Informe sobre el estado de la ciberseguridad 2025 de Ivanti reveló que solo 1 de cada 3 organizaciones se siente preparada para protegerse frente a las amenazas a la cadena de suministro de software. Dado que los atacantes se centran cada vez más en las dependencias de terceros, los ataques a la cadena de suministro pueden convertirse en un punto débil crítico para la ciberseguridad si las organizaciones siguen pasándolos por alto.



El riesgo creciente de los ataques a la cadena de suministro de software

Las superficies de ataque no dejan de ampliarse rápidamente, y un vector clave de esa expansión son las cadenas de suministro de software de las organizaciones. Las empresas modernas dependen de numerosas aplicaciones, herramientas y dependencias de software dentro de su propia infraestructura tecnológica. Según un informe de 2024 de BetterCloud, una sola organización utiliza una media de 112 aplicaciones SaaS. Y esa red no hace sino volverse más compleja. De media, cada aplicación de software tiene 150 dependencias, de las cuales el 90 % son dependencias indirectas, que concentran la gran mayoría de las vulnerabilidades.

El número de actores de amenazas que atacan dependencias de terceros ha aumentado rápidamente en los últimos años, hasta el punto de que el 75 % de todas las cadenas de suministro de software notificaron ataques en 2024. Las amenazas a la cadena de suministro de software también se han vuelto más sofisticadas, ya que los atacantes buscan cualquier debilidad que puedan explotar en el código de un proveedor. Sin embargo, los equipos de seguridad suelen tener dificultades para evaluar correctamente todos sus componentes de software.



La investigación de Ivanti sobre ciberseguridad reveló que, aunque el 84 % de los líderes de las organizaciones afirman que es «muy importante» supervisar la cadena de suministro de software, casi la mitad (48 %) aún no ha identificado los componentes más vulnerables de su propia cadena de suministro. Esta falta de diligencia debida deja a las empresas expuestas a importantes riesgos financieros y reputacionales.

Tipos comunes de ataques a la cadena de suministro de software

Según Gartner, el 45 % de las organizaciones habrá sufrido un ataque a la cadena de suministro de software en 2025. A continuación se ofrece un breve resumen de algunos de los tipos más comunes de vulnerabilidades de la cadena de suministro de software a los que apuntan los atacantes:

  • Ataques a servidores upstream son los ataques a la cadena de suministro más comunes. Se producen cuando los hackers comprometen un sistema situado «aguas arriba» de los usuarios, como un repositorio de código, e inyectan una carga maliciosa o malware. A continuación, esta carga se propaga a los usuarios «aguas abajo» a través de, por ejemplo, una actualización de software.
  • Ataques midstream hacen referencia a incidentes en los que los atacantes comprometen sistemas intermediarios, como herramientas de desarrollo de software, en lugar de la base de código original.
  • Ataques de confusión de dependencias intentan engañar a un desarrollador o sistema para que descargue una dependencia de software comprometida desde una fuente externa. Algunos métodos habituales de ataque incluyen usar para una carga de software malicioso un nombre similar al de una biblioteca interna de confianza. La versión maliciosa suele integrarse en la compilación del software en lugar de la dependencia legítima.
  • Ataques a certificados de firma de código se producen cuando los hackers inyectan software malicioso en certificados digitales de firma de código destinados a verificar la seguridad y autenticidad del software. Estos ataques se producen cuando los actores de amenazas comprometen el entorno de desarrollo mediante ingeniería social u otra táctica.
  • Ataques a la infraestructura de CI/CD se dirigen a canalizaciones de desarrollo automatizadas mediante la introducción de malware, por ejemplo clonando repositorios auténticos de GitHub con fines maliciosos.

Ejemplos recientes de ataques a la cadena de suministro

No hace falta investigar demasiado en las noticias para encontrar ejemplos reales de este tipo de ataques que han llegado a situaciones críticas. Estos son algunos incidentes de ataques a la cadena de suministro de los últimos años que atrajeron la atención mundial.

  1. Ataque de ingeniería social a Okta

    •  En octubre de 2023, Okta, proveedor de servicios de gestión de identidades y accesos, sufrió una grave filtración de datos en su sistema de soporte al cliente después de que cuatro clientes distintos de Okta fueran víctimas de ataques de ingeniería social dirigidos a su mesa de servicio de TI. Los atacantes utilizaron estas credenciales administrativas para lanzar varios ataques aguas abajo que dieron lugar al acceso no autorizado a los datos de miles de clientes de Okta, incluidos 1Password, BeyondTrust y Cloudflare.
  2. Ataque de ransomware a Kaseya

    • En este caso de julio de 2021, los hackers explotaron seis vulnerabilidades de día cero en la herramienta de gestión remota de Kaseya y utilizaron estas vulnerabilidades para distribuir una carga maliciosa de ransomware mediante una actualización de software que infectó a cientos de proveedores de servicios gestionados (MSP) y a sus clientes. El ataque paralizó las operaciones de casi 2000 empresas en todo el mundo y ocupó titulares cuando los atacantes exigieron un asombroso rescate de 70 millones de dólares (que finalmente no se pagó).
  3. Ataque de CI/CD a Codecov

    • En enero de 2021, actores maliciosos se infiltraron en la popular herramienta de pruebas de código Codecov, que en aquel momento utilizaban más de 29 000 clientes. Los atacantes obtuvieron acceso no autorizado al script Bash Uploader de Codecov e introdujeron código malicioso que después utilizaron los clientes de Codecov en sus canalizaciones de CI/CD. Codecov no detectó ni notificó el ataque hasta abril de 2021, lo que significa que estos actores maliciosos pudieron haber tenido acceso a datos sensibles en miles de sistemas de clientes durante meses.
    • Cada una de estas brechas en la cadena de suministro provocó daños en cascada y de gran alcance tanto al proveedor explotado como a sus miles de clientes y más allá.  

Impactos graves de los ataques a la cadena de suministro

No se debe subestimar la magnitud del daño que provocan los ataques a la cadena de suministro de software. Cada uno de los ataques anteriores causó daños financieros y reputacionales significativos, y llevó a muchas organizaciones a replantearse su enfoque de la seguridad de los proveedores.

Impactos financieros

Cybersecurity Ventures predice que el coste anual global de los ataques a la cadena de suministro de software para las empresas alcanzará la asombrosa cifra de 138 000 millones de dólares en 2031, frente a los 60 000 millones de 2025. Estas pérdidas abarcan desde la pérdida de ingresos y los costes de remediación hasta los honorarios legales y posibles sanciones por incumplimiento normativo. Tras su filtración de datos de 2023, las acciones de Okta cayeron un 11 %. Tras otra importante filtración de datos en 2022, Okta se enfrentó después a una demanda de los accionistas afectados y tuvo que pagar 60 millones de dólares.

Impactos operativos

Los ataques a la cadena de suministro pueden provocar que miles de clientes sufran interrupciones y apagados de sistemas, paralizando operaciones críticas y causando retrasos que afectan a otros proveedores. Veamos solo algunas de las instituciones afectadas por la brecha de Kaseya. En Suecia, un gran minorista de alimentación se vio obligado a cerrar 800 tiendas durante el fin de semana, y los ferrocarriles estatales también sufrieron interrupciones. Once colegios y más de 100 guarderías de Nueva Zelanda también tuvieron que detener todas sus operaciones en línea y recurrir a papel y bolígrafo hasta que se pudo resolver el incidente.

Daño reputacional

Una reputación dañada públicamente puede hacer retroceder a una empresa en términos de confianza con sus clientes y accionistas. Las empresas pueden perder proveedores y la fidelidad de clientes que tardaron años en consolidar. En marzo de 2023, el popular software de comunicaciones empresariales 3CX se vio comprometido cuando los hackers inyectaron código malicioso en su aplicación, lo que potencialmente expuso datos sensibles de más de 600 000 clientes y generó meses de atención negativa en los medios y críticas públicas hacia la empresa.

¿Dónde termina la responsabilidad? Deuda técnica y responsabilidad compartida

Dado que se espera que las amenazas a la cadena de suministro de software aumenten en frecuencia y gravedad, es imprescindible que las empresas establezcan responsabilidades claras y adopten prácticas recomendadas de seguridad estrictas para los proveedores externos y la ciberseguridad de la cadena de suministro de software.

¿Quién es responsable de la seguridad del software? 

Actualmente, muchas organizaciones carecen de procesos estrictos y estandarizados para evaluar la seguridad de los proveedores externos. Además, muchos clientes y proveedores ni siquiera están alineados sobre quién asume la responsabilidad de gestionar la seguridad del software de terceros.



El Informe sobre tendencias del estado de la ciberseguridad analizó organizaciones con distintos niveles de capacidades de ciberseguridad para desarrollar nuestra Escala de madurez en ciberseguridad. Esta escala iba desde organizaciones menos maduras (niveles 1 y 2) hasta organizaciones con capacidades de ciberseguridad más avanzadas (nivel 4).

A través de esta investigación, constatamos que las organizaciones menos maduras solían creer con mayor frecuencia que la ciberseguridad era responsabilidad exclusiva del proveedor. Sin embargo, las organizaciones con los niveles más altos de preparación en ciberseguridad defendían una responsabilidad compartida entre el proveedor de software y el cliente.

Cómo protegerse frente a las amenazas a la cadena de suministro de software

La seguridad de la cadena de suministro de software es una parte esencial de una estrategia de ciberseguridad integral y proactiva.

Reforzar su cadena de suministro de software y defenderse frente a posibles ataques exige que las organizaciones traten a todos los proveedores y componentes de terceros como una extensión de toda su superficie de ataque. Estas son nuestras principales recomendaciones para que las organizaciones se aseguren de estar mejor preparadas para prevenir ataques a la cadena de suministro, así como para detectar cualquier posible amenaza a la cadena de suministro y responder ante ella. 

1. Gestión rigurosa de proveedores y evaluación de riesgos

Aplique la diligencia debida antes de asociarse con proveedores de software. Busque proveedores que cumplan los estándares del sector y dispongan de una política publicada de divulgación de vulnerabilidades. Las auditorías periódicas, las revisiones de código y la evaluación proactiva tanto por parte del proveedor como del cliente son claves para mitigar los riesgos.

Nuestra investigación muestra que las organizaciones con los niveles más avanzados de ciberseguridad son las más propensas a aplicar la diligencia debida al evaluar la ciberseguridad de sus proveedores externos, por ejemplo:

  • Incorporar cuestionarios de evaluación de seguridad (SAQ) en su evaluación. 
  • Considerar las certificaciones de seguridad de los proveedores, como ISO 27001 y SOC 2. 
  • Revisar los estándares de cumplimiento específicos del sector. 
  • Asegurarse de que los proveedores cuenten con planes de respuesta a incidentes y procesos para gestionar posibles brechas de seguridad. 
  • Solicitar una lista de materiales de software (SBOM) para comprender los componentes de código abierto y de terceros utilizados en su software.


2. Supervisión continua y remediación proactiva en todas las dependencias

Es clave emplear herramientas y procesos automatizados de detección de amenazas para supervisar y evaluar todos sus componentes de software. Las dependencias, especialmente en los componentes de software de código abierto, a menudo se pasan por alto y suponen un importante riesgo de vulnerabilidad si no se supervisan y actualizan periódicamente.

Las herramientas de IA y automatización pueden proporcionar información en tiempo real sobre el rendimiento de dispositivos, aplicaciones y redes para detectar posibles problemas. Las soluciones de autorrecuperación y remediación automatizada ofrecen formas eficaces de resolver problemas con una intervención humana mínima o nula.

3. Comunicación periódica con proveedores externos

Una piedra angular para establecer la responsabilidad mutua en la seguridad de la cadena de suministro de software es la comunicación frecuente y abierta entre clientes y proveedores externos. Los equipos de seguridad y TI deben mantenerse informados sobre cualquier actualización de software, parches para corregir vulnerabilidades conocidas y cualquier amenaza de seguridad emergente.

Más información sobre la seguridad de la cadena de suministro de software

¿Quiere saber más? Lea el Informe sobre tendencias del estado de la ciberseguridad completo para obtener información detallada sobre las amenazas de ciberseguridad más urgentes de la actualidad y las estrategias para una gestión proactiva del riesgo.