La guía definitiva para una supervisión eficaz de los riesgos de terceros

Un programa integral de supervisión de riesgos de terceros puede ayudarle a mitigar el impacto de las filtraciones de datos de proveedores, las interrupciones de la cadena de suministro y la prensa negativa en su organización.

Imagen decorativa

Las filtraciones de datos provocadas por terceros representan ahora el 35,5 % del total de filtraciones confirmadas a nivel mundial, lo que supone un aumento con respecto al 29 % del año anterior, según el último Informe global sobre filtraciones de datos provocadas por terceros de SecurityScorecard. La diferencia entre ambas cifras supone miles de incidentes, miles de millones en pérdidas y un cambio fundamental en el origen real del riesgo empresarial.

Las autoridades reguladoras se han puesto al día. La ley DORA entró en vigor en enero de 2025 con requisitos explícitos de supervisión continua para los proveedores externos de TIC. La postura de la OFAC en materia de cumplimiento se ha orientado hacia la responsabilidad de los «guardianes», exigiendo a las organizaciones que rindan cuentas de lo que hacen sus proveedores en su nombre. Para las empresas de sectores regulados, la supervisión de los riesgos de terceros es ahora un requisito de cumplimiento normativo.

Qué hay dentro:
  1. ¿Qué es la supervisión de riesgos de terceros?
  2. ¿Por qué el seguimiento continuo es más eficaz que la evaluación periódica?
  3. ¿Qué lugar ocupa la supervisión de los riesgos de terceros en el ciclo de vida de la gestión de riesgos de terceros (TPRM)?
  4. ¿Cuáles son los cinco ámbitos de la supervisión de riesgos de terceros?
  5. ¿Qué exigen ahora las autoridades reguladoras a los programas de supervisión de terceros?
  6. ¿Cuáles son las deficiencias más habituales en los programas de supervisión de terceros?
  7. ¿Cómo se crea un programa de supervisión de riesgos de terceros?
  8. Preguntas frecuentes

¿Qué es la supervisión de riesgos de terceros?

La supervisión de riesgos de terceros (supervisión TPRM) —también conocida como supervisión de proveedores externos o supervisión de riesgos de proveedores— es la práctica de recopilar y analizar de forma continua datos observables externamente sobre proveedores, suministradores y prestadores de servicios, con el fin de identificar riesgos de ciberseguridad, financieros, reputacionales, operativos y geopolíticos antes de que afecten a su organización. Se trata de un componente fundamental de cualquier programa maduro de gestión de riesgos de terceros (TPRM) y ocupa un lugar central tanto en la gestión de riesgos de proveedores (VRM) como en la metodología de gestión de riesgos de la cadena de suministro.

La distinción entre seguimiento y evaluación es fundamental. Una evaluación de riesgos es periódica: consiste en un cuestionario o una auditoría que se realiza en un momento concreto, ya sea durante el proceso de incorporación o según un calendario definido. El seguimiento es continuo: se trata de un flujo constante de información sobre lo que realmente ocurre con tus proveedores entre un ciclo de evaluación y otro.

Ambos aspectos son complementarios. Cada uno cumple una función distinta que el otro no puede sustituir. Una evaluación te permite conocer lo que un proveedor afirma sobre sus controles de seguridad. La supervisión te permite comprobar si su situación real se ajusta a esas afirmaciones y si dicha situación ha cambiado desde la última vez que lo comprobaste.

 

Supervisar de forma continua los riesgos relacionados con terceros para subsanar las deficiencias

¿Por qué el seguimiento continuo es más eficaz que la evaluación periódica?

Los cuestionarios para proveedores ofrecen una instantánea. Te indican cómo eran los controles de tu proveedor en el momento en que rellenó el formulario. Entre ese formulario y tu próxima evaluación programada, un proveedor puede sufrir una filtración de datos, recibir una multa regulatoria, aparecer mencionado en una auditoría sobre esclavitud moderna, verse expuesto a sanciones secundarias o experimentar un cambio en su equipo directivo que altere por completo su perfil de riesgo. Nada de eso sale a la luz en tu programa a menos que lo estés supervisando activamente.

La mayoría de los incidentes relacionados con terceros se producen en el intervalo entre ciclos de evaluación.

Para cerrar esa brecha es necesario contar con una inteligencia «de fuera hacia dentro» constante: un seguimiento continuo de lo que realmente se puede observar sobre tus proveedores en el mundo, y no solo de lo que ellos mismos informan sobre sí mismos.

Somete tu programa a pruebas de estrés en cada una de las etapas del ciclo de vida del proveedor.

Obtenga la lista de verificación

¿Qué lugar ocupa la supervisión de los riesgos de terceros en el ciclo de vida de la gestión de riesgos de terceros (TPRM)?

La supervisión de los riesgos de terceros resulta más eficaz cuando funciona como un hilo conductor continuo a lo largo de todo el ciclo de vida del proveedor: conectando la diligencia debida en la incorporación, la evaluación continua, la gestión de contratos y la baja del proveedor en una visión única y en constante evolución del riesgo que supone el proveedor. La supervisión es lo que mantiene esa visión actualizada entre los puntos de contacto programados.

 

¿Cuáles son los cinco ámbitos de la supervisión de riesgos de terceros?

¿Cuáles son los cinco ámbitos de la supervisión de riesgos de terceros?

    1. Riesgo de ciberseguridad: Las vulnerabilidades cibernéticas son el tipo de riesgo más frecuente en los programas de supervisión de terceros y el que evoluciona más rápidamente. Los autores de las amenazas se centran específicamente en los ecosistemas de proveedores porque un único punto de compromiso les proporciona acceso a múltiples organizaciones posteriores en la cadena. Una supervisión eficaz requiere la búsqueda de credenciales expuestas en la dark web, vulnerabilidades abiertas en sistemas conectados a Internet y señales procedentes de foros delictivos y sitios de intercambio de información. Vendor Threat Monitor automatiza esta vigilancia en todas las carteras de proveedores y debería extenderse a las relaciones con terceros, donde los puntos ciegos normativos suelen generar el mayor riesgo de sufrir una brecha de seguridad.
    2. Riesgo financiero y reputacional: La inestabilidad financiera de un proveedor puede afectar a su capacidad para recibir los servicios contratados. Una multa regulatoria o una infracción ética de gran repercusión mediática exponen a su marca por asociación. Ambas situaciones requieren capacidades de supervisión que vayan más allá de las herramientas estándar de inteligencia en ciberseguridad. La supervisión continua de los riesgos financieros y reputacionales realiza un seguimiento de la información financiera pública y privada, las noticias negativas en los medios, las medidas coercitivas de las autoridades reguladoras y los procedimientos judiciales. El objetivo es la alerta temprana: estar al tanto antes de que la situación de un proveedor se convierta en una crisis que afecte a sus operaciones o a su reputación.
    3. Trabajo, esclavitud moderna y riesgo ESG: Las autoridades reguladoras de diversas jurisdicciones exigen ahora a las organizaciones que lleven a cabo una diligencia debida continua en todas sus cadenas de suministro para detectar posibles violaciones de los derechos humanos y del medio ambiente, con procesos documentados para identificar, prevenir y subsanar dichas violaciones. Entre los marcos normativos clave se incluyen la Ley británica contra la esclavitud moderna de 2015, la Ley australiana contra la esclavitud moderna, la Ley de California sobre transparencia en las cadenas de suministro y la Ley alemana de diligencia debida en la cadena de suministro (Lieferkettensorgfaltspflichtengesetz, o LkSG), en vigor desde enero de 2023 para empresas con más de 3.000 empleados y que se ampliará a aquellas con más de 1.000 empleados a partir de enero de 2024. La Directiva de la UE sobre la diligencia debida en materia de sostenibilidad empresarial (CS3D), adoptada originalmente en 2024 y modificada sustancialmente por la Directiva Ómnibus I de la UE en febrero de 2026, se aplica ahora a las empresas con más de 5.000 empleados y una facturación de 1.500 millones de euros; los Estados miembros deben transponerla antes del 26 de julio de 2028 y las obligaciones de cumplimiento entrarán en vigor a partir del 26 de julio de 2029. El seguimiento en este ámbito combina una evaluación, basada en encuestas, de las prácticas laborales de los proveedores con información externa continua que permite verificar si las declaraciones se ajustan a la realidad operativa.
    4. Riesgo geopolítico: El riesgo de ecosistema es la característica definitoria de la exposición actual a las sanciones. Las designaciones de abril de 2026 de Hengli Petrochemical y más de 40 entidades navieras afiliadas, sancionadas por la OFAC por su participación en la «flota en la sombra» petrolera de Irán, muestran cómo los reguladores se centran cada vez más en redes completas de la cadena de suministro de forma simultánea: compradores, intermediarios logísticos y buques. Las empresas acaban expuestas a través de relaciones que se encuentran a varios niveles de distancia de la infracción principal.Los riesgos en cascada relacionados con los aranceles y la incorporación de terceros están surgiendo desde una perspectiva diferente. Las investigaciones paralelas de la Sección 301 de la USTR —una que abarca 16 países por exceso de capacidad de fabricación y otra que abarca 60 por incumplimientos en la aplicación de la normativa sobre trabajo forzoso— tienen como objetivo concluir antes del 24 de julio de 2026, fecha en la que expiran los aranceles de emergencia de la Sección 122. Las empresas que están reorientando su abastecimiento en respuesta a esta situación están incorporando a nuevos proveedores a un ritmo más rápido de lo que permiten los ciclos habituales de diligencia debida, lo que introduce relaciones no verificadas en puestos críticos de la cadena de suministro.

Seis factores geopolíticos que tu programa de TPRM debería tener en cuenta

  • Supervisar en tiempo real los cambios en las listas de sanciones de la OFAC, la UE, la ONU y el Reino Unido: señalar si alguno de los proveedores actuales o sus subencargados del tratamiento figuran en las listas actualizadas
  • Analiza la exposición a sanciones secundarias: comprueba si tus proveedores realizan transacciones con entidades designadas o con contrapartes de países sujetos a sanciones generales, incluso si los propios proveedores no figuran en la lista de entidades designadas.
  • Seguir de cerca la evolución de la investigación arancelaria y la investigación en virtud del artículo 301 de la USTR que afectan a las relaciones con los países proveedores
  • Esté atento a los cambios en el control de las exportaciones, las obligaciones de localización de datos y las restricciones a la inversión extranjera en las jurisdicciones en las que operan los principales proveedores.
  • Identificar los episodios de inestabilidad geopolítica —conflictos armados, cambios de régimen o expropiaciones por parte del Gobierno— en las jurisdicciones donde se concentran los principales proveedores o sus proveedores clave
  • Análisis de personas políticamente expuestas (PEP) y de la exposición a empresas estatales (SOE): el análisis de PEP identifica a personas que ocupan cargos de autoridad pública o que están vinculadas a ellos; el análisis de SOE señala a las entidades de propiedad estatal o vinculadas al gobierno que pueden suponer un riesgo normativo o reputacional. Las puntuaciones del Índice de Percepción de la Corrupción (CPI) aportan un contexto adicional a nivel nacional para las relaciones con proveedores en jurisdicciones de alto riesgo.
  1. Riesgo de cuarta y enésima parte: Las cuartas partes son los proveedores de tus proveedores. No están vinculadas contractualmente a tu organización, pero pueden afectar significativamente a tu perfil de riesgo. Ampliar la visibilidad de la supervisión a las cuartas partes requiere una recopilación sistemática de información sobre la cadena de suministro ampliada, incluido el escaneo pasivo. El escaneo pasivo debe identificar las tecnologías que utilizan las cuartas partes y contrastar esa información con los perfiles de tus proveedores directos para identificar el riesgo de concentración antes de que se convierta en un vector de violación de seguridad.

¿Qué exigen ahora las autoridades reguladoras a los programas de supervisión de terceros?

Los marcos que se indican a continuación se han elaborado específicamente para entornos en los que los perfiles de riesgo de los proveedores pueden variar de forma significativa entre los ciclos de evaluación anuales. Sus requisitos de seguimiento presuponen una visibilidad continua, y no simples instantáneas basadas en el calendario. Para las organizaciones incluidas en el ámbito de aplicación, la evaluación periódica por sí sola constituye una deficiencia en materia de cumplimiento.

La DORA, la Ley de Resiliencia Operativa Digital de la UE, entró en vigor el 17 de enero de 2025. El artículo 28 exige a las entidades financieras de la UE que mantengan un registro exhaustivo de los acuerdos contractuales con terceros proveedores de servicios de TIC, que supervisen de forma continua el cumplimiento de dichos proveedores y que establezcan estrategias de salida documentadas para los proveedores de TIC críticos. La DORA designa a los proveedores terceros críticos (CTPP) bajo la supervisión directa de las Autoridades Europeas de Supervisión. Las autoridades nacionales competentes presentaron los registros iniciales de TIC a las AES antes del 30 de abril de 2025.

La Ley alemana de diligencia debida en la cadena de suministro (LkSG), en vigor desde enero de 2023, exige a las empresas que cumplan los umbrales de aplicación establecidos que apliquen medidas de diligencia debida en materia de derechos humanos y medio ambiente de forma continua a lo largo de sus cadenas de suministro directas e indirectas, con procesos documentados para identificar, prevenir y subsanar las infracciones. La ley exige la realización de un análisis de riesgos anual, así como una reevaluación inmediata cuando las condiciones de la cadena de suministro cambien de forma significativa.

Los requisitos de resiliencia operativa de la Autoridad de Conducta Financiera y la Autoridad de Regulación Prudencial del Reino Unido, que entraron plenamente en vigor en marzo de 2025, establecen niveles de tolerancia al impacto para los servicios empresariales importantes y exigen que se realicen pruebas demostrables de resiliencia, incluidas las dependencias de los proveedores. Las empresas deben establecer una correspondencia entre sus servicios empresariales importantes y los acuerdos con terceros que los sustentan, y demostrar que pueden mantenerse dentro de los límites de tolerancia.

Las directrices de la OFACsobre el cumplimiento de las sanciones exigen a las organizaciones que mantengan programas de cumplimiento basados en el riesgo que incluyan la evaluación de proveedores.

¿Cuáles son las deficiencias más habituales en los programas de supervisión de terceros?

  • Perfiles de riesgo congelados en la fase de incorporación
    La mayoría de las organizaciones invierten mucho en la diligencia debida previa a la incorporación y llevan a cabo un seguimiento limitado una vez que el proveedor está operativo. Un programa de seguimiento que considera la evaluación inicial como un estado fijo pasa por alto sistemáticamente el factor más común que impulsa la evolución del riesgo de los proveedores.
  • La supervisión se limita únicamente a los proveedores de primer nivel
    Las organizaciones que cuentan con sólidos programas de proveedores directos suelen carecer de visibilidad sobre las relaciones con terceros. Esta es la laguna que los organismos reguladores están subsanando. Si su programa se limita al contrato de primer nivel, finaliza antes de que lo haga el riesgo.
  • La supervisión de la ciberseguridad como solución integral
    La inteligencia en materia de ciberseguridad es la capacidad de supervisión más consolidada en la mayoría de los programas, pero también suele ser la de alcance más limitado. Los programas que se basan únicamente en la supervisión de la ciberseguridad pasan por alto las categorías de riesgo que provocan interrupciones en la cadena de suministro y responsabilidades normativas.
  • Volumen de alertas sin lógica de clasificación
    Sin una lógica de escalado por niveles organizada según la criticidad del proveedor y el ámbito de riesgo, la monitorización genera más ruido que información útil. Define las rutas de escalado por tipo de alerta y nivel de criticidad del proveedor antes de que se produzca la primera alerta.
  • El seguimiento geopolítico se aborda de forma puntual
    La mayoría de los programas carecen de un proceso estructurado para realizar un seguimiento de los cambios en las listas de sanciones o de los giros en la política comercial, en la medida en que estos afectan a las relaciones con proveedores concretos. Hoy en día, esa carencia supone un riesgo de cumplimiento normativo, no una deficiencia operativa.

¿Cómo se crea un programa de supervisión de riesgos de terceros?

Para crear un programa eficaz hay que tomar las decisiones adecuadas en seis ámbitos, más o menos en este orden.

  1. En primer lugar, segmenta el inventario de proveedores. Configura la supervisión en función de tu estructura de niveles de criticidad y riesgo antes de seleccionar ninguna herramienta. Los proveedores críticos con acceso a datos o dependencia operativa requieren una supervisión continua y exhaustiva; los proveedores de niveles inferiores pueden necesitar una cobertura más ligera, complementada con evaluaciones periódicas. Trata el inventario como un documento en constante evolución: la incorporación de un nuevo proveedor activa su inclusión en el sistema, y cualquier cambio sustancial en el alcance del proveedor implica una reevaluación del nivel de profundidad de la supervisión.
  2. Define tus ámbitos de supervisión antes de seleccionar las herramientas. Asigna los ámbitos a la taxonomía de riesgos de tu proveedor. La ciberseguridad abarca un perfil distinto al de las dificultades financieras o la detección de sanciones; los programas que se centran exclusivamente en la ciberseguridad pasan por alto las categorías normativas y geopolíticas que, cada vez más, determinan la responsabilidad en la cadena de suministro.
  3. Combina la información de inteligencia externa con los datos de evaluación internos. Ambos deben poder consultarse en una única vista de riesgos, en lugar de gestionarse como procesos paralelos con responsables distintos. Combina los datos de evaluación procedentes de cuestionarios y auditorías con la información de inteligencia externa. Cuando los controles declarados por el propio proveedor difieren de su postura observable, esa discrepancia es precisamente donde reside tu exposición al riesgo.
  4. Define la lógica de clasificación de alertas antes de que llegue la primera alerta. Especifica qué se considera una alerta importante para cada ámbito de riesgo, asigna claramente la responsabilidad y establece vías de escalado según el tipo de alerta y el nivel de criticidad del proveedor. Sin una lógica por niveles, la monitorización continua genera ruido más rápido de lo que se tarda en tomar decisiones.
  5. Identifica las dependencias de cuarta parte de tus proveedores de mayor criticidad. Da prioridad a la visibilidad de las relaciones con los subcontratistas en las que las partes de cuarta tengan acceso directo a tus sistemas o datos y, a continuación, amplía la cobertura según el nivel de riesgo.
  6. Integra las alertas de supervisión con los flujos de trabajo de evaluación, corrección y baja. Define qué tipos de alertas activan la revisión del contrato, la corrección o la baja, y quién tiene autoridad para actuar. La baja es el punto de integración más descuidado en la mayoría de los programas: una relación con un proveedor que finaliza sin revocar el acceso y sin confirmar la rescisión contractual introduce un riesgo residual que la supervisión ya no puede abordar.

La plataforma TPRM de Mitratech está diseñada para poner en práctica cada uno de estos pasos a gran escala, desde el inventario de proveedores por niveles y la supervisión de riesgos en múltiples ámbitos hasta la clasificación automatizada de alertas y los flujos de trabajo de baja de proveedores. Vendor Threat Monitor, integrado en la plataforma TPRM de Mitratech, ofrece una vigilancia continua de la dark web y de la inteligencia sobre amenazas en toda tu cartera de proveedores, abarcando los foros delictivos, los sitios de pegado de enlaces y las fuentes de información sobre amenazas que los programas manuales pasan por alto.

Para los equipos que no cuenten con personal dedicado a la gestión de riesgos de terceros (TPRM), el Centro de Operaciones de Riesgos (ROC) de Mitratech puede encargarse de poner en práctica estos pasos en su nombre, desde la realización de la evaluación hasta la coordinación de las medidas correctivas y la supervisión continua. Para los equipos que estén creando o perfeccionando una función de supervisión de riesgos de terceros, Mitratech ofrece la estructura necesaria para pasar de una evaluación puntual a una cobertura continua y clasificada por niveles de riesgo.

Descubre cómo Mitratech te ayuda con tu programa de TPRM

Hable con un experto

Preguntas frecuentes

¿Cuál es la diferencia entre la supervisión de riesgos de terceros y la evaluación de riesgos de proveedores?
Una evaluación de riesgos de proveedores es un proceso periódico, basado en cuestionarios, que evalúa los controles de seguridad, las prácticas de cumplimiento normativo y la situación de riesgo de un proveedor en un momento determinado. La supervisión de riesgos de terceros es continua: recopila de forma permanente, entre una evaluación y otra, señales observables externamente sobre la situación de ciberseguridad, la situación financiera, la reputación y la exposición normativa de un proveedor. Ambas son complementarias: las evaluaciones aportan profundidad; la supervisión, continuidad.

¿Qué tipos de riesgos debe cubrir un programa de supervisión de terceros?
Un programa integral supervisa cinco ámbitos: ciberseguridad (exposición en la dark web, información sobre vulnerabilidades, fugas de credenciales), riesgo financiero y reputacional (noticias negativas en los medios, medidas reguladoras, inestabilidad financiera), riesgo laboral y ESG (esclavitud moderna, obligaciones de diligencia debida en la cadena de suministro), riesgo geopolítico (cambios en las listas de sanciones, exposición a sanciones secundarias, evolución de las políticas comerciales) y riesgo de cuartos. Los programas que solo supervisan la ciberseguridad pasan por alto las categorías que, cada vez más, provocan perturbaciones en la cadena de suministro y responsabilidad regulatoria.

¿Exige la DORA una supervisión continua de terceros?
Sí. La DORA, que entró en vigor el 17 de enero de 2025, exige a las entidades financieras de la UE que mantengan un registro exhaustivo de los acuerdos con proveedores de servicios de TIC externos y que supervisen de forma continua el cumplimiento de dichos proveedores. Los proveedores externos críticos de TIC (CTPP) están sujetos a una supervisión adicional ejercida directamente por las Autoridades Europeas de Supervisión. Las organizaciones sujetas a la DORA también deben documentar estrategias de salida para los proveedores críticos y realizar evaluaciones de riesgo de concentración en materia de TIC.

¿Cómo se relaciona el seguimiento de los riesgos geopolíticos con el cumplimiento de las sanciones de la OFAC?
La postura de la OFAC en materia de aplicación de la normativa ha evolucionado hacia la responsabilidad del «guardián», es decir, se considera a las organizaciones responsables de las infracciones de las sanciones que se produzcan a través de sus relaciones con los proveedores, y no solo de sus transacciones directas. Un programa de seguimiento que supervise en tiempo real las actualizaciones de las listas de sanciones de la OFAC, la UE, la ONU y el Reino Unido, y que compruebe si los proveedores y sus subencargados del tratamiento figuran en dichas listas, es un componente esencial de un programa de cumplimiento de sanciones que pueda defenderse ante los tribunales.

¿En qué consiste una supervisión eficaz de los riesgos de cuarta parte?
La supervisión de cuarta parte comienza con la identificación: determinar cuáles son los subcontratistas, proveedores y prestadores de servicios de los que dependen sus proveedores directos, especialmente cuando dichas cuartas partes tienen acceso a sistemas o datos que afectan a su organización. La supervisión implica la recopilación de información sobre la cadena de suministro ampliada —la situación en materia de ciberseguridad, la exposición a sanciones, los incidentes operativos— en lugar de una evaluación directa basada en cuestionarios. Las organizaciones deben dar prioridad a la visibilidad de los terceros de cuarto nivel en sus relaciones con los proveedores de mayor criticidad y, a continuación, ampliar la cobertura en función del nivel de riesgo y las obligaciones normativas.

Nota del editor: Esta entrada se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió Prevalent, una solución de gestión de riesgos de terceros basada en inteligencia artificial. Desde entonces, el contenido se ha actualizado para incluir información acorde con nuestra oferta de productos, los cambios normativos y los requisitos de cumplimiento.