Cómo evaluar el nivel de ciberseguridad de tus proveedores antes de que sea demasiado tarde
»Inicio»Articulos

Cómo evaluar el nivel de ciberseguridad de tus proveedores antes de que sea demasiado tarde


Abril 2026 - Gestión de riesgos de terceros y cadena de suministro digital

El ataque a SolarWinds lo comprometió todo sin tocar directamente a ninguna de sus víctimas. La brecha de MOVEit afectó a cientos de organizaciones que no sabían que ese software era parte de su cadena de riesgo. La pregunta no es si un proveedor puede convertirse en vector de ataque. Es cuántos de los tuyos ya lo son sin que lo sepas.

Según el Ponemon Institute, el 59% de las organizaciones ha experimentado una brecha de datos causada por un tercero. Sin embargo, la mayoría de los programas de gestión de riesgo de proveedores siguen basándose en cuestionarios de autoevaluación enviados una vez al año. El proveedor responde, el equipo de cumplimiento archiva la respuesta, y el riesgo real permanece invisible.

Un cuestionario mide lo que el proveedor dice que hace. No lo que realmente hace. Y en ciberseguridad, esa diferencia es exactamente donde viven los incidentes.

El problema del modelo actual de evaluación

La mayoría de los programas de terceros heredan la lógica del compliance tradicional: si el proveedor firma una declaración de que cumple con tus políticas de seguridad, la caja queda marcada. Es un modelo diseñado para demostrar diligencia ante un auditor, no para gestionar riesgo real.

Tres fallas estructurales concentran el problema. Primero, la evaluación es estática: se hace al incorporar al proveedor y se revisa anualmente si hay suerte. Pero el nivel de seguridad de una organización no es estático. Un proveedor que tenía controles sólidos hace doce meses puede haber sufrido una reducción de equipo, un cambio de plataforma o un incidente no divulgado en ese intervalo. Segundo, los cuestionarios no distinguen entre riesgo declarado y riesgo real: cualquier proveedor que quiera mantener el contrato tiene todos los incentivos para responder favorablemente, independientemente de su postura real. Tercero, la mayoría de los programas no priorizan por exposición: tratan con el mismo nivel de escrutinio a un proveedor de limpieza y a un proveedor de software que tiene acceso a la base de datos de clientes.

El resultado es un catálogo de proveedores evaluados pero no conocidos.

MATRIZ DE PRIORIZACIÓN DE PROVEEDORES BAJO ALTO ← Nivel de acceso a activos críticos → ← Madurez de seguridad → ALTA BAJA Monitoreo continuo Alto acceso · Alta madurez Revisiones técnicas periódicas, auditorías y escaneo externo Seguimiento estándar Bajo acceso · Alta madurez Cuestionario anual suficiente, revisión en renovación de contrato Riesgo crítico Alto acceso · Baja madurez Plan de remediación exigido, acceso restringido hasta mejora Riesgo aceptable Bajo acceso · Baja madurez Controles contractuales básicos, sin revisión técnica profunda
Matriz de priorización de proveedores por nivel de acceso a activos críticos y madurez de seguridad

Cómo evaluar con criterio

El punto de partida es la segmentación por exposición. No todos los proveedores merecen el mismo nivel de escrutinio, y aplicar el mismo proceso a todos garantiza que ninguno se revisa bien. La pregunta relevante para cada proveedor es simple: ¿qué activos críticos de mi organización puede alcanzar este tercero, directa o indirectamente? Un proveedor con acceso a sistemas de nómina, bases de datos de clientes o infraestructura de producción tiene un perfil de riesgo radicalmente distinto al de un proveedor de servicios generales sin acceso a sistemas digitales.

Una vez segmentados, la evaluación de los proveedores de alto riesgo debe ir más allá del cuestionario. Las herramientas de escaneo externo de superficie de ataque permiten revisar desde fuera la postura de seguridad de un proveedor: certificados SSL vencidos, puertos expuestos, dominios con historial de compromiso, registros de filtraciones previas. Esta información es verificable, no declarada. Es lo que el proveedor realmente muestra al mundo, no lo que dice hacer internamente.

Para los proveedores de mayor criticidad, las cláusulas contractuales de seguridad son el complemento que muchas organizaciones omiten. El derecho de auditoría, la obligación de notificación de incidentes en plazos definidos, los requisitos mínimos de controles técnicos, y las consecuencias contractuales ante un incidente causado por el proveedor: ninguno de estos elementos existe si no se negoció antes de firmar. Y renegociarlos después de un incidente es demasiado tarde.

Finalmente, la evaluación debe ser continua, no puntual. El monitoreo de proveedores críticos —alertas cuando aparecen en fuentes de inteligencia de amenazas, revisiones automáticas de su superficie expuesta, seguimiento de sus propios proveedores de tecnología— es la diferencia entre descubrir un problema antes o después de que te afecte.

¿Qué hacer al respecto?

Si no tienes un inventario de proveedores clasificado por nivel de acceso a activos críticos, ese es el primer trabajo. No hace falta una plataforma de gestión de terceros sofisticada para empezar: una hoja de cálculo con los proveedores activos, el tipo de acceso que tienen y el dato más sensible al que pueden llegar es suficiente para identificar dónde está concentrado el riesgo real.

Con ese inventario, el siguiente paso es revisar los contratos de los proveedores de mayor exposición. ¿Incluyen obligación de notificación de incidentes? ¿Derecho de auditoría? ¿Requisitos mínimos de seguridad? En muchos casos la respuesta es no, porque los contratos se redactaron con foco en el servicio, no en el riesgo digital. Esa brecha contractual es tan importante como cualquier brecha técnica.

La pregunta que vale hacerse

Si uno de tus diez proveedores de mayor acceso sufriera un incidente hoy, ¿cuánto tiempo tardarías en saberlo? Si la respuesta es "cuando ellos nos avisen" y no hay un plazo contractual que los obligue, ya tienes el diagnóstico.

Acciones inmediatas

  • Haz un inventario de proveedores con acceso a sistemas o datos críticos esta semana. No necesitas que sea exhaustivo desde el inicio: empieza con los diez o quince proveedores con mayor nivel de acceso. Ese subconjunto concentra la mayor parte del riesgo y es el punto donde cualquier programa de terceros genera retorno inmediato.
  • Revisa si tus contratos con proveedores críticos incluyen obligación de notificación de incidentes y derecho de auditoría. Si no los incluyen, esa es la negociación más urgente que tienes pendiente con tu área legal. No necesitas esperar a la renovación del contrato para plantear una enmienda en ese sentido.
  • Busca información pública sobre la postura de seguridad de tus proveedores de mayor riesgo. Herramientas gratuitas como Shodan, SecurityTrails o la revisión de registros de brechas conocidas (Have I Been Pwned a nivel de dominio) ofrecen una primera imagen de lo que ese proveedor expone externamente. No es una evaluación completa, pero puede revelar señales de alerta inmediatas sin costo.
  • Define un proceso mínimo de revisión en renovación de contrato con proveedores de acceso crítico. La renovación es el momento de mayor influencia contractual. Si no tienes un checklist de requisitos de seguridad que revisar en ese momento, cada renovación es una oportunidad perdida de mejorar tu postura de riesgo de terceros.
  • Identifica si alguno de tus proveedores críticos usa a su vez proveedores con acceso a tu información. El riesgo de cuarto nivel — el proveedor de tu proveedor — fue exactamente el vector en SolarWinds y MOVEit. Pedir a tus proveedores más críticos que declaren sus propios subprocesadores con acceso a tu información es un paso que pocas organizaciones dan y que puede revelar vectores de riesgo completamente invisibles hasta ese momento.

Si tu organización necesita desarrollar o madurar su programa de gestión de riesgo de terceros, podemos ayudarte a construirlo con criterio y sin depender de cuestionarios que no miden el riesgo real. Contáctanos en https://tbsek.mx/contacto/.

También te puede interesar

Descubre más contenido de ciberseguridad que puede ser útil para tu organización

Categorías:
Amenazas y tendenciasLiderazgo y estrategiaTalento en ciberseguridad
Amenazas y tendencias
Cómo realizar un análisis forense digital después de un incidente

Cómo realizar un análisis forense digital después de un incidente
Amenazas y tendencias
Phishing: cómo entrenar a los empleados para detectar correos sospechosos

Phishing: cómo entrenar a los empleados para detectar correos sospechosos
Liderazgo y estrategia
El rol estratégico del CISO en la transformación digital

El rol estratégico del CISO en la transformación digital
Talento en ciberseguridad
Primeros pasos para construir una carrera en ciberseguridad

Primeros pasos para construir una carrera en ciberseguridad

¿Buscas más contenido especializado en ciberseguridad?

Ver todos los artículos

Transforma tu seguridad digital hoy

No esperes a ser víctima de un ciberataque. Nuestro equipo de expertos está listo para implementar la estrategia de ciberseguridad que tu empresa necesita para operar con confianza.

Inteligencia de amenazas real
Implementación ágil
Soporte especializado
Comenzar ahora
Endpoint
Cloud
Network
Email