La Seguridad de tus Proveedores: La Bomba de Relojería que Tienes en tu Empresa y no Quieres Mirar
- Alex De los Llanos Dueñas
- Julio 2025
El otro día hablaba con el director de una empresa cliente. Un tipo brillante, de verdad. Tenía su propia seguridad bajo un control casi militar: doble factor de autenticación para todos, formación continua a sus empleados, sistemas de detección de última generación... un trabajo impecable. Estaba orgulloso, y con razón. Pero mientras me lo contaba, no pude evitar hacerle una pregunta: "¿Y qué tal la seguridad de tu gestoría?". Se quedó callado un segundo. Su gestoría, un pequeño despacho de tres personas en las afueras, seguía teniendo una única contraseña para su servidor principal. Y adivina quién tenía acceso total a su contabilidad, a sus nóminas y a los datos de sus empleados.
En ese silencio incómodo de mi cliente reside uno de los mayores agujeros negros de la ciberseguridad actual. Nos hemos pasado una década obsesionados con construir fortalezas, con proteger nuestro perímetro, nuestro castillo. Pero el mundo ya no funciona así. Tu empresa no es una isla; es un ecosistema. Y en ese ecosistema viven tus proveedores de software, tu agencia de marketing, tu consultora legal, la empresa de mantenimiento de las impresoras... docenas de socios a los que, cada día, les das una copia de las llaves de tu castillo.
Los malos lo saben. De hecho, les encanta. ¿Para qué intentar derribar la puerta principal de un castillo bien defendido si pueden entrar tranquilamente por la puerta de servicio, disfrazados del repartidor de confianza? Atacar a tus proveedores, especialmente a los más pequeños y con menos recursos, es el camino más fácil y efectivo para llegar a ti. Y si antes esto era simplemente una táctica inteligente por su parte, ahora, con normativas como la Directiva NIS2, se ha convertido en tu responsabilidad legal. Europa ya nos ha dado el tirón de orejas: la seguridad de tu cadena de suministro es tu problema. Ignorarlo ya no es un despiste, es una negligencia.
El Interrogatorio: Cómo Dejar de Rezar y Empezar a Preguntar
Cuando hablo de gestionar el riesgo de terceros (lo que los finos llaman TPRM), muchos directivos se imaginan procesos de auditoría larguísimos y carísimos. Pero la realidad es mucho más simple. Se trata de aplicar el sentido común y empezar a hacer las preguntas incómodas que llevamos años evitando.
Lo primero es una tarea que parece una tontería, pero que te aseguro que el 90% de las empresas no ha hecho bien nunca: coge papel y boli y haz una lista. Una lista de TODAS las empresas y servicios externos que tocan tus datos o tus sistemas. Todas. Desde el gigante que te da el servicio en la nube hasta el chaval autónomo que te hizo la web hace tres años y que todavía tiene las contraseñas de administrador. Una vez que tienes esa lista, ponle una etiqueta a cada uno: "Crítico", "Importante", "Secundario". ¿Quién tiene las llaves de la caja fuerte y quién solo tiene las del baño?
Con esa lista en la mano, empieza el interrogatorio. A los proveedores críticos, a los que de verdad pueden liártela, tienes que sentarlos y preguntarles. Sin miedo. "¿Cómo protegéis vuestros ordenadores? ¿Usáis doble factor de autenticación? ¿Formáis a vuestra gente en phishing? ¿Tenéis un plan si os atacan? ¿Estáis certificados en algo?". No hace falta ser un ingeniero de la NASA para hacer estas preguntas. Es la misma diligencia que aplicarías si fueras a dejarle las llaves de tu casa a alguien para que te la cuide en vacaciones.
Y la regla de oro: que todo quede por escrito. De nada sirven las buenas palabras si no están en el contrato. El acuerdo con tu proveedor debe tener un anexo de seguridad claro como el agua. Que especifique sus obligaciones, que diga que te tienen que notificar en menos de 24 horas si sufren una brecha que te afecte, y que detalle quién paga los platos rotos si su error te cuesta a ti el dinero y la reputación. La confianza es maravillosa, pero un contrato firmado protege mucho más.
La Relación No Acaba con la Boda: Vigilar de Cerca a tus Socios
Firmar el contrato con todas las cláusulas de seguridad es como el día de la boda. Todo es perfecto. Pero la relación empieza al día siguiente, y hay que cuidarla. Pensar que un proveedor va a ser seguro para siempre solo porque lo era cuando lo contrataste es un error de principiante.
Necesitas un sistema de vigilancia continua. Esto no es más que hacer una "ITV de seguridad" a tus socios más críticos de forma periódica. Una vez al año, por ejemplo. Les vuelves a pasar el cuestionario, les pides pruebas de que siguen aplicando los controles que prometieron. Es una forma de decirles: "Confío en ti, pero me importa tanto mi negocio que necesito verificar que todo sigue en orden". Las empresas serias lo entienden y lo aprecian. Las que ponen pegas... suelen ser las que tienen algo que ocultar.
También tienes que pensar en el final de la relación. El "plan de divorcio" es crucial. Cuando dejas de trabajar con un proveedor, tiene que haber un proceso automático y riguroso para cortarle todos los accesos. Todos. Al correo, a los servidores, a las aplicaciones. Inmediatamente. Y tienes que tener la garantía de que han borrado todos tus datos de sus sistemas. Dejar cuentas activas de ex-proveedores es como dejarle una copia de tus llaves a un antiguo inquilino. Una chapuza de manual que puede salir carísima.
Conclusión
Al final, todo esto se reduce a un cambio de mentalidad. Tu empresa ya no es una entidad aislada. Eres el centro de un pequeño universo de socios, y tu seguridad depende directamente de la de ellos. Eres tan fuerte como el más débil de tus proveedores. Mirar para otro lado y cruzar los dedos ya no es una estrategia válida.
Poner orden en la seguridad de tus proveedores es un trabajo que requiere esfuerzo, sí. Pero dormir tranquilo por las noches sabiendo que has cerrado todas las puertas, no solo la tuya, no tiene precio. Si no sabes por dónde empezar a hacer las preguntas incómodas, llámanos. Llevamos años ayudando a nuestros clientes a encender la luz en esas habitaciones oscuras.
Ya lo sabes. Contacta con nosotros.