Filtraciones de datos de terceros: Lo que debe saber

Las violaciones de datos por parte de terceros son cada vez más comunes, ya que la tecnología facilita la conexión entre las empresas y las cadenas de suministro globales son cada vez más complejas. De hecho, según el último Informe de investigaciones sobre violaciones de datos, el 30 % de todas las violaciones de datos provienen de terceros, casi el doble que el año anterior.

Además, las violaciones de seguridad por parte de terceros se encuentran entre las más costosas de recuperar para las organizaciones. Los datos del informe «IBM Cost of a Data Breach Report» del año pasado muestran que las violaciones de seguridad por parte de terceros son el tercer factor más importante en el aumento de los costes de las violaciones, incrementando los costes en un 5 % por encima de la media.

Este artículo analiza por qué están aumentando las violaciones de datos de terceros, ofrece ejemplos de empresas destacadas que se vieron comprometidas por proveedores terceros, cuartos o enésimos, y explica qué medidas se pueden tomar para mitigar el riesgo de que su organización se convierta en víctima.

Por qué están aumentando las violaciones de datos de terceros

En la última década, muchas grandes organizaciones han realizado importantes inversiones en seguridad de la información. Ningún sistema puede ser totalmente seguro, pero las grandes inversiones en ciberseguridad dificultan mucho más que los actores maliciosos puedan comprometer a las organizaciones con buenos recursos. Los hackers se ven cada vez más incentivados a atacar a subcontratistas más pequeños para eludir los programas de ciberseguridad robustos y bien financiados. Comprometer a un pequeño contratista de climatización y utilizar esa organización como un caballo de Troya involuntario es mucho más fácil que comprometer directamente a una empresa de la lista Fortune 500 con un centro de operaciones de seguridad con personal completo y varias capas de controles de seguridad.

Las pequeñas empresas siempre han ido a la zaga en la adopción de prácticas sólidas de seguridad de la información, a pesar de que el 43 % de los ataques se dirigen contra ellas. Esto permite a los actores maliciosos comprometer a terceros más pequeños y robar los datos que se les han confiado o secuestrar su acceso a sistemas sensibles en organizaciones más grandes. Las violaciones de datos de terceros pueden ser extremadamente perjudiciales y dar lugar a multas, gastos legales y sanciones por valor de millones de dólares, además de un daño excesivo a la reputación.

Repercusiones financieras y operativas de las principales violaciones de datos de terceros

Las repercusiones de una filtración importante de datos de terceros van mucho más allá del compromiso inicial y afectan a las organizaciones donde más les duele: sus finanzas, operaciones y reputación. Cuando un atacante utiliza a un proveedor, distribuidor o socio tecnológico de confianza como trampolín, el efecto dominó puede perturbar toda la cadena de suministro, y las cifras hablan por sí solas.

Consecuencias financieras

Las organizaciones afectadas por violaciones de datos de terceros se enfrentan regularmente a costes elevados relacionados con la respuesta a incidentes, investigaciones forenses, acciones legales, sanciones reglamentarias y notificaciones a los clientes. En casos especialmente graves, estos costes representan un porcentaje significativo de los ingresos anuales, que en ocasiones ascienden a millones. Las reclamaciones de seguros suelen ser insignificantes en comparación con el verdadero impacto financiero, que incluye la pérdida de negocio, la disminución del valor de mercado y las consecuencias contractuales a largo plazo.

Interrupciones operativas

Un proveedor comprometido puede paralizar la producción, obligar a suspender operaciones comerciales críticas y descarrilar proyectos importantes en cuestión de horas. No es raro que las empresas detengan la fabricación, cierren las plataformas de atención al cliente o corten el acceso a la red con sus socios, aunque solo sea por precaución. Para los fabricantes y las empresas con una gran carga logística, incluso una breve interrupción puede amenazar los márgenes de beneficio vitales y erosionar la resiliencia de la cadena de suministro.

Exposición de datos y daño a la reputación

Estas infracciones suelen dar lugar a la divulgación no autorizada de información confidencial, como datos de empleados, datos de clientes, historiales médicos o credenciales financieras. La divulgación pública puede socavar gravemente la confianza de los clientes, socios comerciales y reguladores, lo que provoca un daño irreparable a la reputación que perdura mucho tiempo después de que se haya contenido la infracción.

Efectos a largo plazo

Más allá de los costes inmediatos y las interrupciones, las violaciones de datos de terceros pueden abrir la puerta a ataques posteriores. Las credenciales comprometidas o la propiedad intelectual expuesta pueden permanecer activas durante meses o años, lo que aumenta el riesgo continuo y requiere una mayor inversión en reparación y supervisión.

A medida que evoluciona el panorama de riesgos, queda claro que las repercusiones financieras y operativas de las violaciones de datos de terceros merecen la misma atención y rigor que las amenazas cibernéticas directas. Las organizaciones deben actuar con decisión para reforzar los controles, no solo a nivel interno, sino también en toda su red ampliada de socios y proveedores.

Ejemplos de incidentes de seguridad destacados relacionados con terceros

Las violaciones de datos por parte de terceros se han vuelto mucho más comunes en los últimos años. A medida que la economía mundial se integra cada vez más, los datos suelen fluir a lo largo de las cadenas de suministro sin prestar mucha atención a su protección o a cómo se gestionan. Esto ha dado lugar a un enfoque «salvaje» en la aplicación de controles de seguridad de la información, ya que muchas organizaciones tienen poca o ninguna idea de dónde se encuentran sus datos a lo largo de la cadena de suministro ampliada, y mucho menos qué medidas de seguridad se están tomando para protegerlos.

2025 Violaciones de datos por terceros

700 Violación de datos crediticios

En diciembre de 2025, 700Credit, un proveedor de servicios de verificación de crédito e identidad para concesionarios de automóviles, reveló una violación de datos causada por el acceso no autorizado a una API de terceros. El incidente, que se remonta a una vulneración de un sistema asociado en julio de 2025 y se identificó a finales de octubre, permitió a los atacantes acceder a la aplicación web de 700Credit y copiar registros de la capa de aplicación de 700Dealer.com, lo que afectó a los clientes de los concesionarios que utilizan sus herramientas de verificación.

La filtración expuso la información personal de aproximadamente 5,8 millones de personas, incluyendo nombres, direcciones, fechas de nacimiento y números de la Seguridad Social. Aunque 700Credit afirmó que su red interna no se vio comprometida, el incidente requirió numerosas notificaciones a los clientes y servicios de supervisión crediticia. El suceso pone de relieve los riesgos inherentes a los ecosistemas de proveedores interconectados, lo que refuerza la idea de que las deficiencias de seguridad en los sistemas de terceros pueden eludir los controles internos y generar repercusiones generalizadas si el acceso a las API y la seguridad de los socios no se gestionan de forma estricta.

Violación de datos de Salesloft Drift

A mediados de agosto de 2025, unos atacantes (UNC6395) aprovecharon una cuenta comprometida cuenta de GitHub de Salesloft para robar credenciales de AWS y tokens OAuth vinculados a la herramienta de chat en vivo Drift AI. Con ellos, se infiltraron en numerosas instancias corporativas de Salesforce entre el 8 y el 18 de agosto, sustrayendo datos de objetos como casos, cuentas, usuarios y oportunidades. Los datos robados incluían credenciales altamente sensibles (claves de acceso a AWS, contraseñas y tokens de Snowflake), lo que suponía un grave riesgo de compromiso posterior.

Salesloft descubrió la actividad el 20 de agosto, revocó el acceso y Salesforce suspendió Drift de su AppExchange. Aunque no se ha revelado el número total de organizaciones afectadas, la amplitud del acceso sugiere un impacto considerable. Se instó a los clientes a rotar las credenciales y revisar los registros en busca de posibles usos indebidos. El incidente pone de relieve cómo las integraciones SaaS de terceros y las conexiones OAuth pueden convertirse en vectores de ataque de gran valor, lo que refuerza la necesidad de una supervisión más estricta de los proveedores, la higiene de las credenciales y la supervisión proactiva como elementos fundamentales de la ciberseguridad empresarial.

Ciberataque a United Natural Foods

United Natural Foods, Inc. (UNFI) fue víctima de un grave ataque cibernético a principios de junio de 2025 que obligó a la empresa a cerrar sus sistemas informáticos principales y trastornó su red de distribución de alimentos a nivel nacional. Detectada el 5 de junio, la intrusión provocó un cierre total de la red al día siguiente, lo que paralizó los sistemas de pedidos y facturación digitales y dejó a muchas tiendas sin poder recibir sus entregas a tiempo. Aunque UNFI no ha confirmado la naturaleza del ataque, la magnitud y la gravedad de la interrupción sugieren que se trató de un ransomware o una intrusión similarmente dañina.

Las consecuencias fueron rápidas y costosas: UNFI prevé una pérdida de entre 350 y 400 millones de dólares en las ventas netas del cuarto trimestre, junto con una pérdida de ingresos de entre 50 y 60 millones de dólares y una reducción de entre 40 y 50 millones de dólares en el EBITDA ajustado. Los minoristas, entre ellos Whole Foods, informaron de estantes vacíos mientras UNFI se apresuraba a restablecer las operaciones con procesos manuales. Aunque los sistemas ya se han restablecido, el ataque pone de relieve la profunda dependencia de la industria alimentaria de puntos de distribución únicos y subraya los crecientes riesgos que los ciberataques suponen para las cadenas de suministro esenciales.

2024 Violaciones de datos de terceros

Ataque Midnight Blizzard de Microsoft

En enero de 2024, el equipo de seguridad de Microsoft detectó un ataque a sus sistemas de correo electrónico y posteriormente identificó al atacante como Midnight Blizzard, el actor patrocinado por el Estado ruso conocido como NOBELIUM. Este incidente, aún en curso, comprometió las cuentas de correo electrónico y los datos de agencias gubernamentales y empresas estadounidenses. Los hackers descargaron alrededor de 60 000 correos electrónicos solo del Departamento de Estado.

Debe estar atento a cualquier actualización importante relacionada con este incidente, ya que, aunque sus cuentas no se hayan visto afectadas directamente, es muy probable que algún tercero de su ecosistema sí lo haya estado. Microsoft está tan integrado en el ecosistema tecnológico de la mayoría de las organizaciones que muchas no tienen más remedio que confiar en ellos.

Hackeo a United Health Group

En febrero de 2024, UnitedHealth Group, la mayor aseguradora médica de Estados Unidos, confirmó que su filial de tecnología sanitaria Change Healthcare había sido objeto de un ataque de ransomware, lo que siguió causando trastornos en hospitales y farmacias de todo el país. Change Healthcare procesa casi la mitad de todas las reclamaciones médicas de Estados Unidos para aproximadamente 900 000 médicos, 33 000 farmacias, 5500 hospitales y 600 laboratorios.

El ciberataque ha paralizado las operaciones de las farmacias y ha provocado interrupciones generalizadas y problemas en la tramitación de los seguros y la facturación a los pacientes. El incidente pone de relieve la creciente amenaza que supone el ransomware para los servicios críticos, y los expertos piden una intervención urgente del Gobierno.

Violación de datos de Infosys McCamish

En febrero de 2024, Bank of America anunció que los datos de sus clientes se habían visto comprometidos a causa de un incidente de ciberseguridad de Infosys McCamish. El incidente permitió que una parte no autorizada accediera a información confidencial de determinados clientes, incluidos nombres, direcciones, direcciones de correo electrónico profesionales, fechas de nacimiento, números de la Seguridad Social y otra información de cuentas. Recientemente, Infosys McCamish reveló en una actualización a los inversores que la información de aproximadamente 6,5 millones de personas había sido objeto de acceso no autorizado y filtración.

Numerosos informes de inteligencia sobre amenazas indican que Infosys podría haber tenido una higiene de seguridad deficiente y una superficie de ataque externa muy expuesta antes del ataque de ransomware. Esto subraya la necesidad de presionar a los principales proveedores y vendedores para que se adhieran a las mejores prácticas de seguridad más conocidas.

Violación de datos de American Express

En marzo de 2024, American Express reveló que un procesador comercial externo (aún sin nombre) se vio afectado por un incidente de ciberseguridad. Esta violación de seguridad por parte de terceros provocó la filtración de datos confidenciales de los clientes, incluidos números de cuentas de tarjetas American Express actuales o emitidas anteriormente, nombres y otra información de las tarjetas, como las fechas de caducidad.

El ecosistema de las tarjetas de pago es enorme y en él intervienen muchas partes interconectadas, lo que podría dar lugar a violaciones de datos financieros confidenciales. Los consumidores y las empresas deben estar alerta y preparados para actualizar rápidamente la información de las tarjetas de pago.

Violación de datos sobre equidad sanitaria

En julio de 2024, HealthEquity, un proveedor de cuentas de ahorro para gastos médicos (HSA) con sede en Utah, reveló una filtración de datos que afectó a 4,5 millones de clientes en todo el país. Según un portavoz, la filtración se produjo como consecuencia del pirateo de un repositorio de datos gestionado por un tercero.

La información personal comprometida incluía diversos datos sobre la inscripción en prestaciones, como nombres, direcciones, números de teléfono, identificaciones de empleados, empleadores, números de la Seguridad Social e información sobre personas a cargo. El repositorio al que se accedió, alojado por un proveedor de servicios en la nube externo, se encontraba fuera de los sistemas centrales de HealthEquity.

2023 Violaciones de datos de terceros

Violación de datos de proveedores de AT&T

En enero de 2023, se produjo una filtración de datos que afectó a uno de los antiguos proveedores de servicios en la nube de AT&T y que afectó a 8,9 millones de clientes de telefonía móvil. La filtración expuso información de los clientes, como el número de líneas de las cuentas, los saldos de las facturas y los detalles de los planes de tarifas. Aunque no se vieron comprometidos datos altamente confidenciales, los datos expuestos deberían haberse eliminado seis años antes. Como resultado, AT&T acordó pagar 13 millones de dólares en multas a la FCC, mejorar la gestión de los datos de los clientes y aplicar prácticas más estrictas de tratamiento de datos con sus proveedores para evitar futuras filtraciones.

Esta infracción se produjo años después de la finalización del contrato, lo que pone de relieve la importancia de incorporar una gestión exhaustiva de los riesgos de terceros en los procedimientos de salida, incluida la supervisión continua de los proveedores tras la rescisión del contrato.

Progress Software MOVEit Breach

El 31 de mayo de 2023, Progress Software reveló una vulnerabilidad que permite a usuarios no autenticados acceder a su base de datos^MOVEit® Transfer y ejecutar sentencias SQL para alterar o eliminar información. MOVEit Transfer es un software de transferencia de archivos gestionada que forma parte de la plataforma en la nube Progress MOVEit, que consolida todas las actividades de transferencia de archivos en un solo sistema.

Desde que se reveló, la banda de ciberdelincuentes Clop ha aprovechado la vulnerabilidad para atacar a varias organizaciones de diferentes sectores y zonas geográficas, como el proveedor de software de recursos humanos Zellis, la BBC, el gobierno de Nueva Escocia y muchos otros.

Violación de datos de terceros de Okta

En octubre de 2023, Okta reveló que un proveedor de servicios sanitarios había expuesto la información de 5000 empleados de Okta. En el primer incidente, los atacantes robaron credenciales para acceder a su sistema de gestión de casos de asistencia técnica y robar tokens de sesión cargados por los clientes. A principios de noviembre, informaron a sus clientes de que la violación había afectado a todos los usuarios del sistema de asistencia técnica de Okta.
Es probable que el origen de la filtración fuera la cuenta personal de Google de un empleado de Okta que había guardado las credenciales de su cuenta de servicio en su cuenta. Esta última filtración de la unidad de asistencia en octubre es la segunda filtración significativa que afecta a los datos de los clientes de Okta en los últimos dos años.

Policía Metropolitana de Londres

En agosto de 2023, la Policía Metropolitana de Londres sufrió una filtración como consecuencia de un aparente ataque de ransomware contra un proveedor de TI, Digital ID. Se expuso la información confidencial de casi 47 000 agentes y personal de las fuerzas del orden, incluidos policías encubiertos y antiterroristas. La información comprometida incluía datos confidenciales, como los nombres, las fotos, los rangos, los niveles de investigación de antecedentes y los números de identificación de los agentes y el personal.

Violaciones de datos de terceros en 2022

Ataque LASPSUS$ a Okta

En marzo de 2022, la plataforma estadounidense de gestión de identidades y accesos Okta reconoció que un ataque contra un proveedor externo que utilizaban provocó una filtración de datos que afectó aproximadamente al 2,5 % de su base de clientes. Según Okta, el daño se limitó a los permisos de los ingenieros de soporte externos en su plataforma. El grupo de ransomware responsable del ataque, LAPSUS$, tenía la posibilidad de acceder a:

• Tickets de JIRA

• Listas de usuarios

• Restablecer contraseñas

• Restablecer la autenticación multifactorial

Los ataques contra actores críticos del ecosistema de la cadena de suministro se han intensificado en los últimos años, ya que los actores maliciosos buscan cada vez más aprovechar un ataque exitoso para dañar a las empresas de toda la cadena de suministro de software. Las empresas de ciberseguridad pueden correr un riesgo especial debido a su acceso privilegiado a los entornos informáticos de otras organizaciones.

Violación de datos de LastPass

El 22 de diciembre de 2022, la empresa de gestión de contraseñas LastPass anunció que un agente malicioso desconocido había aprovechado la información obtenida durante un incidente de seguridad ocurrido en agosto de 2022 para acceder a un servicio de almacenamiento en la nube de terceros que LastPass utiliza para almacenar copias de seguridad archivadas.

Ataque a la cadena de suministro de Toyota

El 28 de febrero de 2022, Toyota anunció que la empresa suspendía las operaciones en las 28 líneas de producción de 14 plantas de fabricación en Japón durante un día debido a un fallo del sistema de un proveedor, Kojima Industries. Otros socios de Toyota, como Hino Motors y Daihatsu Motor, también se vieron afectados por el cierre. La causa del fallo del sistema de Kojima parece haber sido un ciberataque que impidió las comunicaciones con Toyota y los sistemas de supervisión de la producción.

Violaciones de datos de terceros en el pasado

Vulnerabilidad de Log4J

En diciembre de 2021, los investigadores de seguridad descubrieron CVE-2021-44228, una vulnerabilidad de la biblioteca de registro basada en Java Apache Log4j. La vulnerabilidad de Log4j permite la ejecución remota de código sin autenticación y el acceso al servidor, lo que supone una toma de control total de los sistemas vulnerables. Log4J abrió un riesgo masivo en todo el ecosistema de software de terceros.

Ataque de ransomware a la cadena de suministro de Kaseya

Los ataques al software de supervisión y gestión remota se han convertido en una de las principales preocupaciones de muchos equipos de TI y proveedores de servicios gestionados. El 2 de julio de 2021, Kaseya anunció que unos atacantes habían aprovechado una vulnerabilidad del software VSA de la empresa para lanzar un ataque de ransomware contra los clientes de Kaseya. Decenas de proveedores de servicios de TI y cientos de clientes finales se vieron afectados, lo que provocó daños por valor de millones de dólares.

Al igual que la violación de SolarWinds Orion y otros incidentes recientes de ciberseguridad de terceros, este es otro ejemplo del impacto exponencial potencial de los ataques a la cadena de suministro en la cadena de suministro ampliada.

SolarWinds

La violación de la cadena de suministro de SolarWinds, denunciada por primera vez en diciembre de 2020, afectó a más de 18 000 usuarios de su producto de gestión de redes Orion. La violación de la cadena de suministro de SolarWinds sigue causando estragos entre los clientes de Orion en todo el mundo, que continúan identificando y mitigando sus riesgos. La lista de empresas afectadas incluye importantes organismos gubernamentales y empresas estadounidenses:

• Departamento de Energía

• Departamento del Tesoro

• Departamento de Comercio

• Gobiernos estatales y locales

• Departamento de Estado

• Departamento de Seguridad Nacional

• Institutos Nacionales de Salud

• El Departamento de Defensa

Entre las empresas privadas afectadas por la violación se encuentran Microsoft y FireEye. Este incidente de seguridad supuso un duro golpe para la seguridad nacional de EE. UU., ya que puso de manifiesto importantes fallos en la defensa de la ciberseguridad. Consciente del impacto potencialmente perjudicial para las operaciones de las empresas, Prevalent publicó una evaluación gratuita de la gestión de eventos e incidentes para sus clientes poco después de que se informara por primera vez de la violación.

Capital One

En 2019, Capital One informó de una violación de datos que afectó a más de 100 millones de clientes y que involucró datos que se remontaban a una década atrás. La Oficina del Contralor de la Moneda citó el fracaso «en establecer procesos eficaces de evaluación de riesgos» antes de trasladar la infraestructura informática y los datos a la nube pública como una de las principales causas de la violación. Capital One fue multada con más de 80 000 000 dólares por la violación.

GE

La violación de datos de GE en 2020 demuestra que un incidente de seguridad puede dañar no solo las relaciones con los clientes, sino también las relaciones con los empleados y la confianza en la empresa. El proveedor de gestión de documentos de recursos humanos de General Electric, Canon Business Process Service, sufrió una violación de datos a principios de 2020. En el incidente se expuso información confidencial de más de 200 000 empleados actuales y antiguos, incluyendo información sobre prestaciones y datos médicos personales (PHI), entre otros. También quedaron expuestos certificados de defunción, órdenes de manutención médica infantil, formularios de retención de impuestos, formularios de designación de beneficiarios y solicitudes de prestaciones como jubilación, indemnización por despido y prestaciones por fallecimiento, junto con los formularios y documentos relacionados.

Adobe

En 2019, más de 7 millones de registros de usuarios de Adobe Creative Cloud quedaron expuestos porque una base de datos interna de Elasticsearch se dejó expuesta en línea sin protección mediante contraseña. La información incluía nombres de usuario e información de cuentas de clientes, pero no datos financieros ni contraseñas de usuarios. Aunque la filtración no incluyó credenciales de usuario como nombres, contraseñas o información financiera, el incidente supuso un perjuicio para los usuarios. Los hackers que utilizan técnicas de spear phishing pueden enviar correos electrónicos a cuentas de alto valor, obtener contraseñas y venderlas en la dark web. Cualquier filtración de información de clientes, por pequeña que sea, puede suponer un riesgo enorme.

Marriott

Cuando Marriott adquirió Starwood en 2016, la empresa heredó una plataforma de reservas comprometida que dio lugar a demandas judiciales y daños a la reputación tras anunciarse la violación de seguridad en 2018. Los actores maliciosos tuvieron acceso directo a las redes y sistemas de Starwood desde 2014. Los atacantes mantuvieron el acceso a los sistemas de Starwood hasta que se descubrió y reveló la violación de seguridad en 2018. Los actores maliciosos robaron información confidencial de hasta 500 millones de huéspedes, incluyendo información de contacto, datos cifrados de tarjetas de crédito, números de pasaporte e historiales de viajes.

En 2020, Marriott anunció una segunda filtración que afectó a más de 5 millones de cuentas de clientes y comprometió direcciones, fechas de nacimiento, números de teléfono e información de tarjetas de fidelidad. Esta filtración de datos de terceros se debió al robo del acceso corporativo a los sistemas de dos propietarios de franquicias de Marriott. Es importante supervisar a cualquier tercero que tenga acceso a la información de la infraestructura de su empresa, incluso si se trata de una organización asociada, como un franquiciado. Es frecuente que los franquiciados no cumplan los mismos requisitos de ciberseguridad que su empresa matriz, lo que expone a toda la organización a riesgos.

Objetivo

En 2013, la gran cadena minorista Target fue víctima de un ciberataque que comprometió los datos de más de 70 millones de consumidores. Durante esta importante violación de seguridad por parte de terceros, uno de los contratistas de climatización de Target fue víctima de un ataque de spear phishing que filtró números de tarjetas de crédito, códigos de seguridad, números de teléfono y nombres completos.

Los hackers accedieron a la red corporativa de Target con credenciales robadas e instalaron malware en los dispositivos POS de Target. El malware instalado recopiló datos confidenciales de los clientes entre noviembre y diciembre de 2013. La violación de Target es un claro ejemplo de cómo incluso los programas de seguridad de la información mejor financiados pueden verse fácilmente comprometidos a través de vulnerabilidades de seguridad en productos y servicios de terceros.

Mejores prácticas para prevenir violaciones de seguridad por parte de terceros a lo largo del ciclo de vida del proveedor

Gestionar eficazmente el riesgo a lo largo de toda la cadena de suministro ampliada puede resultar difícil, especialmente para las grandes organizaciones. Sin embargo, hay varias medidas que puede tomar para comprender mejor su entorno de riesgo y mitigar el impacto de los posibles riesgos de terceros. Estas son las recomendaciones de Prevalent para ayudar a mitigar el riesgo de una violación de datos de terceros a lo largo del ciclo de vida del proveedor.

Tenga en cuenta la seguridad de la información durante la búsqueda y selección de proveedores.

A medida que su infraestructura de TI se integra cada vez más con terceros y cuartos, es fundamental tener en cuenta la seguridad de la información durante la búsqueda y selección de proveedores. Al considerar proveedores con un alto grado de riesgo perfilado en función de su acceso a los datos y sistemas confidenciales de su organización, dé prioridad a aquellos con una madurez demostrable en materia de seguridad de la información. Vale la pena preguntarse:

• ¿El proveedor trabaja con otros clientes empresariales con necesidades complejas en materia de seguridad de la información?
• ¿Cuenta el proveedor con los controles de seguridad necesarios para cumplir con los requisitos que se derivarían de su organización? (por ejemplo, HIPAA, CMMC, GDPR)
• ¿Cuál es el historial del proveedor en materia de seguridad de la información? ¿Ha tenido múltiples casos públicos de violaciones de datos o incumplimientos normativos?

Considere la posibilidad de aprovechar el software de gestión de riesgos de terceros o las redes de inteligencia de riesgos de proveedores para informar su proceso de abastecimiento y selección con datos preinstalados sobre riesgos de ciberseguridad.

Establezca expectativas contractuales claras sobre cómo se almacenan y transfieren los datos.

Muchas organizaciones no tienen en cuenta la gestión de riesgos de los proveedores a la hora de crear sus procesos de gestión de contratos con proveedores. Tu organización debería tener políticas claras sobre cuándo se puede compartir con terceros información personal, datos de clientes u otra información confidencial. Por ejemplo, podrías pensar en incluir cláusulas claras sobre cuándo se puede compartir información confidencial con cuartos y más allá.

Realizar un seguimiento continuo de los terceros con acceso a datos o sistemas confidenciales.

Se debe supervisar a los proveedores para detectar cualquier acceso no autorizado a datos personales u otra información confidencial. Aunque el proveedor no actúe con malicia, sus sistemas informáticos podrían haber sido comprometidos, lo que provocaría la propagación de malware a los sistemas de su organización. Se debe supervisar a cualquier proveedor con acceso a sus activos informáticos durante todo el tiempo que dure dicho acceso.

Además, debe practicar una supervisión proactiva y externa por parte de terceros para todos los proveedores que manejan su información confidencial. Las organizaciones cambian sus programas de seguridad de la información con el tiempo, y lo que se informó originalmente en su cuestionario de evaluación de riesgos de proveedores puede no ser válido unos meses más tarde. Además, un enfoque de supervisión proactiva puede ayudarle a detectar posibles violaciones de datos antes de que se produzcan. Al supervisar la web oscura, Pastebin y otras áreas donde se publican credenciales robadas, puede saber si alguno de sus proveedores se ha visto comprometido.

Preste atención a los requisitos normativos.

Las normativas sobre seguridad de la información y privacidad de datos se han endurecido considerablemente en la última década. Solo en los últimos años, hemos asistido a la introducción del RGPD, la CCPA, la Ley Shield de Nueva York y otras muchas exigencias normativas. Es muy probable que el escrutinio normativo siga aumentando a medida que surjan nuevas infracciones por parte de terceros.

Exigir a los proveedores que verifiquen de forma independiente sus prácticas de seguridad de la información.

Los cuestionarios de evaluación de riesgos de terceros pueden ser de gran ayuda para determinar si los proveedores están tomando las medidas de seguridad de la información adecuadas. Sin embargo, en algunos casos, es posible que desee considerar la posibilidad de exigir a los posibles proveedores que obtengan la certificación de una norma de seguridad de la información. Por ejemplo, el Departamento de Defensa ha promovido recientemente la Certificación del Modelo de Madurez de Ciberseguridad. Esta normativa exige que los contratistas que trabajan con el Departamento de Defensa obtengan la certificación según una norma de cinco niveles establecida por el DOD en función del tipo de información con la que trabaja el contratista.

Su organización puede adoptar un enfoque similar a la hora de abordar las preocupaciones de ciberseguridad de los proveedores. Para muchos proveedores, especialmente aquellos que no manejan grandes cantidades de datos confidenciales, puede bastar con un sencillo cuestionario de evaluación de riesgos. Sin embargo, en el caso de los proveedores que necesitan acceder a datos y sistemas privados, tal vez convenga exigir el cumplimiento de una norma externa, como SOC 2 o NIST CSF.

Obtenga visibilidad en la cadena de suministro ampliada

El primer paso de cualquier programa de ciberseguridad es obtener visibilidad de los activos de TI. Lo mismo ocurre con el riesgo de terceros. Es necesario comprender no solo qué terceros se utilizan en toda la empresa ampliada, sino también quiénes componen sus cadenas de suministro hasta los proveedores de cuarta y enésima parte. Por regla general, cuanto más crítico es el proveedor o más datos tiene acceso, más visibilidad se necesita de sus cadenas de suministro ampliadas. Los ataques a Kaseya y SolarWinds son ejemplos ilustrativos de cómo las prácticas de seguridad de las cuartas partes pueden tener efectos en cadena en toda la cadena de suministro.

Audite su proceso de salida de empleados

La salida efectiva de los proveedores es uno de los elementos más importantes de un programa de gestión de riesgos de terceros y es esencial para prevenir violaciones de datos de terceros. La mayoría de las organizaciones cuentan con algún tipo de proceso de salida para terceros y contratistas, pero en un entorno corporativo ajetreado, este puede pasarse por alto. Esfuércese por auditar de forma rutinaria los procesos de salida de los proveedores externos en varios departamentos. Asegúrese de que los permisos y el acceso se revoquen por completo en todos los departamentos para cumplir con la política corporativa y las regulaciones gubernamentales.

Próximos pasos para prevenir violaciones de datos por parte de terceros

¿Se pregunta qué grado de preparación tiene su organización ante una filtración de datos por parte de terceros? ¿Le interesa saber cómo puede ayudarle Mitratech? Obtenga más información sobre nuestra solución de gestión de riesgos de terceros y nuestros servicios de evaluación de riesgos de proveedores, o solicite una demostración.

Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.