Riesgo de terceros en empresas

  • Home
  • El 55% de las empresas atacadas en 2026 fue comprometido por un proveedor: lo que revela el Verizon DBIR 2026
El 55% de las brechas que afectaron a PyMEs en 2026 involucraron proveedores externos con acceso a sistemas empresariales. Care Telecom.

El 55% de las empresas atacadas en 2026 fue comprometido por un proveedor: lo que revela el Verizon DBIR 2026

Care Telecom 30 junio, 2026 0 Comments

El 55% de los ataques que destruyeron empresas el año pasado no entró por su red

Entró por alguien en quien confiaban.

El informe de brechas más importante del mundo acaba de publicar su edición 2026. Y lo que revela sobre las empresas medianas y pequeñas debería estar en la agenda del próximo comité directivo.

Hay una pregunta que vale la pena hacerse antes de hablar de firewalls, antivirus o inteligencia artificial:

¿Cuántas personas o empresas externas tienen acceso a los sistemas de tu negocio en este momento?

La mayoría de los directores tarda en responder.

No porque desconozca la respuesta, sino porque al comenzar a enumerar proveedores, la lista crece rápidamente:

  • Despacho contable
  • Proveedor de nómina
  • Agencia de marketing digital
  • Consultor de ERP
  • Proveedor de nube
  • Técnico externo de TI
  • Desarrolladores de software
  • Socios tecnológicos

Y casi siempre aparece el mismo problema.

Muchos de esos accesos nunca han sido auditados.

No tienen rotación de credenciales.

No cuentan con revisiones periódicas.

Y nadie verificó si siguen siendo realmente necesarios.

Eso es precisamente lo que el informe más importante del mundo en ciberseguridad acaba de documentar a través de más de 31,000 incidentes reales.

Verizon DBIR 2026: el informe que todo director debería conocer

El Verizon Data Breach Investigations Report (DBIR) 2026 analizó más de 31,000 incidentes de seguridad y confirmó 22,052 brechas de datos en organizaciones distribuidas en 145 países.

Es la base de información más amplia que ha construido el estudio desde su creación.

Algunos datos relevantes:

✔ Incremento del 81% en brechas analizadas respecto al año anterior.

✔ Más de 7,152 incidentes confirmados en pequeñas y medianas empresas.

✔ El 96% de las víctimas de ransomware fueron organizaciones pequeñas o medianas.

✔ Las brechas asociadas a terceros crecieron 60% en un solo año.

Pero existe una cifra que sobresale sobre todas las demás.

El riesgo de terceros ya representa el 48% de las brechas confirmadas

El hallazgo más preocupante del DBIR 2026 es contundente:

El 48% de las brechas de seguridad confirmadas tuvo origen en terceros.

En el caso específico de PyMEs:

El 55% de las brechas confirmadas involucró a proveedores externos como punto inicial de acceso.

En otras palabras:

Los atacantes ya no necesitan vulnerar directamente a tu organización.

Solo necesitan comprometer a alguien que ya tenga acceso autorizado a ella.

Y eso cambia completamente el paradigma de la seguridad empresarial.

¿Qué es el riesgo de terceros?

El riesgo de terceros incluye a cualquier organización o persona externa con acceso a información, aplicaciones o infraestructura crítica.

Por ejemplo:

  • Despachos contables
  • Empresas de nómina
  • Consultores tecnológicos
  • Agencias de marketing
  • Integradores de ERP
  • Proveedores cloud
  • Partners comerciales
  • Empresas de soporte

Cada uno representa una posible extensión de la superficie de ataque.

Si alguno de ellos utiliza credenciales débiles, no implementa MFA, trabaja con equipos vulnerables o presenta filtraciones de información, ese riesgo puede trasladarse directamente a tu empresa.

Y muchas veces ocurre sin que nadie lo detecte.

Un dato preocupante: solo el 23% de los terceros corrige adecuadamente sus fallas de MFA

El DBIR 2026 encontró que:

Solo el 23% de las organizaciones externas remedia completamente sus brechas relacionadas con autenticación multifactor.

Además:

Las configuraciones inseguras y las credenciales comprometidas permanecen expuestas durante un promedio de ocho meses antes de ser corregidas.

Ocho meses representan una ventana enorme de oportunidad para un atacante.

Casos recientes que confirman esta tendencia

Los ejemplos recientes demuestran que esto no es una proyección futura.

Está ocurriendo ahora mismo.

ShinyHunters y Oracle PeopleSoft

Más de cien organizaciones fueron comprometidas durante junio mediante plataformas compartidas utilizadas por proveedores tecnológicos.

Los atacantes no ingresaron directamente a las víctimas.

Ingresaron por la cadena de suministro digital.

Nintendo y accesos privilegiados

Diversos análisis sectoriales señalan cómo el acceso de terceros se convirtió en el vector principal utilizado por los atacantes.

No fue necesaria una vulnerabilidad crítica.

Solo fue necesario comprometer una cuenta con privilegios.

Klue–Salesforce

Decenas de empresas fueron notificadas tras el compromiso de un token OAuth utilizado en una integración tecnológica.

Nuevamente, el ataque no ocurrió directamente contra las víctimas.

Ocurrió a través de un proveedor conectado.

La inteligencia artificial está acelerando los ataques

El DBIR 2026 también identifica otro elemento preocupante.

La IA ya forma parte del arsenal cotidiano de los ciberdelincuentes.

El informe documenta que:

  • Los atacantes utilizan IA en aproximadamente 15 técnicas distintas por incidente.
  • En algunos casos participan hasta en 50 fases del ciclo completo de ataque.
  • El tiempo entre descubrir una vulnerabilidad y explotarla pasó de meses a horas.
  • El phishing móvil tiene una efectividad 40% mayor que el phishing tradicional.
  • Shadow AI creció cuatro veces respecto al año anterior.

Actualmente:

El 45% de los colaboradores utiliza herramientas de IA no autorizadas.

Y el 67% lo hace mediante cuentas personales.

Eso significa que información corporativa puede abandonar el perímetro de seguridad sin ningún control.

El infostealer: el paso previo al ransomware

Otro hallazgo importante del DBIR 2026 es la relación entre robo de credenciales y ransomware.

El estudio encontró que:

El 73% de las víctimas de ransomware sufrió previamente una filtración de credenciales o una infección de infostealer.

Además:

El 50% de esos eventos ocurrió durante los 95 días previos al ataque.

Esto convierte cualquier filtración de contraseñas en una señal de alerta crítica.

No es un incidente menor.

Es, estadísticamente, un indicador temprano de un posible ataque de ransomware.

Siete acciones para reducir el riesgo de terceros

1. Inventaria todos los accesos externos

Debes saber exactamente:

  • Quién tiene acceso.
  • Qué sistemas utiliza.
  • Qué privilegios posee.
  • Cuándo fue revisado por última vez.

No se puede proteger aquello que no está documentado.

2. Implementa mínimo privilegio

Cada proveedor debe tener únicamente el acceso indispensable para desempeñar su función.

Nada más.

Cada permiso innecesario incrementa la superficie de ataque.

3. Exige MFA a todos los terceros

La autenticación multifactor debe convertirse en un requisito contractual.

No en una recomendación.

4. Revisa accesos cada trimestre

Los accesos tienden a permanecer activos incluso después de concluir proyectos.

Auditar proveedores trimestralmente reduce considerablemente el riesgo.

5. Establece cláusulas de notificación

Todo proveedor debería informar incidentes de seguridad en cuestión de horas.

No semanas después.

La velocidad de respuesta marca la diferencia.

6. Controla el uso de IA

Define políticas claras sobre:

  • Herramientas autorizadas.
  • Datos permitidos.
  • Casos de uso aceptados.
  • Protección de información sensible.

7. Atiende inmediatamente las credenciales filtradas

Si aparecen credenciales corporativas en una filtración:

  • Cambia contraseñas.
  • Revoca sesiones activas.
  • Activa MFA.
  • Verifica accesos privilegiados.

Las primeras horas son críticas.

La gran lección del DBIR 2026

La cadena de suministro digital se convirtió en uno de los vectores de ataque más activos del mundo.

No porque los atacantes sean necesariamente más sofisticados.

Sino porque es el camino más sencillo.

Comprometer un proveedor puede abrir la puerta a decenas o cientos de organizaciones simultáneamente.

La pregunta que todo director debería hacerse es simple:

Si uno de tus proveedores fuera comprometido hoy, ¿cuánto tiempo tardarías en enterarte?

Y una segunda pregunta aún más importante:

¿Cuánto daño podría ocurrir antes de que lo supieras?

La gestión del riesgo de terceros dejó de ser una práctica exclusiva de grandes corporativos.

Hoy es una necesidad operativa para prácticamente cualquier empresa que dependa de proveedores externos.

Y eso significa casi todas.

¿Tu empresa conoce realmente quién tiene acceso a sus sistemas?

Una revisión de accesos externos suele revelar más riesgos de los que imaginas.

Evaluar proveedores, privilegios, políticas de autenticación y exposición de credenciales es una de las medidas de seguridad con mayor retorno de inversión para empresas medianas y grandes.

El mejor momento para revisar el riesgo de terceros siempre es antes del incidente.

Síguenos en todas nuestras redes: 

Facebook: https://www.facebook.com/CareTelecom

Twitter: https://twitter.com/caretelecom?

Linkedin:  https://www.linkedin.com/company/care-telecom/

Correo: info@caretelecom.com

Instagram: https://instagram.com/caretelecom?

Spotify PODCAST: Escudo Digital: https://spoti.fi/3FSvKoA

¿En que puedo ayudarte?