El informe de brechas más grande de la historia documenta 22,000 casos reales en 145 países. Su hallazgo más urgente para las empresas medianas y pequeñas: la cadena de suministro digital —los proveedores con acceso a tus sistemas— es hoy el vector de ataque de mayor crecimiento en el mundo.
¿Cuántas personas o empresas externas tienen acceso activo a los sistemas de tu negocio en este momento? No cuántas conoces. Cuántas podrías documentar con exactitud: qué tienen acceso, desde cuándo y cuándo fue revisado por última vez.
La mayoría de los empresarios tarda en responder. No porque no lo sepan. Sino porque cuando empiezan a contar —el despacho contable, el proveedor de nómina, la agencia de marketing, el consultor de ERP, el técnico de TI externo— la lista crece más de lo que habían pensado. Y ninguno de esos accesos ha sido auditado en el último año.
Eso es exactamente lo que el Verizon 2026 Data Breach Investigations Report documenta con 31,000 incidentes reales. En su edición número 19, el informe analizó más de 22,052 brechas de datos confirmadas en organizaciones de 145 países, el conjunto de datos más grande que este reporte ha producido. Y lo que encontró sobre las empresas pequeñas y medianas debería cambiar la agenda de seguridad de cualquier director esta semana.
El 55% de las brechas confirmadas en PyMEs involucraron a terceros como vector de entrada. Las brechas originadas en proveedores y plataformas subcontratadas crecieron un 60% en el último año y ahora representan el 48% de todos los incidentes globales.
No al sistema de la empresa directamente. A un proveedor, una plataforma tecnológica subcontratada, un socio con acceso a la red. Alguien externo que ya tenía la llave. Y a través de ese alguien, entraron. El informe registró 7,152 brechas confirmadas en PyMEs durante el periodo analizado. El 96% de las víctimas de ransomware, en los casos donde se identificó el tamaño de la organización, eran empresas pequeñas o medianas.
La cadena de suministro digital —que en una PyME mexicana típica incluye contabilidad externa, proveedor de nómina, agencia de marketing digital, consultor de ERP y técnico de TI externo— es hoy el vector de ataque de mayor crecimiento en el mundo. Cada uno de esos actores es una extensión de la superficie de ataque de la empresa. Y cuando alguno tiene credenciales débiles, sistemas sin actualizar o falta de autenticación en dos pasos, ese riesgo se transfiere directamente. Solo el 23% de los terceros en el estudio habían remediado sus brechas de MFA. Las configuraciones incorrectas en ambientes externos tardan en promedio 8 meses en ser corregidas.
Esta semana tres casos confirman el patrón de forma simultánea. ShinyHunters comprometió los servidores de Oracle PeopleSoft de más de 100 organizaciones durante junio, usando como vector la plataforma tecnológica compartida de un proveedor. El incidente de Nintendo, documentado esta semana como referencia en análisis sectoriales globales, siguió el mismo esquema: un acceso de proveedor externo comprometido sin necesidad de explotar ninguna vulnerabilidad interna. Y varias decenas de empresas fueron notificadas sobre el impacto del incidente Klue-Salesforce, donde la entrada fue un token de autenticación comprometido en la capa de integración entre dos servicios. En los tres casos, el atacante no entró por la empresa. Entró por algo entre la empresa y un tercero.
La inteligencia artificial amplifica el riesgo. El DBIR documenta que los atacantes usan IA a través de un promedio de 15 técnicas distintas por incidente, y que la ventana entre el descubrimiento de una vulnerabilidad y su explotación activa se comprimió de meses a horas. Al mismo tiempo, el tiempo promedio de remediación de vulnerabilidades en las empresas aumentó de 32 a 43 días. Los atacantes aceleran. Los defensores se retrasan.
Un dato adicional transforma la forma de ver este problema: el 73% de las víctimas de ransomware habían sufrido una infección de infostealer o filtración de credenciales en el año previo al ataque, y el 50% de ellas en los 95 días anteriores. Las credenciales robadas se venden como acceso inicial verificado en mercados criminales, y los grupos de ransomware simplemente las compran. Las empresas pequeñas enfrentan una mediana de 7 eventos de filtración de credenciales por año, la mayoría sin enterarse.
La pregunta que queda en el aire es directa: si alguno de tus proveedores externos fuera comprometido hoy, ¿cuánto tardarías en enterarte? ¿Cuánto daño habría ocurrido antes de que lo supieras?
| LO QUE NO PUEDE ESPERAR ESTA SEMANA 1. Inventariar todos los accesos externos activos: quién tiene acceso a qué, desde cuándo y con qué permisos. 2. Aplicar mínimo privilegio: ningún proveedor externo con más acceso del que su función requiere. 3. Exigir MFA a todos los terceros con acceso a sistemas internos — incluirlo como condición contractual. 4. Implementar revisión trimestral de accesos externos y revocar los que ya no son necesarios. 5. Establecer cláusula de notificación de incidentes en contratos con proveedores (plazo máximo 24–48 h). 6. Definir política de IA autorizada para colaboradores y documentar qué información puede usarse en qué herramientas. Fuentes: Verizon DBIR 2026 · Help Net Security · SpyCloud · Tenable · SecurityWeek · SWK Technologies · Junio 2026 |








