NIS2 y Seguridad Cibernética en la Cadena de Suministro: cómo cambia la relación cliente-proveedor.

El depender de terceros representa ahora una realidad para cualquier empresa, grande o pequeña. Los proveedores de servicios digitales, software de terceros, plugins, y los consultores: todos estos elementos constituyen la cadena de suministro digital y pueden convertirse en puntos débiles fáciles. La directiva europea NIS2 y regulaciones sectoriales como el DORA (para el fintech) impulsan hoy a las empresas a desarrollar una mayor conciencia y capacidad de gobernanza para contener estos riesgos.

Veamos algunos ejemplos de riesgos concretos

• Tenemos un proveedor externo comprometido:
  Si un proveedor de servicios digitales sufre un ataque cibernético, sus sistemas pueden dejar de funcionar. Por ejemplo, si el CRM en la nube se bloquea, la empresa cliente no puede gestionar más clientes y ventas: el negocio se detiene y sufre daños de varias naturalezas.

  
  

• Dependemos del navegador y plugins: en muchas organizaciones, el navegador es el espacio donde se realizan la mayoría de las transacciones (pensemos incluso en acciones diarias simples) y se utilizan aplicaciones y flujos de trabajo empresariales. La verdad es que cada plugin instalado representa un posible factor de riesgo: si es vulnerable, puede exponer datos sensibles o comprometer procesos críticos.
  
  

Lo que nos recuerda la historia: El caso "CrowdStrike / Windows” — julio 2024: la actualización que provocó un apagón global

A propósito de cómo los deberes de gobernanza y gestión del riesgo reducen la probabilidad de incidentes devastadores y, sobre todo, sus eventos “nefastos”, relatamos el caso famoso de una actualización de Windows. 

Era la mañana del 19 de julio de 2024. Para millones de personas, parecía un día cualquiera: oficinas que se abrían regularmente, frenéticos check-in en los aeropuertos, cajeros automáticos en funcionamiento, hospitales listos para manejar las emergencias.
Luego, de repente, las computadoras comenzaron a apagarse. Pantallas azules, reinicios infinitos, sistemas que no volvían a arrancar. Imaginen el pánico general.

¿La causa? No fue un ataque de hackers, no se trataba de un apagón eléctrico, sino de una actualización defectuosa.

CrowdStrike, uno de los principales proveedores de seguridad informática del mundo, había distribuido recién un update a su software Falcon Sensor para Windows. En menos de dos horas, la actualización llevó al colapso repentino de 8,5 millones de dispositivos Windows en todo el mundo.

Los efectos fueron inmediatos y devastadores:

• Aeropuertos paralizados: Delta Air Lines canceló más de 7.000 vuelos en cinco días. Miles de pasajeros quedaron varados en tierra, presumiblemente descontentos y se registraron pérdidas por más de 500 millones de dólares.

• Servicios bancarios y públicos totalmente colapsados: cajeros cerrados, transacciones interrumpidas.

• Hospitales y servicios de salud ralentizados por sistemas que no volvían a arrancar, creando pánico a todos los niveles.

• Proveedores globales de cloud como Azure y Google Compute empezaron a mostrar signos del colapso en cadena.

Una actualización de seguridad, creada para proteger, se había transformado en un trágico evento dominó a nivel mundial.

La lección de la historia: el caso “CrowdStrike / Windows”

Aquel día puso en evidencia una verdad realmente incómoda: incluso los gigantes de la seguridad pueden convertirse en un punto de vulnerabilidad. No se necesita un ciberataque sofisticado: basta con un error de configuración para detener el mundo. Sin embargo, un marco normativo como el definido por la directiva NIS2 podría haberle dado un final feliz a la historia.

Si hubiera sido aplicado plenamente:

• las empresas habrían tenido planes de continuidad para garantizar los servicios esenciales,

• los proveedores habrían sido monitorizados de manera más estricta,

• la comunicación sobre los incidentes habría sido más rápida y coordinada,

• los altos mandos empresariales, la alta dirección habría considerado el riesgo cibernético como un verdadero riesgo para el negocio, no como un detalle técnico insignificante.

Ahora supongamos la posibilidad de haber podido aplicar la directiva NIS2 a CrowdStrike

La NIS2 no habría impedido los problemas técnicos, pero:

• habría obligado a CrowdStrike y a sus clientes a tener planes estructurados de mitigación de riesgos,

• habría hecho más rápida y eficaz la comunicación y gestión del incidente,

• habría reducido el efecto en cadena sobre las infraestructuras críticas, gracias a medidas preventivas de resiliencia y diversificación.
  
  

¿Cómo hemos aprendido a enfrentar el problema?

1. Visibilidad y gobernanza

La regla es muy simple: si no conoces, no puedes medir; si no puedes medir, no puedes gobernar.
Las empresas deben:

• Mapear a los proveedores (ej. proveedores de cloud, centros de datos, casas de software, consultores conectados en la red).

• Clasificarlos por impacto (ej. quien suministra horas de trabajo no tiene el mismo peso que quien gestiona los sistemas ERP o de reservas).

• Centralizar el gobierno: los departamentos de adquisición y TI deben colaborar para crear normas, monitorización y procesos de calificación de proveedores coherentes.
  
  

2. Marcos y certificaciones

Las mejores prácticas europeas indican como puntos de partida marcos consolidados como ISO 27001.
Para las PYME, incluso un primer paso hacia certificaciones o adecuación normativa (NIS2, DORA) representa un fortalecimiento importante, sin ilusionarse de alcanzar la seguridad completa.

3. Automatización y tecnología

Los proveedores pueden ser muchos (¿cómo puede una empresa que tiene 200?) y por lo tanto es imposible gestionar todo manualmente.
La tecnología puede ayudar a:

• Automatizar cuestionarios y recopilación de datos.

• Realizar auditorías continuas (ej. verificar si un proveedor que hace 10 años tenía 100 vulnerabilidades ahora tiene 200 y no puede resolverlas).

• Monitorear variaciones en el rendimiento de la seguridad.

• Integrar los controles en los procesos ya existentes, reduciendo la carga para el IT interno.
  
  

¿Qué evaluar en un proveedor de servicios?

Los elementos mínimos a analizar incluyen:

• Procedimientos internos: gestión de accesos, pruebas periódicas sobre el código, análisis de vulnerabilidades.

• AAspectos legales y documentales: contratos, plan de recuperación ante desastres (que a menudo existe solo como documento, no como procedimiento operativo).

• Tecnologías adoptadas: por ejemplo, un proveedor de software de gestión debe demostrar tener procesos de respaldo y continuidad del servicio.

  
  

El papel clave de las adquisiciones

El mejor aliado de la ciberseguridad es el procurement.
Quien maneja a los proveedores tiene una larga experiencia en seleccionarlos y monitorizarlos, y puede integrar las lógicas del riesgo digital en los procesos de calificación. El IT debe apoyar, sin estar sobrecargado con el trabajo diario de control.

Conclusión

El tema del riesgo de terceros ya no es opcional y para descuidar, como un problema lejano. La cadena de suministro digital se configura hoy como uno de los puntos más frágiles de las empresas.
El desafío es transformar la visibilidad en gobernanza, partiendo de pequeños pasos (marcos, certificaciones, auditorías específicas) y aprovechando la tecnología para hacer el monitoreo ágil, posible y sostenible.
La ciberseguridad, al final, es un trabajo de equipo: no solo IT, sino también adquisiciones, alta dirección y los mismos proveedores.

Regístrate en nuestro webinar para obtener información, 30 minutos de tu tiempo pueden ayudarte a evitar sanciones o riesgos graves para la seguridad estructural. Qué necesitas saber y cómo actuar de inmediato, un diálogo con expertos y protagonistas.