how to use internet.

← Volver a Estafas & phishing

Defienda su organización contra estafas empresariales

Progreso 0 / 12
Capítulos (12)

Cadena de suministro y riesgos de terceros

Los ataques a la cadena de suministro explotan relaciones de confianza con proveedores para comprometer múltiples objetivos simultáneamente. El aumento del 78% en 2024, destacado por incidentes importantes como Change Healthcare y CrowdStrike, demuestra cómo los riesgos de terceros pueden causar disrupciones empresariales catastróficas.

La escala del problema

Incidentes principales de 2024:

  • Change Healthcare: Ransomware afectando millones de pacientes
  • Actualización CrowdStrike: Interrupción global afectando infraestructura crítica
  • CDK Global: Compromiso de software de concesionarios de autos
  • Backdoor XZ Utils: Intento de compromiso de cadena de suministro de 2,5 años
  • Aumento del 78% en ataques a cadena de suministro en general

Vectores de ataque

Cadena de suministro de software:

  • Actualizaciones/parches comprometidos
  • Bibliotecas/dependencias con puertas traseras
  • Paquetes de código abierto maliciosos
  • Compromiso de entorno de compilación

Abuso de acceso de proveedor:

  • Credenciales de proveedor robadas
  • Acceso VPN comprometido
  • Movimiento lateral desde proveedor
  • Robo de datos vía acceso de proveedor

Cadena de suministro de hardware:

  • Malware preinstalado
  • Firmware comprometido
  • Componentes falsificados
  • Ataques de intercepción

Evaluación de riesgos de terceros

Evaluación de seguridad de proveedores:

  • Informes SOC 2 Tipo II
  • Resultados de pruebas de penetración
  • Capacidades de respuesta a incidentes
  • Programas de capacitación en seguridad
  • Cobertura de seguro

Gestión de acceso:

  • Acceso de mínimo privilegio solamente
  • Credenciales de tiempo limitado
  • MFA requerido
  • Revisiones de acceso regulares
  • Monitorear actividad de proveedor

Requisitos contractuales:

  • Cláusulas de estándares de seguridad
  • Requisitos de notificación de incidentes
  • Derecho a auditoría
  • Requisitos de manejo de datos
  • Disposiciones de responsabilidad

Estrategias de protección

Gestión de proveedores:

  • Categorización de proveedores basada en riesgo
  • Evaluaciones de seguridad anuales
  • Monitoreo continuo
  • Planes de proveedores alternativos
  • Revisiones de contratos regulares

Controles técnicos:

  • Segmentar acceso de red de proveedores
  • Monitorear conexiones de proveedores
  • Restringir acceso a datos
  • Registrar toda actividad de proveedores
  • Detección de anomalías

Respuesta a incidentes:

  • Procedimientos de notificación de violación de proveedores
  • Ejercicios de respuesta conjunta
  • Rutas de escalación claras
  • Ejercicios de mesa regulares

Puntos clave

  • Aumento del 78% en ataques a cadena de suministro
  • La seguridad del proveedor es su seguridad
  • Evaluaciones basadas en riesgo para todos los proveedores
  • Limitar y monitorear acceso de proveedores
  • Requisitos contractuales para estándares de seguridad
  • Planes de respuesta a incidentes incluyen escenarios de proveedores
Autor:
How To Use Internet
Última actualización:
30/11/2025