El nuevo informe de Cipher sitúa el coste medio por incidente en 4,33 millones de euros y alerta de que el 22,5% de las brechas ya implica a terceros. Carlos A. Fernández, director de xMDR, advierte en exclusiva para Logística C de Comunicación: “Si no hay protección, no hay contrato”.
Los ciberataques dirigidos a la cadena de suministro han duplicado su volumen en 2025 y generan un impacto global estimado en 53.200 millones de dólares anuales, según el informe ‘Ataques a la cadena de suministro: análisis 2025 y tendencias 2026’, elaborado por Cipher, división de ciberseguridad de Prosegur.
El estudio cifra en 4,33 millones de euros el coste medio por incidente y destaca que el 22,5% de las brechas registradas durante el año involucró a proveedores o terceros, el doble que en 2024. Además, las organizaciones tardan una media de 254 días en detectar y contener una intrusión originada en su ecosistema de suministro.
Cipher integra en su análisis datos de IBM, Verizon DBIR, Sophos, KELA y Sonatype, y constata un aumento de la actividad de ransomware, con 4.701 incidentes registrados entre enero y septiembre a nivel global… Así como la detección de 877.522 paquetes maliciosos en repositorios de código abierto.
El proveedor pequeño, el eslabón débil
Para Carlos A. Fernández, director de la división xMDR de Cipher, el foco no responde tanto a un sector concreto como al nivel de madurez en ciberseguridad. “Observamos una mayor prevalencia de empresas relativamente pequeñas que tienen acceso poco restringido o gestionan productos estratégicos dentro de las compañías a las que sirven”, explica. El riesgo surge cuando esos accesos no cuentan con controles adecuados o supervisión efectiva.
El informe confirma que el vector indirecto gana peso frente al ataque directo. Según Fernández, muchas compañías aún limitan la gestión de terceros a formularios o declaraciones responsables. “Son pocas las que solicitan medidas, políticas, auditorías o certificaciones para asegurar que los controles están desplegados”, señala.
Entre los errores más habituales cita accesos innecesarios a recursos críticos o una gestión deficiente de permisos y cuentas de usuario.
Manufactura y logística, bajo presión
El sector manufacturero registró un incremento del 61% interanual en ataques, situándose entre los más afectados junto con tecnología y retail.
Fernández atribuye esta exposición a dos factores: la coexistencia de entornos IT y OT y la limitada monitorización en planta. “La prioridad suele centrarse en la máquina que produce, no en la protección del parque tecnológico que garantiza la continuidad de esa producción”, apunta.
En el ámbito logístico, el director de xMDR identifica un aumento de ciberataques dirigidos a operadores 3PL. Las consecuencias trascienden a la empresa afectada. “Si un operador que da servicio a 50 compañías de retail sufre un cifrado, puede producirse pérdida de trazabilidad cruzada. El cliente no sabe dónde están sus camiones”, explica.
Fernández menciona también casos recientes en distribución alimentaria donde un retraso de 48 horas en la validación de albaranes digitales provocó la pérdida de toneladas de producto fresco. Y recuerda el precedente de Maersk, cuyo ataque de ransomware en 2017 paralizó miles de contenedores y terminales, con un coste estimado en 300 millones de dólares.
254 días para reaccionar
El plazo medio de 254 días para detectar y contener una brecha refleja, según Fernández, un problema organizativo además de tecnológico.
“El número de tecnologías no deja de crecer y cada una genera miles de alertas que las compañías no revisan de forma eficaz”, indica. A su juicio, el obstáculo principal radica en la asignación presupuestaria, la concienciación y la falta de capacidades técnicas internas.
Ransomware de triple extorsión en 2026
De cara a 2026, Cipher anticipa una evolución del ransomware hacia modelos de triple extorsión, con mayor presión sobre clientes y ecosistemas completos. “La cadena de suministro actúa como pegamento entre productores, transportistas y consumidores. La triple extorsión penaliza al atacado y a todo su entorno”, advierte Fernández. El atacante no solo cifra sistemas, sino que amenaza con divulgar datos de clientes o explota la urgencia derivada de un paro en entornos Just in Time.
También alerta de implicaciones en materia de seguros y responsabilidad civil. “Muchas aseguradoras ya excluyen el rescate si no existió diligencia en la gestión del riesgo de terceros. El impacto va más allá del servidor; alcanza a la relación con toda la base de clientes”, subraya.
Tres prioridades para logística y operaciones
Fernández sintetiza en tres ejes las medidas clave para directores de logística y operaciones:
- Infraestructura: aplicar estrategias de confianza cero y segmentar accesos.
- Procesos: exigir evidencias de protección a proveedores críticos. “Si no hay protección, no hay contrato”.
- Operativa: prepararse para funcionar en modo degradado, con capacidad de mantener la actividad esencial sin depender por completo del núcleo tecnológico.
En un entorno logístico cada vez más interconectado, el informe de Cipher sitúa la gestión del riesgo de terceros y la reducción del tiempo de detección como factores determinantes para proteger la continuidad operativa.
