· Jonathan Izquierdo · Noticias seguridad  ·

12 min de lectura

Los ciberataques a la cadena de suministro se duplican en 2025: 53.200 millones de dólares en pérdidas

El 22,5% de las brechas de seguridad en 2025 involucraron a terceros o proveedores, el doble que en 2024. Informe Cipher/Prosegur y Verizon DBIR con análisis forense.

El 22,5% de las brechas de seguridad en 2025 involucraron a terceros o proveedores, el doble que en 2024. Informe Cipher/Prosegur y Verizon DBIR con análisis forense.

El 22,5% de todas las brechas de seguridad registradas en 2025 involucraron a terceros o proveedores, el doble que el año anterior, con un coste global anual de 53.200 millones de dólares (Cipher/Prosegur, Feb 2026). No hablamos de ataques directos, sino de intrusiones que entran por la puerta trasera: un proveedor de software comprometido, un partner logístico con credenciales débiles, una actualización legítima que esconde código malicioso.

Como perito informático forense, cada vez investigo más incidentes donde la víctima hizo todo razonablemente bien en materia de ciberseguridad, pero cayó porque un tercero de su cadena de suministro fue el eslabón roto. En este artículo analizo las cifras del informe Cipher/Prosegur x63 Unit y del Verizon DBIR 2025, la anatomía de estos ataques, los casos más relevantes y, sobre todo, qué puede hacer tu empresa para protegerse.

TL;DR: resumen ejecutivo

AspectoDetalle
Brechas con terceros 202522,5% del total (duplicado desde 2024)
Coste global anual53.200 millones de dólares
Coste medio por brecha4,33 millones de euros
Fuente principalCipher/Prosegur x63 Unit: “Supply Chain Attacks: 2025 Analysis and 2026 Trends”
ConfirmaciónVerizon DBIR 2025: 30% de 12.195 brechas confirmadas involucraron terceros
Sector más vulnerablePYMEs logísticas (1 de cada 4 ataques internacionales)
Qué hacerAuditar proveedores, segmentar redes, plan de respuesta, peritaje preventivo

Consulta pericial gratuita

Las cifras que alarman a la industria

El informe “Supply Chain Attacks: 2025 Analysis and 2026 Trends” publicado por la unidad x63 de Cipher (Prosegur) en febrero de 2026 pone números concretos a una tendencia que los profesionales forenses llevamos meses observando: los ataques a la cadena de suministro se han convertido en el vector de intrusión de mayor crecimiento.

Cipher/Prosegur: 53.200 millones en pérdidas globales

Los datos principales del informe Cipher son contundentes (Estrategias de Inversión, Feb 2026; Dircom.org, Feb 2026):

  • 22,5% de todas las brechas de seguridad involucraron a terceros o proveedores
  • Duplicación respecto a los niveles de 2024
  • 53.200 millones de dólares en pérdidas globales anuales por ataques a la cadena de suministro
  • 4,33 millones de euros de coste medio por brecha que involucra a terceros

Verizon DBIR 2025: confirmación independiente

El informe Verizon Data Breach Investigations Report (DBIR) 2025, basado en el análisis de 12.195 brechas de seguridad confirmadas, ratifica la tendencia con datos aún más alarmantes (Verizon DBIR 2025):

  • 30% de las brechas confirmadas involucraron a terceros (frente al 15% del informe anterior)
  • 81% de las brechas con terceros se clasificaron como “system intrusion” (intrusión de sistemas)
MétricaCipher/Prosegur x63Verizon DBIR 2025
Brechas con terceros22,5%30%
Variación vs. anteriorx2 (duplicado)x2 (del 15% al 30%)
Base de datosAnálisis global 202512.195 brechas confirmadas
Coste medio4,33M€
Coste global$53.200M
Patrón dominanteIntrusión vía proveedorSystem intrusion (81%)

Ambos informes, con metodologías distintas, coinciden en la misma conclusión: la proporción de brechas que entran por la cadena de suministro se ha duplicado en un solo año.

PYMEs logísticas: la puerta de entrada

Uno de los hallazgos más relevantes del análisis de CPR (Check Point Research) sobre la seguridad en el sector manufacturero y logístico es que 1 de cada 4 ataques internacionales tiene como objetivo una PYME del sector logístico, con una media de 1.585 ataques semanales por organización durante 2025 (Revista Byte, Feb 2026; IT User, Feb 2026).

¿Por qué las PYMEs? Porque son el eslabón más débil dentro de ecosistemas productivos que conectan a grandes corporaciones. Un atacante sofisticado no necesita vulnerar directamente a una multinacional con equipos de seguridad dedicados: le basta con comprometer a un pequeño proveedor que tenga acceso a sus sistemas.

Tu proveedor puede ser tu mayor vulnerabilidad

El 99% del tejido empresarial español son PYMEs (INE, 2025). Muchas de ellas participan en cadenas de suministro de grandes empresas sin contar con políticas de ciberseguridad formales, copias de seguridad verificadas ni planes de respuesta a incidentes. INCIBE gestionó 122.223 ciberincidentes en España durante 2025, un 26% más que en 2024 (INCIBE, Balance 2025). Si un atacante compromete a tu proveedor, el siguiente objetivo eres tú.

Anatomía de un ataque a la cadena de suministro

Para entender por qué estos ataques son tan efectivos, es necesario conocer sus fases. Un ataque a la cadena de suministro típico sigue esta secuencia:

  1. Reconocimiento del proveedor vulnerable: el atacante mapea la cadena de suministro de la víctima real e identifica al proveedor con menor madurez en ciberseguridad. Herramientas OSINT, escaneo de puertos y búsqueda de credenciales filtradas en la dark web son técnicas habituales

  2. Compromiso inicial del proveedor: mediante phishing dirigido (spear-phishing), explotación de vulnerabilidades conocidas o uso de credenciales robadas (credential harvesting), el atacante obtiene acceso al sistema del proveedor

  3. Movimiento lateral hacia el objetivo real: desde la infraestructura comprometida del proveedor, el atacante pivota hacia los sistemas de la víctima principal, aprovechando las conexiones VPN, APIs o accesos remotos legítimos que existen entre ambas organizaciones

  4. Exfiltración de datos o despliegue de ransomware: una vez dentro del perímetro del objetivo real, el atacante puede exfiltrar información sensible, desplegar ransomware para cifrar sistemas, o ambas cosas simultáneamente

  5. Triple extorsión: la evolución más reciente y agresiva. El atacante combina tres vectores de presión: cifrado de datos (rescate), amenaza de filtración pública de la información robada, y ataques DDoS o presión directa sobre clientes y socios de la víctima. Este modelo fue popularizado por REvil, que en febrero de 2021 añadió llamadas telefónicas a socios comerciales y ataques DDoS como capas adicionales de presión (Bleeping Computer, 2021)

La eficacia de este modelo reside en que las defensas de la víctima final no se activan porque el tráfico malicioso llega a través de un canal de comunicación legítimo y de confianza: el de su propio proveedor.

Casos reales que marcaron 2024-2025

Los ataques a la cadena de suministro no son teóricos. Estos son los incidentes más relevantes de los últimos dos años:

IncidenteFechaImpacto
CrowdStrike / FalconJul 2024Actualización defectuosa del agente Falcon provocó pantallazos azules en 8,5 millones de sistemas Windows. Pérdidas estimadas en más de 10.000 millones de dólares (CrowdStrike, Jul 2024)
Polyfill.ioJun 2024Biblioteca JavaScript legítima comprometida tras cambio de propietario. Más de 100.000 sitios web afectados con inyección de código malicioso (Sansec, Jun 2024)
MOVEit TransferMay-Jun 2023Vulnerabilidad zero-day explotada por Cl0p. Más de 2.500 organizaciones y 65 millones de personas afectadas (CISA, 2023)
SolarWinds / SunburstDic 2020Considerado el ataque a la cadena de suministro más sofisticado de la historia. 18.000 organizaciones instalaron la actualización comprometida, incluyendo agencias del gobierno de EE.UU.
No siempre es un ataque: CrowdStrike fue un error

El incidente de CrowdStrike en julio de 2024 no fue un ciberataque, sino una actualización defectuosa que causó un fallo masivo en cascada. Sin embargo, ilustra perfectamente el riesgo de cadena de suministro: una sola dependencia tecnológica puede paralizar millones de sistemas. Desde la perspectiva forense, el análisis y la reclamación de daños requieren el mismo rigor que un ataque intencionado.

El impacto en España

España no es ajena a esta tendencia global. Los datos del balance INCIBE 2025 confirman un escenario de amenaza creciente:

  • 122.223 ciberincidentes gestionados en 2025, un 26% más que en 2024
  • 55.411 incidentes de malware (categoría más frecuente)
  • 392 ataques de ransomware específicos registrados
  • 237.028 sistemas vulnerables notificados a sus responsables

El tejido empresarial español, donde las PYMEs representan el 99% de las empresas, es especialmente vulnerable a los ataques de cadena de suministro. Muchas PYMEs participan como proveedores de grandes empresas sin contar con las medidas de seguridad que estas exigen contractualmente pero rara vez auditan en la práctica.

NIS2: la normativa europea que cambiará las reglas

La Directiva NIS2 (UE 2022/2555), que debía transponerse antes de octubre de 2024, establece obligaciones específicas de seguridad en la cadena de suministro para entidades esenciales e importantes. Entre ellas: evaluación de riesgos de proveedores, requisitos contractuales de ciberseguridad, y notificación de incidentes en 24 horas. España aún tiene pendiente la transposición completa, pero las empresas que anticipen su cumplimiento estarán mejor protegidas. Consulta los detalles en el BOE de la Directiva NIS2.

Cómo proteger tu cadena de suministro

Basándome en los informes Cipher, Verizon y en mi experiencia como perito forense en incidentes con proveedores, estas son las medidas de protección prioritarias:

  1. Auditoría de seguridad de proveedores: evalúa la postura de ciberseguridad de cada proveedor con acceso a tus sistemas. Solicita certificaciones (ISO 27001, ENS), resultados de pentesting recientes y su plan de respuesta a incidentes. Establece requisitos mínimos contractuales

  2. Autenticación multifactor (MFA) en todos los accesos: el 81% de las brechas con terceros según Verizon son “system intrusion”. MFA en VPNs, portales de proveedores y accesos remotos reduce drásticamente la superficie de ataque

  3. Segmentación de redes: nunca permitas que un proveedor acceda a la red completa. Implementa VLANs, firewalls internos y el principio de mínimo privilegio. Si un proveedor es comprometido, el daño debe quedar contenido en su segmento

  4. Cifrado de comunicaciones: todas las transferencias de datos con proveedores deben estar cifradas en tránsito (TLS 1.3) y en reposo. Verifica que las APIs de integración usan autenticación robusta (OAuth 2.0, tokens con expiración)

  5. Plan de respuesta a incidentes: documenta específicamente los escenarios de compromiso de proveedores. Define quién notifica a quién, cómo se aísla la conexión comprometida y cómo se preserva la evidencia digital para investigación forense y posible reclamación

  6. Copias de seguridad 3-2-1: tres copias, en dos soportes distintos, una fuera de la infraestructura principal. Verifica mensualmente que las copias se pueden restaurar. Un ataque de ransomware que entre por un proveedor puede cifrar también tus backups si comparten la misma red

  7. Monitorización continua con SIEM y EDR: la detección temprana es la diferencia entre un incidente contenido y una catástrofe. Un sistema SIEM correlaciona eventos de múltiples fuentes y un EDR monitoriza el comportamiento de los endpoints en tiempo real. Ambos permiten detectar movimientos laterales anómalos procedentes de conexiones de proveedores

Cuándo necesitas un perito informático forense

El perito forense: antes y después del incidente

Un perito informático forense no solo interviene tras un ataque. La intervención preventiva (auditoría de seguridad, evaluación de proveedores, simulacros de incidente) es significativamente menos costosa que la reactiva y puede evitar que tu empresa se convierta en una estadística.

Después de un ataque (intervención reactiva)

  • Preservación de evidencia digital con cadena de custodia ISO 27037, imprescindible para que la prueba sea admisible en un tribunal o válida para una reclamación al ciberseguro
  • Análisis forense de la intrusión: determinar el vector de entrada, el alcance del compromiso, qué datos fueron exfiltrados y si el origen fue un proveedor
  • Informe pericial para procedimientos judiciales, reclamaciones de seguro o notificación a la AEPD en cumplimiento del RGPD (72 horas máximo)
  • Determinación de responsabilidades: si la brecha entró por un proveedor, el informe pericial documenta técnicamente la cadena causal para fundamentar una reclamación contractual

Antes del ataque (intervención preventiva)

  • Auditoría de seguridad de proveedores con perspectiva forense: identificar debilidades antes de que un atacante las explote
  • Evaluación de cumplimiento NIS2: análisis de gaps respecto a los requisitos de seguridad en cadena de suministro
  • Diseño de protocolos de respuesta: plan de actuación específico para incidentes con origen en terceros

Preguntas frecuentes

¿Qué es un ataque a la cadena de suministro?

Un ataque a la cadena de suministro es una intrusión que compromete a una organización a través de uno de sus proveedores, socios tecnológicos o cualquier tercero con acceso a sus sistemas. En lugar de atacar directamente a la víctima, el ciberdelincuente explota la relación de confianza entre ambas entidades. Puede materializarse como una actualización de software manipulada, el compromiso de un servicio en la nube compartido, o el robo de credenciales de acceso remoto de un proveedor.

¿Mi PYME puede ser el eslabón débil de una cadena de suministro?

Sí, y es uno de los escenarios más habituales. Si tu empresa presta servicios a otras organizaciones y tiene acceso a sus sistemas (VPN, portales, APIs, acceso remoto), un atacante puede comprometer tu infraestructura como trampolín para llegar a tu cliente. Los datos de 2025 indican que 1 de cada 4 ataques internacionales a la cadena de suministro tiene como objetivo PYMEs del sector logístico (Revista Byte, Feb 2026). Las grandes empresas están empezando a exigir auditorías de seguridad a sus proveedores como requisito contractual.

¿Cubre mi ciberseguro los ataques a través de proveedores?

Depende de la póliza. Muchos ciberseguros cubren daños propios y gastos de respuesta al incidente, pero pueden excluir o limitar la cobertura si la brecha tiene origen en un tercero. Puntos clave a revisar: si la póliza cubre “ataques de cadena de suministro” expresamente, si incluye los costes de investigación forense, y si contempla la responsabilidad civil frente a tus propios clientes afectados. Un informe pericial que documente técnicamente el origen y alcance del ataque es imprescindible para activar cualquier reclamación de seguro.

¿Preocupado por la seguridad de tu cadena de suministro?

Auditoría preventiva, análisis forense tras incidente o evaluación de cumplimiento NIS2. Consulta sin compromiso para evaluar tu caso.

Solicitar consulta gratuita

Conclusión

Los datos de 2025 no dejan margen para la duda: los ataques a la cadena de suministro se han duplicado en un solo año y representan ya una cuarta parte de todas las brechas de seguridad registradas a nivel global. Con un coste medio de 4,33 millones de euros por incidente y unas pérdidas anuales de 53.200 millones de dólares, ignorar este vector de ataque es asumir un riesgo que ninguna empresa debería permitirse.

La buena noticia es que la mayoría de estos ataques son prevenibles con medidas que no requieren presupuestos millonarios: auditar a tus proveedores, segmentar tus redes, implementar MFA en todos los accesos y, sobre todo, tener un plan de respuesta que incluya la preservación de evidencia digital desde el primer minuto.

Si tu empresa forma parte de una cadena de suministro —ya sea como proveedor o como cliente—, la ciberseguridad de tus socios es tu ciberseguridad. Actuar ahora es la diferencia entre estar protegido y ser la próxima estadística.

Fuentes y referencias

  1. Cipher/Prosegur x63 Unit. “Supply Chain Attacks: 2025 Analysis and 2026 Trends”. Febrero 2026. Cobertura: Estrategias de Inversión
  2. Dircom.org. “Los ciberataques a la cadena de suministro se duplican en 2025”. Febrero 2026. dircom.org
  3. Verizon. “2025 Data Breach Investigations Report (DBIR)”. 2025. verizon.com/dbir
  4. Revista Byte. “Los ciberataques a la cadena de suministro se duplican”. Febrero 2026. revistabyte.es
  5. IT User. “Los ataques a la cadena de suministro se duplican en 2025”. Febrero 2026. ituser.es
  6. INCIBE. “Balance de Ciberseguridad 2025”. Febrero 2026. incibe.es
  7. CrowdStrike. “Falcon Update for Windows Hosts - Technical Details”. Julio 2024. crowdstrike.com
  8. CISA. “CL0P Ransomware Gang Exploits MOVEit Transfer Vulnerability”. 2023. cisa.gov
  9. Bleeping Computer. “REvil ransomware now uses DDoS attacks and voice calls to pressure victims”. 2021. bleepingcomputer.com
  10. El Periódic (Valencia). “Los ciberataques a la cadena de suministro se duplican en 2025”. Febrero 2026. elperiodic.com
  11. Logística Profesional. “Seguridad en la cadena de suministro: retos 2026”. Febrero 2026. logisticaprofesional.com
  12. Red Seguridad. “Ataques supply chain: análisis y tendencias”. Febrero 2026. redseguridad.com
  13. Directiva NIS2 (UE 2022/2555). Diario Oficial de la UE. eur-lex.europa.eu

Artículo redactado por Jonathan Izquierdo, perito informático forense. Ex-CTO, 5x AWS Certified, metodología ISO 27037. Especializado en análisis forense de incidentes de ciberseguridad, cadena de custodia digital e informes periciales para tribunales y aseguradoras.

Última actualización: 16 de febrero de 2026.

Sobre el autor

Jonathan Izquierdo es perito informático forense especializado en Noticias seguridad con conocimientos en blockchain, criptomonedas, AWS Cloud, desarrollo de software y seguridad. Experiencia tecnológica de más de 20 años al servicio de la justicia digital, liderando equipos de desarrollo de software en ámbitos internacionales.

Ver más sobre mí

Volver al Blog

Posts Relacionados

Ver Todos los Posts »
Jonathan Izquierdo

Jonathan Izquierdo · Perito Forense

+15 años experiencia · AWS Certified

WhatsApp