El 42% de las organizaciones identifica la falta de especialistas como el principal obstáculo para frenar los ataques a la cadena de suministro, una amenaza ya extendida y en aumento
23 abr 2026 . Actualizado a las 05:00 h.Durante años, la ciberseguridad tuvo un papel secundario en muchas empresas. Era un área técnica, con poca visibilidad, centrada en proteger los sistemas mientras el negocio seguía su curso. Hoy, ese escenario ha cambiado. La transformación digital ha multiplicado las conexiones: proveedores, socios tecnológicos y programas externos forman parte del día a día de cualquier compañía. Y cada uno de esos elementos pueden convertirse en una puerta de entrada para un ataque.
Un informe de la consultora de ciberseguridad Kaspersky, pone el foco en una debilidad que atraviesa a buena parte del tejido empresarial español: la falta de talento en ciberseguridad. El 42 % de las organizaciones en España señala la escasez de profesionales cualificados en seguridad IT y la dificultad para priorizar tareas como uno de los principales obstáculos para reducir los riesgos en la cadena de suministro. En otras palabras, falta capacidad para hacer frente a amenazas cada vez más complejas.
Porque los ataques ya están ocurriendo. Una de cada tres empresas ha sufrido en el último año un incidente relacionado con su cadena de suministro o con relaciones de confianza. Son ciberataques especialmente difíciles de detectar, ya que no entran directamente en la empresa, sino a través de terceros. Lo hacen de la mano de proveedores o de herramientas externas. Por ejemplo, el pasado enero, un grupo de ciberdelincuentes suplantó al departamento de atención al cliente de Vueling y envió a sus clientes mensajes privados que parecían, en apariencia, verdaderos.
En abril, también hubo empresas atacadas: la cadena de gimnasios Basic-Fit —que sufrió un acceso no autorizado a su base de clientes— o Booking, que vio expuestos millones de datos de reservas hechas en la plataforma.
Falta de manos, exceso de tareas
El déficit de talento no es un problema aislado. Se suma a otro factor que complica aún más la situación: la acumulación de prioridades. Los equipos de ciberseguridad, que en muchos casos son reducidos, deben atender al mismo tiempo incidentes urgentes, mantenimiento de sistemas, cumplimiento normativo o formación interna. En ese contexto, la vigilancia de proveedores —que requiere tiempo y especialización— queda en un segundo plano.
El resultado es un punto ciego. Las empresas pierden capacidad para detectar vulnerabilidades en terceros, justo cuando más dependen de ellos. España no es una excepción. El informe sitúa al país entre aquellos donde la falta de especialistas en ciberseguridad es más acusada, junto a economías como Vietnam, Emiratos Árabes Unidos o México.
A esta presión operativa se añaden problemas estructurales. El 39 % de las empresas reconoce que sus contratos con proveedores no incluyen requisitos claros de ciberseguridad. Es decir, la protección no forma parte explícita del acuerdo. No se exige, no se audita, no se penaliza. Además, un 32 % admite que el personal no especializado no entiende bien estos riesgos, lo que aumenta la exposición de la organización.
Seguridad desigual
Las medidas de protección tampoco están implantadas de forma homogénea. Ninguna supera el 40 % de adopción. Por ejemplo, la autenticación en dos factores, una de las más básicas, solo está presente en el 38 % de las empresas. Y apenas el 35 % revisa de forma periódica la seguridad de sus proveedores. Esto significa que la mayoría de las organizaciones no tiene una visión continua de los riesgos que asumen a través de terceros.
Los expertos que firman el informe de Kaspersky también señalan otro patrón claro: las compañías que ya han sufrido un ataque reaccionan. Las que han tenido incidentes en la cadena de suministro son más exigentes con sus proveedores, por ejemplo solicitando pruebas de seguridad. Las que han sido víctimas de ataques basados en la confianza revisan más a fondo las políticas y estándares de sus socios. Pero ese aprendizaje llega después del problema.