Ataques a la cadena de suministro: cómo tus proveedores se convierten en tu mayor riesgo
Los ataques más devastadores de los últimos años llegaron a través de proveedores confiables. Aprende a evaluar y mitigar el riesgo de tu cadena de suministro digital.
El eslabón más débil no está dentro de tu empresa
En diciembre de 2020, el ataque a SolarWinds — documentado públicamente por CISA y por varias agencias federales estadounidenses — comprometió a miles de organizaciones a nivel mundial, incluyendo agencias del gobierno de EE.UU. y empresas Fortune 500. El vector de ataque no fue un email de phishing ni una contraseña débil: fue una actualización legítima de un software de monitoreo que las empresas confiaban.
En 2021, el ataque a Kaseya (documentado por CISA en su alerta AA21-183A) afectó a cientos de empresas a través de un proveedor de gestión remota. En 2023, el ataque a MOVEit expuso datos de organizaciones múltiples a través de una vulnerabilidad en un software de transferencia de archivos (documentado por CISA en alerta del mismo año).
El patrón es claro: los atacantes ya no atacan a su objetivo directamente. Atacan al proveedor del objetivo. Y esto aplica tanto para PYMEs como para corporativos.
Cómo un proveedor se convierte en vector de ataque
Escenario 1: El proveedor de IT
Tu proveedor de soporte técnico tiene credenciales de administrador en tu tenant de Microsoft 365. Si el proveedor es comprometido, el atacante tiene acceso directo a tu información con privilegios máximos. Esto es exactamente lo que pasó con el ataque a los MSPs (Managed Service Providers) de Kaseya.
Escenario 2: El software que usas
Instalas una app de terceros en Microsoft Teams o usas un add-in de Outlook. Ese software tiene acceso a datos de tu tenant. Si el desarrollador de ese software es comprometido, la próxima actualización puede incluir código malicioso que extrae tus datos silenciosamente.
Escenario 3: El proveedor con acceso a tu red
Tu proveedor de cámaras de seguridad, aire acondicionado, o impresoras tiene acceso a tu red para mantenimiento remoto. Esos dispositivos IoT rara vez tienen la seguridad de tus servidores. El ataque a Target en 2013 — que expuso datos de 40 millones de tarjetas de crédito — empezó por un proveedor de sistemas HVAC.
Escenario 4: El proveedor de nómina o contabilidad
Tu contador o servicio de nómina tiene acceso a datos financieros y personales de todos tus empleados. Si su sistema es comprometido, los datos que se filtran son tuyos.
Evaluando el riesgo de tu cadena de suministro
Paso 1: Inventario de acceso de terceros
Haz una lista de todos los proveedores que tienen:
- Credenciales de acceso a tus sistemas
- Apps instaladas en tu Microsoft 365
- Acceso remoto a tu red
- Datos sensibles de tu empresa o empleados
La mayoría de las PYMEs descubren que tienen 15-30 proveedores con algún nivel de acceso que nunca habían catalogado.
Paso 2: Clasificación por riesgo
Clasifica cada proveedor según:
- Nivel de acceso: ¿Admin de M365? ¿Acceso a red? ¿Solo datos?
- Datos expuestos: ¿Tiene datos de clientes? ¿Financieros? ¿De empleados?
- Dependencia operativa: ¿Si este proveedor falla, tu empresa se detiene?
Paso 3: Evaluación de seguridad del proveedor
Para proveedores de alto riesgo, solicita evidencia de:
- Certificaciones (ISO 27001, SOC 2)
- Proceso de gestión de vulnerabilidades
- Capacitación de seguridad para sus empleados
- Plan de respuesta a incidentes
- Seguro cibernético
Paso 4: Controles técnicos
Implementa controles que limiten el daño si un proveedor es comprometido:
- Cuentas de proveedor separadas — nunca compartas credenciales de empleados con proveedores. Crea cuentas específicas con permisos mínimos.
- Acceso just-in-time — el proveedor solo tiene acceso cuando lo necesita, no 24/7.
- Monitoreo de actividad — audita qué hacen las cuentas de proveedor en tu tenant.
- Revisión de apps de terceros — revisa trimestralmente qué apps de terceros tienen acceso a tu Microsoft 365 y revoca las que ya no uses.
Cómo Microsoft 365 te ayuda (y cómo puede exponerte)
Te ayuda:
- Azure AD app consent policies — controla qué apps de terceros pueden acceder a tu tenant
- Conditional Access para proveedores — crea políticas específicas para cuentas externas
- Unified audit log — registra todo lo que hacen las cuentas de proveedor
- Admin consent workflow — requiere aprobación de IT para instalar apps nuevas
Te expone:
- Guest access por defecto — los invitados de Azure AD pueden ver más de lo que crees si no limitas los permisos
- OAuth consent phishing — un atacante puede crear una app falsa que pide permisos de lectura de email, y un empleado lo aprueba sin leer
- Delegated admin privileges — muchos MSPs tienen privilegios GDAP/DAP que les dan acceso irrestricto al tenant del cliente
Primer paso: visibilidad
No puedes proteger lo que no ves. Nuestro escaneo gratuito evalúa las 155 reglas de Microsoft Graph de la biblioteca de 201, incluyendo apps de terceros con acceso a tu tenant, cuentas de invitado activas, permisos delegados, y configuración de consent de apps. En 90 segundos tienes un mapa de tu superficie de ataque de cadena de suministro. Los 46 controles de Azure Resource Manager se suman al conectar con consentimiento de administrador.
[Mapea tu riesgo de terceros gratis →](/scan)
¿Tu empresa está protegida?
Auditoría gratis de tu Microsoft 365 + Azure — el escaneo automatizado entrega una vista previa en 90 segundos. Identifica riesgos antes de que se conviertan en incidentes.