El 55% de los ataques que destruyeron empresas el año pasado no entró por su red
Entró por alguien en quien confiaban.
El informe de brechas más importante del mundo acaba de publicar su edición 2026. Y lo que revela sobre las empresas medianas y pequeñas debería estar en la agenda del próximo comité directivo.
Hay una pregunta que vale la pena hacerse antes de hablar de firewalls, antivirus o inteligencia artificial:
¿Cuántas personas o empresas externas tienen acceso a los sistemas de tu negocio en este momento?
La mayoría de los directores tarda en responder.
No porque desconozca la respuesta, sino porque al comenzar a enumerar proveedores, la lista crece rápidamente:
Despacho contable
Proveedor de nómina
Agencia de marketing digital
Consultor de ERP
Proveedor de nube
Técnico externo de TI
Desarrolladores de software
Socios tecnológicos
Y casi siempre aparece el mismo problema.
Muchos de esos accesos nunca han sido auditados.
No tienen rotación de credenciales.
No cuentan con revisiones periódicas.
Y nadie verificó si siguen siendo realmente necesarios.
Eso es precisamente lo que el informe más importante del mundo en ciberseguridad acaba de documentar a través de más de 31,000 incidentes reales.
Verizon DBIR 2026: el informe que todo director debería conocer
El Verizon Data Breach Investigations Report (DBIR) 2026 analizó más de 31,000 incidentes de seguridad y confirmó 22,052 brechas de datos en organizaciones distribuidas en 145 países.
Es la base de información más amplia que ha construido el estudio desde su creación.
Algunos datos relevantes:
✔ Incremento del 81% en brechas analizadas respecto al año anterior.
✔ Más de 7,152 incidentes confirmados en pequeñas y medianas empresas.
✔ El 96% de las víctimas de ransomware fueron organizaciones pequeñas o medianas.
✔ Las brechas asociadas a terceros crecieron 60% en un solo año.
Pero existe una cifra que sobresale sobre todas las demás.
El riesgo de terceros ya representa el 48% de las brechas confirmadas
El hallazgo más preocupante del DBIR 2026 es contundente:
El 48% de las brechas de seguridad confirmadas tuvo origen en terceros.
En el caso específico de PyMEs:
El 55% de las brechas confirmadas involucró a proveedores externos como punto inicial de acceso.
En otras palabras:
Los atacantes ya no necesitan vulnerar directamente a tu organización.
Solo necesitan comprometer a alguien que ya tenga acceso autorizado a ella.
Y eso cambia completamente el paradigma de la seguridad empresarial.
¿Qué es el riesgo de terceros?
El riesgo de terceros incluye a cualquier organización o persona externa con acceso a información, aplicaciones o infraestructura crítica.
Por ejemplo:
Despachos contables
Empresas de nómina
Consultores tecnológicos
Agencias de marketing
Integradores de ERP
Proveedores cloud
Partners comerciales
Empresas de soporte
Cada uno representa una posible extensión de la superficie de ataque.
Si alguno de ellos utiliza credenciales débiles, no implementa MFA, trabaja con equipos vulnerables o presenta filtraciones de información, ese riesgo puede trasladarse directamente a tu empresa.
Y muchas veces ocurre sin que nadie lo detecte.
Un dato preocupante: solo el 23% de los terceros corrige adecuadamente sus fallas de MFA
El DBIR 2026 encontró que:
Solo el 23% de las organizaciones externas remedia completamente sus brechas relacionadas con autenticación multifactor.
Además:
Las configuraciones inseguras y las credenciales comprometidas permanecen expuestas durante un promedio de ocho meses antes de ser corregidas.
Ocho meses representan una ventana enorme de oportunidad para un atacante.
Casos recientes que confirman esta tendencia
Los ejemplos recientes demuestran que esto no es una proyección futura.
Está ocurriendo ahora mismo.
ShinyHunters y Oracle PeopleSoft
Más de cien organizaciones fueron comprometidas durante junio mediante plataformas compartidas utilizadas por proveedores tecnológicos.
Los atacantes no ingresaron directamente a las víctimas.
Ingresaron por la cadena de suministro digital.
Nintendo y accesos privilegiados
Diversos análisis sectoriales señalan cómo el acceso de terceros se convirtió en el vector principal utilizado por los atacantes.
No fue necesaria una vulnerabilidad crítica.
Solo fue necesario comprometer una cuenta con privilegios.
Klue–Salesforce
Decenas de empresas fueron notificadas tras el compromiso de un token OAuth utilizado en una integración tecnológica.
Nuevamente, el ataque no ocurrió directamente contra las víctimas.
Ocurrió a través de un proveedor conectado.
La inteligencia artificial está acelerando los ataques
El DBIR 2026 también identifica otro elemento preocupante.
La IA ya forma parte del arsenal cotidiano de los ciberdelincuentes.
El informe documenta que:
Los atacantes utilizan IA en aproximadamente 15 técnicas distintas por incidente.
En algunos casos participan hasta en 50 fases del ciclo completo de ataque.
El tiempo entre descubrir una vulnerabilidad y explotarla pasó de meses a horas.
El phishing móvil tiene una efectividad 40% mayor que el phishing tradicional.
Shadow AI creció cuatro veces respecto al año anterior.
Actualmente:
El 45% de los colaboradores utiliza herramientas de IA no autorizadas.
Y el 67% lo hace mediante cuentas personales.
Eso significa que información corporativa puede abandonar el perímetro de seguridad sin ningún control.
El infostealer: el paso previo al ransomware
Otro hallazgo importante del DBIR 2026 es la relación entre robo de credenciales y ransomware.
El estudio encontró que:
El 73% de las víctimas de ransomware sufrió previamente una filtración de credenciales o una infección de infostealer.
Además:
El 50% de esos eventos ocurrió durante los 95 días previos al ataque.
Esto convierte cualquier filtración de contraseñas en una señal de alerta crítica.
No es un incidente menor.
Es, estadísticamente, un indicador temprano de un posible ataque de ransomware.
Siete acciones para reducir el riesgo de terceros
1. Inventaria todos los accesos externos
Debes saber exactamente:
Quién tiene acceso.
Qué sistemas utiliza.
Qué privilegios posee.
Cuándo fue revisado por última vez.
No se puede proteger aquello que no está documentado.
2. Implementa mínimo privilegio
Cada proveedor debe tener únicamente el acceso indispensable para desempeñar su función.
Nada más.
Cada permiso innecesario incrementa la superficie de ataque.
3. Exige MFA a todos los terceros
La autenticación multifactor debe convertirse en un requisito contractual.
No en una recomendación.
4. Revisa accesos cada trimestre
Los accesos tienden a permanecer activos incluso después de concluir proyectos.
Auditar proveedores trimestralmente reduce considerablemente el riesgo.
5. Establece cláusulas de notificación
Todo proveedor debería informar incidentes de seguridad en cuestión de horas.
No semanas después.
La velocidad de respuesta marca la diferencia.
6. Controla el uso de IA
Define políticas claras sobre:
Herramientas autorizadas.
Datos permitidos.
Casos de uso aceptados.
Protección de información sensible.
7. Atiende inmediatamente las credenciales filtradas
Si aparecen credenciales corporativas en una filtración:
Cambia contraseñas.
Revoca sesiones activas.
Activa MFA.
Verifica accesos privilegiados.
Las primeras horas son críticas.
La gran lección del DBIR 2026
La cadena de suministro digital se convirtió en uno de los vectores de ataque más activos del mundo.
No porque los atacantes sean necesariamente más sofisticados.
Sino porque es el camino más sencillo.
Comprometer un proveedor puede abrir la puerta a decenas o cientos de organizaciones simultáneamente.
La pregunta que todo director debería hacerse es simple:
Si uno de tus proveedores fuera comprometido hoy, ¿cuánto tiempo tardarías en enterarte?
Y una segunda pregunta aún más importante:
¿Cuánto daño podría ocurrir antes de que lo supieras?
La gestión del riesgo de terceros dejó de ser una práctica exclusiva de grandes corporativos.
Hoy es una necesidad operativa para prácticamente cualquier empresa que dependa de proveedores externos.
Y eso significa casi todas.
¿Tu empresa conoce realmente quién tiene acceso a sus sistemas?
Una revisión de accesos externos suele revelar más riesgos de los que imaginas.
Evaluar proveedores, privilegios, políticas de autenticación y exposición de credenciales es una de las medidas de seguridad con mayor retorno de inversión para empresas medianas y grandes.
El mejor momento para revisar el riesgo de terceros siempre es antes del incidente.
El 55% de las empresas atacadas en 2026 fue comprometido por un proveedor: lo que revela el Verizon DBIR 2026
El 55% de los ataques que destruyeron empresas el año pasado no entró por su red
Entró por alguien en quien confiaban.
El informe de brechas más importante del mundo acaba de publicar su edición 2026. Y lo que revela sobre las empresas medianas y pequeñas debería estar en la agenda del próximo comité directivo.
Hay una pregunta que vale la pena hacerse antes de hablar de firewalls, antivirus o inteligencia artificial:
¿Cuántas personas o empresas externas tienen acceso a los sistemas de tu negocio en este momento?
La mayoría de los directores tarda en responder.
No porque desconozca la respuesta, sino porque al comenzar a enumerar proveedores, la lista crece rápidamente:
Y casi siempre aparece el mismo problema.
Muchos de esos accesos nunca han sido auditados.
No tienen rotación de credenciales.
No cuentan con revisiones periódicas.
Y nadie verificó si siguen siendo realmente necesarios.
Eso es precisamente lo que el informe más importante del mundo en ciberseguridad acaba de documentar a través de más de 31,000 incidentes reales.
Verizon DBIR 2026: el informe que todo director debería conocer
El Verizon Data Breach Investigations Report (DBIR) 2026 analizó más de 31,000 incidentes de seguridad y confirmó 22,052 brechas de datos en organizaciones distribuidas en 145 países.
Es la base de información más amplia que ha construido el estudio desde su creación.
Algunos datos relevantes:
✔ Incremento del 81% en brechas analizadas respecto al año anterior.
✔ Más de 7,152 incidentes confirmados en pequeñas y medianas empresas.
✔ El 96% de las víctimas de ransomware fueron organizaciones pequeñas o medianas.
✔ Las brechas asociadas a terceros crecieron 60% en un solo año.
Pero existe una cifra que sobresale sobre todas las demás.
El riesgo de terceros ya representa el 48% de las brechas confirmadas
El hallazgo más preocupante del DBIR 2026 es contundente:
En el caso específico de PyMEs:
En otras palabras:
Los atacantes ya no necesitan vulnerar directamente a tu organización.
Solo necesitan comprometer a alguien que ya tenga acceso autorizado a ella.
Y eso cambia completamente el paradigma de la seguridad empresarial.
¿Qué es el riesgo de terceros?
El riesgo de terceros incluye a cualquier organización o persona externa con acceso a información, aplicaciones o infraestructura crítica.
Por ejemplo:
Cada uno representa una posible extensión de la superficie de ataque.
Si alguno de ellos utiliza credenciales débiles, no implementa MFA, trabaja con equipos vulnerables o presenta filtraciones de información, ese riesgo puede trasladarse directamente a tu empresa.
Y muchas veces ocurre sin que nadie lo detecte.
Un dato preocupante: solo el 23% de los terceros corrige adecuadamente sus fallas de MFA
El DBIR 2026 encontró que:
Además:
Las configuraciones inseguras y las credenciales comprometidas permanecen expuestas durante un promedio de ocho meses antes de ser corregidas.
Ocho meses representan una ventana enorme de oportunidad para un atacante.
Casos recientes que confirman esta tendencia
Los ejemplos recientes demuestran que esto no es una proyección futura.
Está ocurriendo ahora mismo.
ShinyHunters y Oracle PeopleSoft
Más de cien organizaciones fueron comprometidas durante junio mediante plataformas compartidas utilizadas por proveedores tecnológicos.
Los atacantes no ingresaron directamente a las víctimas.
Ingresaron por la cadena de suministro digital.
Nintendo y accesos privilegiados
Diversos análisis sectoriales señalan cómo el acceso de terceros se convirtió en el vector principal utilizado por los atacantes.
No fue necesaria una vulnerabilidad crítica.
Solo fue necesario comprometer una cuenta con privilegios.
Klue–Salesforce
Decenas de empresas fueron notificadas tras el compromiso de un token OAuth utilizado en una integración tecnológica.
Nuevamente, el ataque no ocurrió directamente contra las víctimas.
Ocurrió a través de un proveedor conectado.
La inteligencia artificial está acelerando los ataques
El DBIR 2026 también identifica otro elemento preocupante.
La IA ya forma parte del arsenal cotidiano de los ciberdelincuentes.
El informe documenta que:
Actualmente:
Y el 67% lo hace mediante cuentas personales.
Eso significa que información corporativa puede abandonar el perímetro de seguridad sin ningún control.
El infostealer: el paso previo al ransomware
Otro hallazgo importante del DBIR 2026 es la relación entre robo de credenciales y ransomware.
El estudio encontró que:
Además:
Esto convierte cualquier filtración de contraseñas en una señal de alerta crítica.
No es un incidente menor.
Es, estadísticamente, un indicador temprano de un posible ataque de ransomware.
Siete acciones para reducir el riesgo de terceros
1. Inventaria todos los accesos externos
Debes saber exactamente:
No se puede proteger aquello que no está documentado.
2. Implementa mínimo privilegio
Cada proveedor debe tener únicamente el acceso indispensable para desempeñar su función.
Nada más.
Cada permiso innecesario incrementa la superficie de ataque.
3. Exige MFA a todos los terceros
La autenticación multifactor debe convertirse en un requisito contractual.
No en una recomendación.
4. Revisa accesos cada trimestre
Los accesos tienden a permanecer activos incluso después de concluir proyectos.
Auditar proveedores trimestralmente reduce considerablemente el riesgo.
5. Establece cláusulas de notificación
Todo proveedor debería informar incidentes de seguridad en cuestión de horas.
No semanas después.
La velocidad de respuesta marca la diferencia.
6. Controla el uso de IA
Define políticas claras sobre:
7. Atiende inmediatamente las credenciales filtradas
Si aparecen credenciales corporativas en una filtración:
Las primeras horas son críticas.
La gran lección del DBIR 2026
La cadena de suministro digital se convirtió en uno de los vectores de ataque más activos del mundo.
No porque los atacantes sean necesariamente más sofisticados.
Sino porque es el camino más sencillo.
Comprometer un proveedor puede abrir la puerta a decenas o cientos de organizaciones simultáneamente.
La pregunta que todo director debería hacerse es simple:
Y una segunda pregunta aún más importante:
La gestión del riesgo de terceros dejó de ser una práctica exclusiva de grandes corporativos.
Hoy es una necesidad operativa para prácticamente cualquier empresa que dependa de proveedores externos.
Y eso significa casi todas.
¿Tu empresa conoce realmente quién tiene acceso a sus sistemas?
Una revisión de accesos externos suele revelar más riesgos de los que imaginas.
Evaluar proveedores, privilegios, políticas de autenticación y exposición de credenciales es una de las medidas de seguridad con mayor retorno de inversión para empresas medianas y grandes.
El mejor momento para revisar el riesgo de terceros siempre es antes del incidente.
Síguenos en todas nuestras redes:
Facebook: https://www.facebook.com/CareTelecom
Twitter: https://twitter.com/caretelecom?
Linkedin: https://www.linkedin.com/company/care-telecom/
Correo: info@caretelecom.com
Instagram: https://instagram.com/caretelecom?
Spotify PODCAST: Escudo Digital: https://spoti.fi/3FSvKoA
Categorías Populares
Instagram Feeds
[instagram-feed]
Popular Tags
Archivos
Nuestros Servicios