'La puerta de atrás' de los proveedores dinamita las estrategias de ciberseguridad

Las grandes empresas empiezan a reconocer que sus cadenas de suministro son un punto débil en ciberseguridad, ya que los atacantes ven en las pymes el eslabón más frágil, señala Marc Rivero, investigador de seguridad en Kaspersky. Aún así, muchas pequeñas compañías siguen subestimando estos riesgos, creyendo que su tamaño las hace menos visibles para los ciberdelincuentes, añade. Sin embargo, su escasa protección y vínculo con grandes empresas las hacen objetivos fáciles para ataques dirigidos, advierte el experto.

El desconocimiento y la falta de recursos agravan esta vulnerabilidad, explica Rivero. Muchas pymes carecen de experiencia en ciberseguridad y priorizan otras inversiones, lo que deja sus sistemas expuestos, sostiene. Aunque el RGPD ha impulsado la protección de datos, muchas siguen sin cumplir estándares mínimos, indica. Además, algunas grandes firmas no auditan a sus proveedores, lo que amplifica el problema. Para reducir riesgos, es clave reforzar la colaboración y mejorar la formación en ciberseguridad, concluye.

Noticia Relacionada

'Insiders', el gran enemigo de la ciberseguridad está de puertas adentro

Adrián Espallargas

Ya sean por descuido, negligencia, despecho o ánimo de lucro, los ataques propiciados por trabajadores desde el interior de la empresa se han convertido en el gran coladero para los sistemas de protección

Las limitaciones económicas y la falta de talento especializado también dificultan que las pymes refuercen su ciberseguridad, señala Juan José Sánchez Peña, director del máster universitario online en ciberseguridad de la Universidad Alfonso X (UAX). Muchas no pueden permitirse contratar expertos ni implementar soluciones avanzadas, lo que las deja aún más expuestas, advierte. A ello se añade la percepción errónea de que la ciberseguridad es un problema técnico y no una cuestión estratégica, lo que retrasa su adopción. Para mitigar riesgos, es fundamental invertir en formación, herramientas básicas y buenas prácticas de seguridad, remarca.

Desde Kymatio, su CEO, Fernando Mateus, señala que una de las estrategias más efectivas para reforzar la ciberseguridad en las pymes pasa por la concienciación del factor humano. La correcta gestión de credenciales, la aplicación del principio de no asumir que los usuarios internos son de confianza por defecto y la evaluación continua del riesgo humano son claves, explica. Esta startup, respaldada por Wayra, asegura que su enfoque de automatización de procesos permite reducir hasta en un 80% los errores de los empleados ante ataques de ingeniería social.

Esta falta de inversión y talento no solo deja desprotegidas a las pymes, sino que también supone un riesgo para el ecosistema empresarial en el que operan. Su papel como proveedoras de grandes compañías las expone aún más, ya que los ciberdelincuentes las utilizan como vía de acceso a corporaciones de mayor tamaño, advierte Miguel López, director para el Sur de EMEA en Barracuda Networks. Su menor nivel de protección facilita la infiltración en empresas y administraciones públicas, explica. En los últimos años, los ataques dirigidos contra ellas han crecido significativamente, y la tendencia sigue al alza en 2025, señala. Entre las amenazas más frecuentes destacan el 'ransomware', el 'phishing', los ataques dirigidos, el 'malware' y los DDoS, apunta.

El problema no es solo la frecuencia de los ataques, sino también su impacto, que puede ser devastador. Los efectos de un ataque pueden ser desproporcionados en relación con sus ingresos, advierte. La pérdida de datos, la interrupción operativa, el coste de recuperación y el daño reputacional pueden ser críticos. En muchos casos, la fuga de clientes y la inestabilidad financiera terminan llevándolas a la quiebra, indica, López

Además, la falta de concienciación y recursos perpetúa un enfoque reactivo. Según un estudio de la University College de Londres, la escasa inversión en ciberseguridad se debe a la falta de conocimiento, presupuesto y personal capacitado, dice Diego León, CEO de Flameera. Aunque las normativas europeas han impulsado mejoras, su impacto directo sigue siendo limitado salvo en sectores críticos, comenta. Sin embargo, la creciente presión de grandes empresas y reguladores está obligando a muchas pymes a reforzar sus sistemas para mantenerse competitivas en el mercado, añade.

«Para que un programa de seguridad sea efectivo, debe contemplar no solamente la propia organización si no toda la cadena de suministro. La globalización y la alta digitalización de los servicios obliga a las empresas a demostrar el cumplimiento continuo con múltiples regulaciones y leyes», dice Tatiana Beron, managing director, Concentrix España.

Frente a este escenario, las pymes pueden reforzar su seguridad digital sin comprometer su estabilidad financiera, señala José Luis Díaz, CEO de Advens Iberia. Tecnologías como Endpoint Detection and Response (EDR) ofrecen una protección más avanzada que los antivirus tradicionales, al detectar anomalías con IA. La autenticación multifactor y una gestión eficiente de contraseñas también son medidas clave para reducir riesgos, mientras que la formación del personal en detección de amenazas ayuda a minimizar los errores humanos, responsables de gran parte de los incidentes de seguridad.

La ciberseguridad en pymes sigue siendo un mercado desatendido, pese a que estas empresas enfrentan riesgos crecientes, señala Sánchez Peña, de la UAX. Las oportunidades para las firmas de ciberseguridad están en ofrecer soluciones asequibles, integradas en servicios en la nube y basadas en inteligencia artificial. Además, la formación y concienciación de los empleados es clave para mitigar ataques, apunta.

En esta misma línea, Luis Corrons, security evangelist de Gen, explica que la falta de inversión en ciberseguridad entre las pymes responde, en gran parte, al desconocimiento y la falta de recursos. Muchas empresas no cuentan con personal especializado y no implementan medidas de protección adecuadas. Para corregir esta situación, coincide que las soluciones asequibles basadas en la nube, la automatización inteligente y la formación continua son clave para fortalecer su seguridad sin generar grandes costos. Corrons destaca tres áreas clave donde las empresas de ciberseguridad pueden marcar la diferencia. En primer lugar, ofreciendo herramientas accesibles como la detección y respuesta gestionadas (MDR) o la seguridad en la nube, diseñadas para organizaciones con recursos limitados. Además, insiste en la importancia de la formación, ya que los errores humanos siguen siendo un factor determinante en los ataques, especialmente el phishing y el uso de contraseñas débiles. Por último, subraya que integrar medidas de seguridad en plataformas SaaS y servicios digitales permitiría a las pymes adoptar mejores prácticas sin necesidad de infraestructuras complejas.

Las grandes empresas han endurecido sus requisitos de ciberseguridad para proveedores pymes, especialmente en sectores críticos, añade Corrons. Sin embargo, cumplir con estos estándares implica auditorías complejas que pueden retrasar contratos e ingresos. Además, algunas pymes enfrentan dificultades para implementar medidas avanzadas sin apoyo. Para evitar que esto se convierta en una barrera, las grandes compañías deberían adoptar un enfoque colaborativo, proporcionando herramientas, formación y orientación en seguridad. Esto no solo fortalecería sus proveedores, sino que reforzaría toda la cadena de suministro, afirma.

De cara al futuro, las pymes deberán enfrentarse a ataques más sofisticados, cada vez más automatizados e impulsados por IA, señala Díaz, de Advens Iberia. La seguridad digital pasará de ser una opción a una obligación, especialmente ante normativas más estrictas que exigirán mayores estándares de protección en todos los sectores. Para sobrevivir en este entorno, las empresas tendrán que apostar por soluciones automatizadas, seguridad gestionada y una cultura de prevención continua. Adaptarse ya no será solo una cuestión de competitividad, sino un requisito fundamental para garantizar la continuidad del negocio en un entorno digital cada vez más hostil, concluye.