IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Ciberseguridad

CIS Control 15: Gestión de proveedores, tu seguridad es tan fuerte como la de tus terceros

14/07/2026 3 min de lectura Rubén Espinoza

El control número quince de los CIS aborda un riesgo que crece cada año y que casi nadie gestiona: los proveedores de servicio. Tu empresa no opera sola; depende de terceros que tocan tus datos y tus sistemas —el proveedor de nube, el software como servicio, el que administra tu TI, el que procesa tus pagos—. Y aquí está la verdad incómoda: una brecha en cualquiera de ellos puede ser una brecha en ti. Tu seguridad es, en parte, tan fuerte como la del eslabón más débil de tu cadena de proveedores.

Por qué el riesgo de terceros es tan real

Cuando le das a un proveedor acceso a tus sistemas o le confías tus datos, le estás extendiendo tu perímetro de seguridad. Si ese proveedor es comprometido, el atacante puede llegar a ti a través de él, saltándose tus propias defensas. Los ataques a la cadena de suministro —comprometer a un proveedor para llegar a sus clientes— se han vuelto una táctica preferida justamente porque es eficiente: comprometes uno, alcanzas a muchos. El proveedor con acceso a tu red y malas prácticas de seguridad es una puerta trasera que tú no controlas directamente pero por la que pueden entrar a tu casa.

Qué pide en la práctica

  • Un inventario de proveedores que manejan tus datos o acceden a tus sistemas: saber quiénes son y a qué tienen acceso.
  • Evaluar su seguridad según la criticidad: no es lo mismo el que hospeda tu base de datos de clientes que el que te vende papelería. A los que tocan lo sensible, se les exige y verifica más.
  • Requisitos contractuales de seguridad: dejar por escrito qué deben cumplir y cómo deben notificarte ante un incidente.
  • Gestionar el ciclo completo, incluida la salida: revocar accesos y recuperar o eliminar datos cuando la relación termina —algo que se descuida tanto como cambiar de proveedor sin dejar cabos sueltos.

El aterrizaje honesto

No puedes auditar a fondo a cada proveedor, y no hace falta: el trabajo es proporcional al riesgo. Concentra el rigor en los pocos que tocan lo crítico, y aplica lo básico al resto. Esto se cruza con evaluar bien a quién contratas —lo mismo que pedimos al evaluar proveedores por calidad y no solo por precio—: parte de esa evaluación es su seguridad. En un mundo donde todo se terceriza, ignorar el riesgo de proveedores es dejar abierta una puerta que ni siquiera está en tu edificio, pero que da a tu casa.

#ciberseguridad #cis #proveedores #terceros

Preguntas frecuentes

¿Tengo que auditar la seguridad de todos mis proveedores?

No con la misma profundidad. El esfuerzo debe ser proporcional al riesgo: los proveedores que manejan datos sensibles o tienen acceso a tus sistemas críticos merecen una evaluación seria; los de bajo riesgo, mucho menos. Intentar auditar todo por igual es inviable y desperdicia esfuerzo. La clave es identificar cuáles terceros pueden hacerte más daño si fallan y concentrar ahí la atención.

¿Qué es un ataque a la cadena de suministro?

Es cuando un atacante compromete a un proveedor para, a través de él, alcanzar a sus clientes. En lugar de atacar directamente a cada objetivo, compromete un eslabón común (un software, un servicio) y así llega a todos los que confían en él. Es una táctica eficiente y en aumento, y es la razón de fondo por la que gestionar el riesgo de tus proveedores importa: su seguridad se vuelve parte de la tuya.

¿Qué debo revisar al terminar la relación con un proveedor?

Que se revoquen todos sus accesos a tus sistemas y cuentas, y que tus datos en su poder se devuelvan o se eliminen de forma segura según lo acordado. Es un punto muy descuidado: proveedores antiguos que conservan accesos o copias de datos mucho después de terminar el contrato. Cerrar bien esa salida evita dejar puertas abiertas y datos tuyos en manos que ya no deberían tenerlos.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Ciberseguridad

Por qué Microsoft Authenticator es tan popular (y cuándo tiene sentido)
Qué es un OTP: el código de 6 dígitos que cambia cada 30 segundos
Tipos de MFA: SMS, correo y app, cuál es más seguro (y por qué)