Skip to main content
Marsh logo

Artículo

Los riesgos cibernéticos de terceros afectan a todas las organizaciones

Gestione y mida los riesgos cibernéticos de terceros para proteger su organización frente a brechas y ataques que impactan la cadena de suministro.

10/03/2026 · Lectura de 4 minutos

Aprenda a comprender, medir, gestionar y responder a los riesgos cibernéticos de terceros

  • Utilice y/o dependa de proveedores tecnológicos para impulsar las operaciones diarias.
  • Confíe información confidencial de clientes y empleados a un proveedor externo.
  • Dependa de un proveedor externo para bienes y servicios específicos.

Según el Informe de Investigaciones de Violaciones de Datos Verizon 2025 (DBIR), el 30 % de las brechas involucran a terceros, lo que significa que el riesgo principal se originó fuera de la organización. Esta cifra es el doble que la del año pasado, impulsada por la explotación de vulnerabilidades y las interrupciones comerciales. Esto resalta la interconectividad digital a lo largo de la cadena de suministro y los riesgos inherentes a esas relaciones.

Como indican los titulares recientes y los defensores de reclamaciones de Marsh, este tipo de ataques está en aumento, lo que subraya la importancia crítica para su organización de comprender, medir y gestionar sus riesgos cibernéticos de terceros.

Gestione los riesgos cibernéticos de terceros como si fueran propios

Las amenazas que representan los proveedores de la cadena de suministro son más frecuentes que nunca:

70%

de las organizaciones experimentaron al menos un incidente cibernético material relacionado con terceros en el último año

88%

de las organizaciones están preocupadas por los riesgos de ciberseguridad en la cadena de suministro

30%

de las brechas están vinculadas a la participación de terceros

< 50%

de las organizaciones monitorean la ciberseguridad en al menos el 50 % de su cadena de suministro

26%

de las organizaciones incluyen la respuesta a incidentes en sus programas de ciberseguridad de la cadena de suministro

* Fuente: SecurityScorecard, Verizon DBIR

¿Cómo puede su organización reducir las pérdidas por riesgos cibernéticos de terceros?

Además de implementar las mejores prácticas generalmente aceptadas de higiene cibernética, su organización debería considerar tomar las siguientes acciones para reducir la probabilidad e impacto de una pérdida causada por un ciberataque a un tercero.

Estas acciones no son universales. Tras revisarlas, su organización puede querer adaptarlas para que se ajusten a sus requerimientos específicos.

  1. Determine cuáles proveedores críticos de productos y servicios forman parte de su ecosistema de proveedores. Esto incluye, cuando sea posible, identificar a los proveedores y suministradores críticos que utilizan esos proveedores, conocidos también como proveedores de cuarto nivel.
  2. Utilice la cuantificación de riesgos para definir y cuantificar su riesgo de terceros. Esto permite a su organización determinar el impacto potencial de un ataque contra un tercero en su cadena de suministro y alinear a los principales interesados sobre cómo tratar el riesgo.
  3. Cree y mantenga un plan de respuesta a incidentes mucho antes de que ocurra un incidente. Al elaborar el plan, considere los ataques de terceros. También es importante probar el plan con múltiples escenarios. Los ejercicios de simulación deben incluir a los principales interesados de toda la organización (no solo seguridad informática/TI) para evaluar la efectividad general del plan.
  4. Revise sus pólizas de seguro cibernético existentes para comprender las implicaciones de cobertura ante un ataque contra un tercero en la cadena de suministro de la organización.
  5. Verifique que los terceros cuenten con un seguro cibernético adecuado que cumpla con los requisitos de la organización principal. Esto demuestra una buena higiene en la gestión del riesgo cibernético y que probablemente existen controles mínimos implementados. Algunos controles suelen ser requeridos para que el riesgo sea considerado asegurable.

Escenarios reales

Los siguientes escenarios muestran algunos riesgos potenciales de terceros a los que su organización puede estar expuesta, y su posible impacto si se materializan.

Haga clic en los botones a continuación para conocer más sobre cada escenario.
selected option

Escenario: Utiliza proveedores tecnológicos para impulsar las operaciones diarias; tiene conectividad tecnológica con el proveedor.

Riesgo potencial: Una interrupción tecnológica en el proveedor detiene las operaciones de la empresa.

Impacto potencial: Interrupción comercial contingente, además de otros gastos y costos adicionales.

Ejemplo: Una caída en un proveedor de servicios en la nube provoca la caída del sitio web e impide la realización de pedidos.

Escenario: Depende de proveedores tecnológicos para impulsar las operaciones diarias; tiene conectividad tecnológica con el proveedor.

Riesgo potencial: La vulneración de los productos/servicios del proveedor tecnológico afecta la red y/o los datos de la empresa.

Impacto potencial: Incidente cibernético potencial, como una brecha o ataque de ransomware, que conduce a interrupción del negocio y costos relacionados.

Ejemplo: Una vulnerabilidad en el software deja una puerta abierta para atacantes, permitiéndoles instalar código malicioso en la red de la empresa.

Escenario: Confía información confidencial de clientes y empleados a un proveedor externo; no tiene conectividad tecnológica con el proveedor.

Riesgo potencial: Una brecha de la información confidencial de la empresa causada por el proveedor.

Impacto potencial: Incidente de privacidad con costos tanto para la organización principal como para el tercero.

Ejemplo: Un proveedor de nómina sufre una brecha de información de empleados, o un proveedor tecnológico compromete información de fidelidad de clientes.

Escenario: Depende de un proveedor externo para bienes/servicios específicos; no tiene conectividad tecnológica con el proveedor.

Riesgo potencial: Una interrupción tecnológica en el proveedor externo detiene o dificulta la capacidad de la empresa para generar ingresos.

Impacto potencial: Interrupción comercial contingente, además de otros gastos y costos adicionales.

Ejemplo: Una interrupción en la red afecta la capacidad de la empresa para recibir su producto.

Su organización puede — y debe — fortalecerse proactivamente contra los riesgos de terceros. Esto incluye definir y comprender qué conforma su ecosistema de proveedores, y cuantificar el impacto del riesgo de terceros para entender su efecto en el balance y aprender cómo posiblemente transferirlo.

En Marsh, nuestros asesores de riesgos están disponibles para ayudarle a comprender, medir, gestionar y responder a sus riesgos de terceros. Para iniciar una conversación con uno de nuestros asesores, comuníquese con su corredor de Marsh o contáctenos a continuación.

Hable con un representante de Marsh

Contáctenos

Our people

Edson Villar

  • Peru

Artículos relacionados

Cyber express

Artículo

Cyber Express: protección cibernética ágil para empresas de Latinoamérica

14/01/2026
Abstract neon corridor with glowing lights

Artículo

Diamante de ciberseguridad OT

22/12/2025
Digital cyberspace with particles and Digital data network connections concept.

Artículo

Cyber Talks

16/12/2025
A person is engaging with a glowing laptop keyboard in a dimly lit environment, surrounded by a blurred cityscape, focusing intently on their task in the evening.

Datos clave de ciberseguridad en Colombia y resiliencia organizacional

16/10/2025
Ver más