Hard2bit
← Volver al blog

Cadena de suministro digital 2025-2026: 5 lecciones para el CISO desde los datos europeos y globales

Por Adrián González · CEO · Publicado: 11 de junio de 2026 · Actualizado: 11 de junio de 2026
Investigación Ciberseguridad
Cadena de suministro digital 2026

Dos informes publicados en los últimos meses pintan el mismo cuadro: el riesgo de cadena de suministro digital ha dejado de ser una preocupación abstracta de los reguladores para convertirse en el patrón estructural que más cambia la operativa diaria de los equipos de seguridad. Las cifras vienen de fuentes verificables, no de marketing.

El Threat Landscape 2025 de ENISA (publicado el 1 de octubre de 2025, ventana de incidentes del 1 de julio de 2024 al 30 de junio de 2025) analiza 4.875 incidentes en la Unión Europea. El Data Breach Investigations Report 2026 de Verizon (período de noviembre de 2024 a octubre de 2025) suma una mirada global con casuística distinta. Cruzados, ofrecen cinco lecciones concretas que un CISO puede convertir en plan de acción para 2026.

1. Las vulnerabilidades de software desplazan a las credenciales como vector principal

Durante años la narrativa dominante fue que las brechas empezaban con una contraseña filtrada o un correo de phishing. En 2025 el reparto cambia. Verizon DBIR 2026 cifra en el 31 por ciento las brechas que comienzan con explotación de una vulnerabilidad de software, por delante de las credenciales robadas. ENISA, con su propia metodología y foco europeo, ubica la explotación de vulnerabilidades en el 21,3 por ciento de los vectores de intrusión inicial, sólo por debajo del phishing.

Para el CISO el mensaje es operativo: la gestión de vulnerabilidades —con priorización basada en exposición real, no en CVSS aislado— se convierte en el control que más reduce probabilidad de brecha. Las herramientas ya están en el mercado (KEV como lista mínima obligatoria, EPSS como señal de probabilidad), pero la mayoría de organizaciones siguen priorizando por gravedad teórica. Esa brecha entre la práctica y la evidencia es la que más cuesta cerrar.

2. Las dependencias digitales son ya el principal multiplicador de impacto

Juhan Lepassaar, director ejecutivo de ENISA, lo verbalizó al presentar el informe: «Los sistemas y servicios de los que dependemos en nuestra vida diaria están entrelazados, de modo que una interrupción en un extremo puede tener un efecto cascada en la cadena de suministro. Esto está conectado con un aumento del abuso de dependencias cibernéticas por parte de actores de amenazas que pueden amplificar el impacto de los ciberataques.» (traducción del comunicado original en inglés de ENISA).

El cambio de tono importa. No es ya el discurso clásico de «vigila a tus proveedores», es el reconocimiento institucional de que la interdependencia digital es un acelerador estructural del daño. Cuando un proveedor SaaS crítico cae o es comprometido, el incidente deja de ser bilateral y pasa a tener efectos en cascada sobre clientes, partners y, en sectores regulados, ciudadanos.

Operativamente esto se traduce en programas de gestión de riesgo de terceros (TPRM) que ya no pueden quedarse en una hoja de cálculo de proveedores. Necesitan inventario consolidado, criticidad por servicio, due diligence técnica con evidencias, cláusulas contractuales alineadas con DORA y NIS2, monitorización continua entre revisiones formales y plan de salida documentado para los proveedores críticos. El artículo 28 de DORA y el 21.2.d de NIS2 piden precisamente esto.

3. El phishing sigue siendo líder y la IA generativa lo industrializa

Si esperabas que la IA generativa hiciera otra cosa, los datos no la respaldan todavía. ENISA identifica el phishing —correo, vishing, malspam y malvertising— como el vector inicial de intrusión número uno, con cerca del 60 por ciento de los casos observados. Y lo que era ya un problema crónico se ha automatizado: a inicios de 2025, las campañas de social engineering apoyadas en IA representan más del 80 por ciento de la actividad observada a escala global, según el propio informe.

Lo que cambia es la barrera de entrada del atacante. Servicios tipo Phishing-as-a-Service (PhaaS) permiten desplegar campañas creíbles con coste y experiencia mínimos. El ataque deja de requerir un actor sofisticado y se mercantiliza, mientras la defensa sigue dependiendo de personas que tienen que distinguir un correo real de uno fabricado por un modelo. La asimetría es desfavorable.

Verizon DBIR 2026 añade un matiz: el móvil registra un 40 por ciento más de tasa de clic que el correo tradicional. Las organizaciones llevan años entrenando al usuario para detectar phishing en bandeja de entrada; el atacante ha movido el frente a SMS, mensajería instantánea y notificaciones push. La concienciación basada exclusivamente en simulaciones de correo se queda corta.

4. Hacktivistas y actores estado-nación convergen en herramientas y técnicas

Una de las observaciones más interesantes de ENISA 2025 es la convergencia entre grupos de amenaza. Los hacktivistas usan herramientas y técnicas que antes eran patrimonio de actores estado-nación, y al revés. ENISA acuña el término «faketivism» para describir intrusiones de actores alineados con un Estado que adoptan apariencia de hacktivismo para complicar la atribución.

El dato cuantitativo refuerza la tendencia: el 77 por ciento de los incidentes reportados en la UE en el período analizado son ataques de denegación de servicio distribuido (DDoS), en su mayoría desplegados por hacktivistas. Aunque la mayoría tiene impacto operativo bajo (sólo el 2 por ciento de los incidentes de hacktivismo deriva en interrupción real del servicio), saturan el panorama, gastan capacidad de respuesta y disfrazan ataques de mayor impacto que se ejecutan en paralelo.

Para un CISO, esto se traduce en dos consecuencias prácticas. Primera: la atribución temprana es cada vez más difícil y arriesgada, así que los procedimientos de respuesta a incidentes deben mantenerse al margen del «¿quién está detrás?» hasta tener evidencia sólida. Segunda: hay que reforzar resiliencia DDoS y separar señal de ruido, porque los actores serios usan el ruido hacktivista como cobertura.

5. NIS2 ya no es teoría: el 53,7 % de los incidentes EU afectan a entidades esenciales

La cifra del informe que más debería preocupar a la dirección es esta: el 53,7 por ciento del total de incidentes registrados en la UE en el período analizado por ENISA afectan a entidades calificadas como esenciales según la Directiva NIS2. La administración pública lidera con un 38,2 por ciento, seguida de transporte (7,5 %), infraestructura y servicios digitales (4,8 %), finanzas (4,5 %) y manufactura (2,9 %).

El solapamiento entre los sectores más atacados y los sectores cubiertos por NIS2 no es casual: la regulación se diseñó precisamente para reforzar la resiliencia de esos verticales. El problema operativo es que la transposición nacional en muchos Estados miembros avanza más lento que el riesgo, y las organizaciones siguen abordando NIS2 como ejercicio documental cuando los atacantes ya están operando.

La lección es directa: las entidades esenciales que aún tratan la directiva como un proyecto de cumplimiento de fin de año van a llegar tarde. NIS2 debería ser ya programa operativo continuo, con evidencia mensual de revisión y métricas que la dirección entienda.

Acción CISO 2026: traducir las cinco lecciones a plan

Si los datos coinciden, el plan también se puede consolidar. Cinco bloques de acción mínimos para los próximos doce meses:

  • Priorizar la gestión de vulnerabilidades con KEV y EPSS como entradas obligatorias, no como dashboards opcionales. Política escrita, plazos por nivel y métricas comparables.
  • Profesionalizar el programa de gestión de riesgo de terceros (TPRM) con inventario consolidado, due diligence técnica con evidencias y planes de salida documentados para los críticos. Empezar por los 20 proveedores de mayor impacto y crecer.
  • Reforzar concienciación más allá del correo: SMS, mensajería instantánea, voz y notificaciones push. Simulaciones realistas adaptadas al perfil de la organización.
  • Separar resiliencia DDoS de respuesta a incidentes serios. La saturación es el escenario habitual; los procedimientos de respuesta deben distinguir ruido de ataque verdadero.
  • Tratar NIS2 como programa operativo continuo, no como hito anual. Evidencias mensuales, métricas para dirección y mapeo claro de cada control a un dueño nombrado.

En la práctica, los dos puntos de partida más rápidos son: descubrir y entender la propia superficie de ataque externa (Hard2bit Scanner ofrece una foto pasiva en 60 segundos sobre cualquier dominio) y abrir una página propia de gestión de superficie de ataque (ASM/EASM) coordinada con la gestión de vulnerabilidades. El resto del plan se construye sobre ese inventario.

Conclusión: el riesgo se mueve a las dependencias, la respuesta debe acompañar

El patrón de los próximos doce meses no será un único ataque mediático sino la acumulación de incidentes más pequeños cuyo origen estará, cada vez más, en una dependencia digital ajena. Las organizaciones que entren en 2026 con un programa TPRM real, una gestión de vulnerabilidades basada en evidencia y un trabajo serio de superficie de ataque van a tener ventaja medible. Las demás van a aprender en caliente. Para hablar del programa concreto que mejor encaja en tu organización, contacta con Hard2bit.

Fuentes citadas

ENISA Threat Landscape 2025 (1 de octubre de 2025): enisa.europa.eu/publications/enisa-threat-landscape-2025. Verizon Data Breach Investigations Report 2026 (período noviembre 2024 — octubre 2025): verizon.com/business/resources/reports/dbir.

Preguntas frecuentes

¿Qué porcentaje de las brechas de seguridad tiene origen en la cadena de suministro digital en 2025?

Las dos fuentes principales no dan una cifra única para "brecha vía cadena de suministro" porque no encajan en una sola categoría: el riesgo aparece repartido entre vectores. ENISA Threat Landscape 2025 sí cuantifica los vectores iniciales de intrusión sobre 4.875 incidentes en la UE: 60% phishing y 21,3% explotación de vulnerabilidades, ambos vías habituales para comprometer un proveedor que después abre la puerta del cliente. Verizon DBIR 2026 sitúa además en el 31% las brechas que comienzan con explotación de una vulnerabilidad de software, vía por la que se materializan muchos compromisos vía SaaS y terceros tecnológicos.

¿Qué exige DORA sobre la gestión del riesgo de terceros TIC?

El artículo 28 del Reglamento DORA establece obligaciones específicas para las entidades financieras: mantener un registro detallado de proveedores TIC, clasificar la criticidad de cada acuerdo, evaluar la concentración de riesgo, aplicar cláusulas contractuales mínimas, garantizar derechos de auditoría y disponer de planes de salida documentados para los proveedores críticos. La entidad sigue siendo responsable aunque externalice, y debe poder demostrarlo ante el supervisor competente. DORA aplica desde el 17 de enero de 2025.

¿Y NIS2? ¿Qué pide sobre la cadena de suministro?

El artículo 21.2.d de la Directiva NIS2 obliga a las entidades esenciales e importantes a gestionar el riesgo de su cadena de suministro de forma proporcional al perfil de la organización: cuestionarios homogéneos, due diligence técnica, cláusulas contractuales y evidencia de revisión periódica. ENISA Threat Landscape 2025 documenta que el 53,7% de los incidentes registrados en la UE en el período analizado afectan precisamente a entidades calificadas como esenciales bajo NIS2, lo que confirma que la cobertura sectorial de la directiva coincide con el perfil real de víctimas.

Si no tenemos programa TPRM, ¿por dónde empieza un CISO en 90 días?

Cinco acciones mínimas en orden: 1) consolidar el inventario real de proveedores con criticidad por servicio y datos tratados; 2) clasificar los 20 más críticos y aplicar due diligence técnica con evidencias, no solo certificaciones declaradas; 3) revisar cláusulas contractuales clave (auditoría, notificación de incidentes, subcontratación, ubicación de datos, plan de salida); 4) instalar monitorización continua entre revisiones formales —cambios materiales, brechas públicas, expiración de certificaciones— y 5) presentar al comité un cuadro de mando con cobertura, plazos y proveedores con plan de mejora abierto. Es lo que pide DORA y lo que NIS2 va a auditar.

¿Cómo se mide la eficacia operativa de un programa TPRM?

Las métricas útiles para comité son cinco: cobertura del inventario (porcentaje de proveedores con due diligence vigente), tiempo medio de revisión, número de hallazgos materiales detectados en los últimos doce meses, proveedores críticos con plan de mejora abierto y proveedores críticos con plan de salida documentado. La métrica más reveladora suele ser la primera: un programa que cubre menos del 80% de proveedores críticos con revisión vigente no está cumpliendo los marcos exigidos por DORA, NIS2 o ISO 27001:2022 controles 5.19-5.22.