadena de suministro aumentó un 431 %[2] . El año pasado, se convirtieron en el segundo vector de ataque más frecuente (representando el 15 % de todas las infracciones del año pasado).[3] También son el segundo tipo de ataque más costoso. El coste medio de una infracción en Estados Unidos sigue aumentando, ya que en 2025 se incrementó un 9 % hasta alcanzar los 10,22 millones de dólares estadounidenses (según los datos relativos a las infracciones relacionadas con 2024) y es aún mayor en el caso de las infracciones de la cadena de suministro.[4] Los ataques a la cadena de suministro también son los que más tiempo tardan en resolverse. El año pasado, las vulneraciones cibernéticas de la cadena de suministro tardaron en total 267 días en detectarse y contenerse.

¿Por qué? Las investigaciones sugieren que las empresas no supervisan adecuadamente a sus proveedores, lo que conduce a una detección tardía y a un aumento de los costes y los plazos de resolución cuando finalmente se detectan los ciberataques. Por ejemplo, una encuesta realizada en 2024 por Gartner, la empresa líder mundial en investigación y asesoramiento, revela que, aunque el 95 % de las organizaciones detectaron señales de alerta relacionadas con sus proveedores externos en los últimos 12 meses, solo alrededor de la mitad de ellas las comunicaron a los equipos de cumplimiento normativo.[6]

Los atacantes se aprovechan de estas relaciones de confianza y de las amplias redes. Como se detalla a continuación, los atacantes se aprovechan de la confianza establecida entre proveedores, vendedores, fabricantes y clientes, así como de sus comunicaciones entre ordenadores.[7] También se dirigen a eslabones más alejados de la cadena de suministro, como los proveedores terceros y cuartos. Los atacantes saben que los clientes y sus proveedores inmediatos a menudo no mantienen una supervisión adecuada ni realizan esfuerzos para garantizar el cumplimiento de los proveedores más alejados de la cadena.[8]

Es poco probable que esta tendencia se ralentice, ya que vemos que los atacantes continúan perfeccionando sus técnicas. El primer paso para combatir estos ataques es comprender mejor sus tácticas comunes con el fin de implementar las mejores prácticas institucionales.

Ciberataques a la cadena de suministro: tecnología en evolución, pero tácticas conocidas

Cómo funcionan

Un ciberataque a la cadena de suministro se aprovecha de las relaciones de confianza entre los socios proveedores. Todas las organizaciones tienen un nivel de confianza implícita en otras empresas, ya que instalan y utilizan el software de la empresa dentro de sus redes o trabajan con ellas como proveedores. Los hackers suelen optar por el camino más fácil, atacando el eslabón más débil de una cadena de ecosistemas y software interconectados, debido a su capacidad para infiltrarse en múltiples organizaciones a través de un único punto de compromiso.

Por lo tanto, incluso si su organización está bien protegida y cuenta con un sólido programa de ciberseguridad, en caso de que uno de sus proveedores de confianza no sea seguro, los atacantes se centrarán en ese proveedor para eludir cualquier medida de seguridad que se haya implementado en la organización del proveedor. Lanzan estafas de phishing o ataques de ingeniería social para comprometer las credenciales de los empleados del proveedor.

Una vez que los atacantes se afianzan en el sistema de un proveedor, hemos visto cómo exploran y aprovechan las vulnerabilidades moviéndose lateralmente por la red. Por ejemplo, pueden aprovechar vulnerabilidades de software sin parchear, controles de acceso débiles o sistemas mal configurados para escalar sus privilegios y profundizar aún más su penetración con el fin de utilizarlo como plataforma de lanzamiento para desplegar malware o código malicioso, o bien obtener acceso a las redes de las organizaciones objetivo principales. Esta vía de acceso débil elude medidas de seguridad que, de otro modo, serían extremadamente difíciles de atacar directamente.

Estas amenazas tienen implicaciones globales. Hemos visto cómo los piratas informáticos, de forma intencionada o no, han conseguido controlar toda la infraestructura de una organización, incluso aunque esta no fuera el objetivo directo. Además, como se ha mencionado anteriormente, las organizaciones no solo deben preocuparse por sus proveedores directos, sino que los riesgos pueden extenderse mucho más allá en la cadena de suministro, hasta los proveedores de terceros y cuartos, ya que el impacto de la interrupción de un solo proveedor puede afectar a múltiples partes de la cadena.

Algunos tipos comunes de ciberataques que afectan a las cadenas de suministro

Un cuadro resume cuatro tipos de ciberataques: ataques a software, hardware, firmware e inteligencia artificial, y enumera las características y métodos clave de cada uno.

Si bien tácticas como el phishing, el ransomware y el malware siguen siendo muy comunes, la rápida evolución de la inteligencia artificial (IA) está haciendo que el panorama de la ciberseguridad sea aún más desafiante. De hecho, el 16 % de las violaciones de datos ya reportadas en 2025 han involucrado algún tipo de IA.[9] Los actores maliciosos ahora están aprovechando la IA para generar suplantaciones de identidad muy convincentes, crear campañas de phishing realistas con una velocidad sin precedentes e identificar y explotar vulnerabilidades en cadenas de suministro complejas.[10] Por ejemplo, los actores maliciosos pueden utilizar la IA para escanear rápidamente los perfiles de acceso público de los ejecutivos de la empresa objetivo y utilizar esa información para crear correos electrónicos de phishing, adaptados al cargo y al estilo de comunicación de cada destinatario, que dirigen a los empleados desprevenidos a hacer clic en enlaces maliciosos que revelan sus credenciales de inicio de sesión a terceros no autorizados.

Tres incidentes de ciberseguridad de gran repercusión en las cadenas de suministro ilustran estas tácticas en acción.

Ataque de ransomware que afecta al sectorenergético (enero de 2024): una multinacional dedicada a la gestión energética sufrió un importante ataque de ransomware después de que unos ciberdelincuentes, presuntamente vinculados al grupo Cactus, consiguieran acceder inicialmente a sus sistemas aprovechando una vulnerabilidad relacionada con un dispositivo VPN. Los atacantes afirmaron haber sustraído 1,5 TB de datos confidenciales y filtraron 25 MB de estos datos, que incluían copias de acuerdos de confidencialidad y pasaportes escaneados de ciudadanos estadounidenses. Hasta la fecha, se desconoce el coste de este ataque y el número de clientes afectados. Sin embargo, es probable que sea significativo, dado que la empresa presta servicio a más de 2000 clientes en todo el mundo.[11]
Hackeo de una plataforma de datos basada en la nube (abril de 2024): Una popular plataforma de datos basada en la nube sufrió una importante filtración de datos cuando un ingeniero de software utilizó credenciales robadas mediante un malware infostealer para infiltrarse en la red. Esta filtración comprometió los datos de 165 clientes, que en conjunto procesan datos de más de 500 millones de personas. En el momento de redactar este artículo, se desconoce el coste total de la filtración.[12]
Ataque de ransomware a un proveedor logístico y transportista global (agosto de 2024). Una importante empresa global de logística y transporte de mercancías sufrió un ataque de ransomware que provocó interrupciones técnicas y afectó a la prestación de servicios. El servicio de atención al cliente, la facturación, los sistemas de pago y la integración de datos con los sistemas de clientes y proveedores se vieron afectados. El sistema central de operaciones y el portal de atención al cliente estuvieron fuera de servicio durante varios días (lo que impidió a los clientes realizar el seguimiento de sus envíos en tiempo real, lo que generó problemas logísticos a nivel mundial). A la fecha de redacción de este informe, se desconoce el coste total del incidente.[13]

Mejores prácticas para mitigar los riesgos cibernéticos en toda su cadena de suministro

Sea proactivo. Los socios proveedores deben adaptarse a estas amenazas crecientes gestionando y preparándose para los riesgos de la cadena de suministro y las interrupciones relacionadas con la ciberseguridad, en lugar de limitarse a reaccionar ante los problemas cuando se producen. Su cadena de suministro es tan fuerte como su eslabón más débil. Piense a nivel interno y en toda su cadena de suministro para implementar protocolos de seguridad.

Seguridad desde el diseño. Implemente principios de seguridad desde el diseño durante las fases de desarrollo e implementación del producto. Al incorporar medidas de seguridad desde el principio, las organizaciones pueden reducir los fallos explotables y ayudar a reforzar la resiliencia de sus sistemas de cadena de suministro.
Marco de gestión de riesgos. Implementar un marco integral de gestión de riesgos que integre los principios de gestión de riesgos de la cadena de suministro cibernética (C-SCRM, por sus siglas en inglés).[14] La C-SCRM es un proceso sistemático para gestionar la exposición al riesgo de ciberseguridad en todas las cadenas de suministro y desarrollar estrategias, políticas, procesos y procedimientos de respuesta adecuados. Además, el Marco de Ciberseguridad (CSF) 2.0 del Instituto Nacional de Estándares y Tecnologías (NIST) proporciona un enfoque estructurado para gestionar los riesgos cibernéticos y puede servir de base para que organizaciones de todos los tamaños y sectores desarrollen sus estrategias de gestión de riesgos.[15] El CSF 2.0 también incluye resultados adicionales del C-SCRM para ayudar a las organizaciones a abordar estos riesgos. Las subcategorías dentro de la categoría C-SCRM del CSF [GV.SC] sirven de puente, vinculando los resultados centrados en la ciberseguridad con los objetivos más amplios del C-SCRM.
Gobernanza de la IA y el software como servicio (SaaS). Catalogue y controle todo el uso de las soluciones de IA y las herramientas SaaS internas (por ejemplo, de los empleados) y externas (por ejemplo, de los proveedores) para ayudar a minimizar las vulnerabilidades explotables en toda la cadena de suministro. A medida que evoluciona la IA, las organizaciones deben actualizar la formación en materia de seguridad para hacer frente a las amenazas relacionadas con la IA, evaluar los riesgos de terceros y establecer una gobernanza de la IA para mantener la seguridad. Es fundamental recordar que un programa de gobernanza solo es eficaz si los empleados comprenden cómo cumplir correctamente sus políticas y procedimientos.
Diligencia debida con los proveedores. Realice una diligencia debida exhaustiva al seleccionar proveedores y evalúe su postura en materia de ciberseguridad, su capacidad de respuesta ante incidentes, su resiliencia y su cumplimiento de las leyes, normativas y estándares del sector aplicables en relación con la protección y la seguridad de los datos. Esto ayuda a identificar y mitigar los riesgos potenciales asociados a los proveedores externos.
Evaluaciones exhaustivas de los proveedores existentes. Realice periódicamente evaluaciones y auditorías de seguridad de los proveedores existentes para evaluar la eficacia de los controles y prácticas de ciberseguridad y garantizar el cumplimiento de las normas de seguridad pertinentes y otros requisitos legales y contractuales aplicables a lo largo del ciclo de vida de la cadena de suministro. También se recomienda implementar prácticas de C-SCRM para identificar y mitigar los riesgos de la cadena de suministro asociados con los proveedores externos. Además, la gestión de proveedores requiere una comunicación eficaz en toda la organización para garantizar que cualquier problema importante o relacionado con la seguridad que afecte a proveedores externos se remita adecuadamente a los niveles superiores de la cadena para su resolución.
Contratos con proveedores. Asegúrese de que todas las solicitudes de propuestas y contratos con proveedores clave de la cadena de suministro incluyan requisitos sólidos de ciberseguridad que cubran o aborden, como mínimo, las responsabilidades claramente definidas y la asignación de responsabilidades con los proveedores, la resiliencia de los propios sistemas de los proveedores, la formación periódica de su personal, la notificación inmediata de incidentes de seguridad y la cooperación continua con su organización en relación con los mismos, las auditorías periódicas, la subcontratación y otras medidas relacionadas necesarias para el cumplimiento de las leyes y normas industriales aplicables. Las empresas también deben revisar y actualizar periódicamente los contratos existentes con los proveedores para garantizar que se cumplen los requisitos de ciberseguridad suficientes y solicitar adendas cuando no sea así.
Supervisión y detección continuas. Implemente mecanismos de supervisión y detección continuas para identificar y responder a las amenazas cibernéticas en tiempo real. Por ejemplo, las organizaciones deben considerar la posibilidad de utilizar fuentes de información sobre amenazas, sistemas de gestión de información y eventos de seguridad (SIEM) y sistemas de detección y prevención de intrusiones para supervisar actividades sospechosas y anomalías relacionadas con los sistemas y/o el software utilizados en su cadena de suministro.
Controles de acceso seguros, medidas de cifrado y gestión de parches. Implemente controles de acceso robustos y medidas de cifrado de datos para proteger la información confidencial que se comparte dentro de la cadena de suministro. El cifrado de los datos tanto en reposo como en tránsito ayuda a protegerlos contra el acceso no autorizado o la interceptación. Los controles de acceso (por ejemplo, autenticación multifactorial, controles de acceso basados en roles, principios de privilegios mínimos, etc.) ayudan a limitar el acceso a activos y sistemas críticos por parte de proveedores externos. Además, mantenga todo el software, incluidos los sistemas operativos y las aplicaciones, actualizado con los últimos parches de seguridad. Las actualizaciones periódicas garantizan que las vulnerabilidades se solucionen rápidamente.
Planes de respuesta ante incidentes y continuidad del negocio. Desarrollar o actualizar los planes de respuesta ante incidentes existentes para incluir procesos de respuesta ante incidentes cibernéticos que involucren o se originen en proveedores clave de la cadena de suministro externos (e incorporar prácticas relevantes de C-SCRM para abordar las amenazas y vulnerabilidades específicas de la cadena de suministro). Además, sería prudente desarrollar y probar periódicamente planes de continuidad del negocio y recuperación ante desastres para garantizar la continuidad de las operaciones en caso de un ciberataque a la cadena de suministro.
Educación y concienciación. Impartir formación periódica sobre concienciación en materia de ciberseguridad a los empleados, proveedores y partes interesadas con el fin de (i) educarlos sobre la importancia de las amenazas cibernéticas comunes y las mejores prácticas, (ii) promover la concienciación sobre los principios del C-SCRM y la importancia de la seguridad de la cadena de suministro para mitigar los riesgos cibernéticos, y (iii) ayudarles a reconocer y animarles a informar sobre posibles amenazas cibernéticas.

Conclusión

Para los fabricantes que están ampliando su presencia en Estados Unidos, ahora es el momento de considerar la ciberseguridad no como un requisito de cumplimiento normativo, sino como un factor estratégico. Una cadena de suministro resiliente no solo es más segura, sino también más inteligente, más ágil y mejor posicionada para el éxito a largo plazo.

De lo contrario, descuidar la gestión del riesgo de los proveedores conlleva riesgos de pérdidas financieras significativas, robo de propiedad intelectual, daño a la reputación e impacto social. Aunque las amenazas cibernéticas son inevitables, las empresas pueden minimizar significativamente sus efectos estableciendo un marco sólido de gestión del riesgo de los proveedores y mejorando las medidas de seguridad. De este modo, las empresas podrán proteger mejor sus valiosos activos, su reputación y las relaciones con las partes interesadas.

[1] Véase IBM X-Force 2025 Threat Intelligence Index, disponible en https://www.ibm.com/thought-leadership/institute-business-value/en-us/report/2025-threat-intelligence-index (último acceso el 17 de agosto de 2025).

[2] Véase Cowbell Cyber, Cyber Roundup Report 2024, p. 4, https://cowbell.insure/wp-content/uploads/pdfs/CB-US-Q4-CyberRoundupReport24.pdf (último acceso el 17 de agosto de 2025).

[3] Ídem, pág. 17.

[4] Ponemon Institute (patrocinado, analizado y publicado por IBM), Informe sobre el coste de las violaciones de datos 2025 (agosto de 2024) (en adelante, «Informe sobre el coste de las violaciones de datos»), en la página 4, disponible en https://www.ibm.com/reports/data-breach (es necesario registrarse para acceder al contenido) (último acceso el 17 de agosto de 2025).

[5] Ídem, pág. 18.

[6] Gartner, Gartner afirma que los responsables del cumplimiento normativo necesitan una comunicación constante con los responsables de las relaciones para gestionar eficazmente los riesgos de terceros ( 23 de abril de 2025), https://www.gartner.com/en/newsroom/press-releases/2025-04-23-gartner-says-compliance-leaders-need-consistent-communication-with-relationship-owners-to-effectively-manage-tihird-party-work.

[7] Véase el informe «Cost of a Data Breach Report», en la página 18.

[8] Véase id.

[9] Véase id. en la página 38.

[10] Véase id.

[11] Secureframe, «20 Recent Cyber Attacks & What They Tell Us About the Future of Cybersecurity» (15 de julio de 2025), disponible en https://secureframe.com/blog/recent-cyber-attacks (último acceso: 17 de agosto de 2025).

[12] Ravie Lakshmanan, La filtración de Snowflake expone los datos de 165 clientes en una campaña de extorsión en curso (11 de junio de 2024), disponible en https://thehackernews.com/2024/06/snowflake-breach-exposes-165-customers.html (último acceso el 17 de agosto de 2025).

[13] Foro Económico Mundial, «Por qué la resiliencia cibernética debe ser una prioridad para los transportistas» (4 de junio de 2025), disponible en https://www.weforum.org/stories/2025/06/cyber-resilience-top-priority-for-freight-forwarders/.

[14] NIST SP 800-161 Rev. 1 (2024), https://csrc.nist.gov/pubs/sp/800/161/r1/upd1/final.

[15] Marco de ciberseguridad (CSF) 2.0 del NIST (2024), https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf.

Descargo de responsabilidad

Este blog ha sido creado por Foley & Lardner LLP («Foley» o «la Firma») con fines meramente informativos. No pretende transmitir la posición legal de la Firma en nombre de ningún cliente, ni tampoco pretende ofrecer asesoramiento legal específico. Las opiniones expresadas en este artículo no reflejan necesariamente los puntos de vista de Foley & Lardner LLP, sus socios o sus clientes. Por lo tanto, no actúe basándose en esta información sin consultar primero con un abogado colegiado. Este blog no pretende crear, y su recepción no constituye, una relación abogado-cliente. La comunicación con Foley a través de este sitio web por correo electrónico, entradas de blog o cualquier otro medio no crea una relación abogado-cliente para ningún asunto legal. Por lo tanto, cualquier comunicación o material que transmita a Foley a través de este blog, ya sea por correo electrónico, publicación en el blog o cualquier otro medio, no se tratará como confidencial o privado. La información de este blog se publica «TAL CUAL» y no se garantiza que sea completa, precisa o actualizada. Foley no ofrece ninguna garantía, expresa o implícita, en cuanto al funcionamiento o el contenido del sitio. Foley renuncia expresamente a todas las demás garantías, condiciones y declaraciones de cualquier tipo, ya sean expresas o implícitas, ya sea que surjan en virtud de cualquier estatuto, ley, uso comercial o de otro tipo, incluidas las garantías implícitas de comerciabilidad, idoneidad para un fin determinado, título y no infracción. En ningún caso Foley o cualquiera de sus socios, directivos, empleados, agentes o afiliados serán responsables, directa o indirectamente, en virtud de cualquier teoría jurídica (contrato, agravio, negligencia o de otro tipo), ante usted o cualquier otra persona, por cualquier reclamación, pérdida o daño, directo, indirecto, especial, incidental, punitivo o consecuente, que resulte o se derive de la creación, el uso o la confianza en este sitio (incluida la información y otros contenidos) o en cualquier sitio web de terceros o en la información, los recursos o el material a los que se acceda a través de dichos sitios web. En algunas jurisdicciones, el contenido de este blog puede considerarse publicidad de abogados. Si procede, tenga en cuenta que los resultados anteriores no garantizan un resultado similar. Las fotografías tienen fines meramente dramáticos y pueden incluir modelos. Las semejanzas no implican necesariamente la condición actual de cliente, socio o empleado.

Un hombre con traje oscuro y corbata naranja, especializado en asistencia en litigios, sonríe a la cámara con un fondo interior difuminado.

[email protected]

Chicago 312.832.4915

[email protected]

Milwaukee 414.297.5339

Información relacionada

Ver todas las publicaciones

11 de marzo de 2026 Asesor de la industria manufacturera

Cómo el mapeo de la cadena de suministro refuerza la integridad de la cadena de suministro

Los últimos seis años han traído consigo grandes cambios en el panorama normativo estadounidense (por ejemplo, volatilidad arancelaria, nuevas normas de integridad de la cadena de suministro), una escasez de materias primas sin precedentes y una pandemia mundial, por citar solo algunos ejemplos destacados. Esto ha dado lugar a una imprevisibilidad sin precedentes en la cadena de suministro.

6 de marzo de 2026 Asesor de la industria manufacturera

Actualización sobre Foley Automotive

Foley está aquí para ayudarle en todos los aspectos relacionados con el replanteamiento de sus estrategias empresariales a largo plazo, inversiones, asociaciones y tecnología. Póngase en contacto con los autores, su socio de Foley o nuestro equipo automovilístico para obtener más información y debatir el tema.

3 de marzo de 2026 Asesor de la industria manufacturera

El Tribunal de Apelación de Connecticut dictamina que los operadores de gasolineras no son «minoristas» según la Ley de Franquicias Petroleras de Connecticut.

Una reciente decisión del Tribunal de Apelación de Connecticut pone de relieve cómo los acuerdos sobre combustible basados en comisiones pueden limitar la responsabilidad de las franquicias...

Búsquedas populares

Lucha contra las amenazas cibernéticas en la cadena de suministro: protección de datos y protección de las cadenas de suministro digitales en un panorama cibernético en rápida evolución