En el ránking de ciberamenazas emergentes hasta 2030 publicado por ENISA (Agencia Europea de Ciberseguridad), el compromiso de la cadena de suministro de software ocupa el primer lugar. Sabotajes, intrusiones, espionaje… son riesgos derivados de la falta de seguridad en el desarrollo de soluciones informáticas. Estas amenazas se multiplican en un contexto de tensiones geopolíticas y dependencia tecnológica. ¿Cómo responder?
Vulnerabilidades del software: posibles puntos de entrada
Los ataques a la cadena de suministro aprovechan las vulnerabilidades de los sistemas, procesos o herramientas que vinculan a un proveedor o subcontratista con una organización objetiva. Los atacantes suelen dirigirse a la entidad menos segura, por lo que se trata de un ciberataque especialmente devastador y sofisticado. Estos ataques también pueden ser utilizados por actores estatales o paraestatales para afectar a industrias más globales.
En la cadena de suministro de software, la creciente dependencia de componentes de terceros (no rastreados o indirectos), como el código fuente abierto, es uno de los principales riesgos de acceso no autorizado y robo de datos. De hecho, el informe 2024 Open Source Security and Risk Analysis Report de Synopsys analiza 1.000 bases de código abierto comerciales de 17 sectores empresariales, revelando una situación preocupante: casi la mitad de ellas no han visto ninguna actividad de desarrollo durante al menos 24 meses. Y lo que es aún más alarmante, el 91 por ciento de estas bases de código incluyen componentes obsoletos, con un retraso de, al menos, 10 versiones respecto a las versiones más recientes disponibles.
Estos fallos y la falta de parches pueden ser explotados por ciberdelincuentes y gobiernos extranjeros, comprometiendo la seguridad de los proveedores de software y de sus usuarios. El ataque a SolarWinds en 2020 es un ejemplo paradigmático de este tipo de ciberamenazas. En aquel momento, los atacantes infiltraron malware en las actualizaciones oficiales del software de gestión de redes Orion, lo que permitió una operación de espionaje a gran escala y la exfiltración de datos sensibles. Alrededor de 18.000 clientes, entre ellos agencias gubernamentales estadounidenses y empresas estratégicas, se vieron afectados.
Ante estos riesgos, las organizaciones deben replantearse y consolidar su cadena de suministro de software, una parte muy estratégica de su entorno informático.
Cartografía de riesgos
En primer lugar, poniendo en marcha una verdadera cartografía de los riesgos de sus proveedores. En el contexto actual, es esencial visualizar la exposición geopolítica de sus socios más críticos, la localización de sus datos y su conformidad con la normativa vigente.
A escala europea, esta cartografía es una de las recomendaciones de la Directiva NIS2 (y del reglamento DORA para el sector financiero) con el objetivo de reforzar la ciberresiliencia del mayor número posible de empresas y autoridades públicas. Una mejor evaluación de los riesgos implica una mejor preparación ante posibles ataques o crisis, con la introducción de planes de continuidad de negocio y de recuperación ante desastres (Plan de Continuidad de Negocios y Plan de Recuperación de Desastres), en particular.
Elegir proveedores de confianza
Además, a las organizaciones les interesa confiar en proveedores de software de confianza con certificaciones o etiquetas reconocidas. En Europa, certificaciones de seguridad como LINCE (Certificación Nacional Esencial de Seguridad), del Centro Criptológico Nacional (CCN), o la CSPN (Certificación de Primer Nivel), de la ANSSI (Agencia Nacional de Seguridad de los Sistemas de Información), en Francia, garantizan un alto nivel de seguridad de los productos y servicios informáticos. Estos organismos apoyan a las empresas en su elección de soluciones seguras y soberanas. Además, hay que estudiar detenidamente las cláusulas contractuales, que incluyen los requisitos de localización de datos, la jurisdicción a la que está sujeto el proveedor y las auditorías de seguridad obligatorias.
La creciente dependencia de componentes de terceros es uno de los principales riesgos de acceso no autorizado y robo de datos
Reducir la dependencia tecnológica
Por último, en un momento en el que la segunda administración Trump multiplica sus movimientos de poder y desestabiliza las cadenas de suministro mundiales, los departamentos de TI se enfrentan a un desafío sin precedentes. Para limitar el riesgo de cortes o interrupciones, es crucial reducir la dependencia tecnológica de actores extranjeros, especialmente al otro lado del Atlántico, en favor de soluciones europeas seguras.
Esta exigencia de soberanía digital se está convirtiendo incluso en un imperativo estratégico en sectores críticos como la nube o las tecnologías de la información y la comunicación, especialmente vulnerables en tiempos de ciberguerra. En concreto, la videoconferencia es una de las mejores formas de recuperar información confidencial sobre gobiernos o empresas.
De hecho, como proveedor europeo independiente de videoconferencias seguras, Tixeo considera que la confidencialidad de las comunicaciones y la continuidad de la actividad son dos de las principales prioridades actuales. Su tecnología, que cuenta con la certificación CSPN, es actualmente utilizada por el 30 por ciento de las principales empresas de defensa en Europa. La compañía ofrece una solución de comunicación cifrada de extremo a extremo que permanece accesible incluso en situaciones críticas gracias a su despliegue resiliente. Al desarrollar software propietario, la firma reduce significativamente las dependencias de componentes externos que podrían introducir vulnerabilidades.
Para el sector aeroespacial y la industria, así como sus subcontratistas y socios, el uso de este tipo de solución de comunicación de reserva, segura y soberana, es decisivo para garantizar la resiliencia digital.
ENISA también señala que “una sólida protección de ciberseguridad ya no es suficiente para las organizaciones cuando los atacantes dirigen su atención a los proveedores”. Por ello, más allá de la simple implantación de medidas robustas de ciberseguridad, el desarrollo de una auténtica estrategia de ciberresiliencia es una prioridad tanto para las empresas como para las instituciones públicas, y requiere el apoyo de un ecosistema informático de confianza.





