La seguridad por diseño en la cadena de suministro industrial pasó de ser una buena práctica a una condición de supervivencia operativa. En la Industria 5.0, donde los límites de la organización se extienden hasta los sistemas de proveedores, integradores y socios tecnológicos, cada tercero con acceso a la red OT es también una potencial puerta de entrada. Y los datos lo confirman.
Según el informe de Cipher/Prosegur publicado en febrero de 2026, el 22,5% de todas las brechas de seguridad registradas en 2025 involucraron a terceros o proveedores — el doble que el año anterior — con un costo global anual de 53.200 millones de dólares. No son ataques directos: son intrusiones que entran por la puerta trasera de la confianza mal gestionada.
La cadena de suministro ya es parte del sistema industrial
Durante años, la ciberseguridad industrial operó sobre un supuesto implícito: los sistemas OT estaban aislados, y ese aislamiento era en sí mismo una capa de protección. Ese supuesto ya no existe. La digitalización de proveedores, la integración remota de integradores, las actualizaciones de firmware que llegan desde el exterior y los accesos VPN de terceros para mantenimiento convirtieron a la cadena de suministro en una extensión funcional de la red industrial.
El problema es que esa extensión rara vez se protege con el mismo criterio. Como documenta Cyber Summit en su análisis de amenazas OT, según la ENISA el 66% de los ataques a la cadena de suministro apuntan al código de los proveedores. La industria depende de software, firmware y actualizaciones externas que rara vez se auditan con la misma rigurosidad que los sistemas propios.
Esto no es un problema técnico menor. En 2025, un ataque a un proveedor de software aeronáutico afectó simultáneamente a decenas de aeropuertos en Europa. En el sector automotriz, la dependencia de software externo paralizó líneas de montaje durante semanas con pérdidas estimadas en más de 100 millones de libras. El patrón se repite: no es la organización atacada directamente, sino uno de sus eslabones el que se convierte en vector de entrada.
Qué significa seguridad por diseño en este contexto
La seguridad por diseño no es un atributo de los sistemas propios: es un requisito que debe extenderse a toda la cadena. En términos prácticos, implica que la seguridad no se evalúa después de integrar un proveedor o contratar un servicio, sino que forma parte de los criterios de selección, contratación y operación desde el primer momento.
En entornos OT, esto tiene implicancias concretas. Un integrador que accede remotamente a un PLC para mantenimiento debe operar dentro de un canal trazable, con autenticación robusta y con un alcance de acceso definido y acotado. Una actualización de firmware de un proveedor de equipos industriales debe estar verificada antes de aplicarse. Un nuevo sistema de terceros que se conecta a la red de planta debe pasar por un proceso de evaluación de seguridad, no solo de compatibilidad operativa.
Como señala el análisis de ingecom sobre los retos OT en 2026, habrá una presión creciente por evidencias verificables de cumplimiento, auditorías periódicas compartidas y niveles mínimos de madurez OT por parte de los proveedores. Y el rol que coordina todo eso no es el del proveedor: es el de la organización que contrata.
| Punto de integración | Riesgo sin seguridad por diseño | Control mínimo recomendado |
|---|---|---|
| Acceso remoto de proveedores | Puerta de entrada persistente sin trazabilidad | Canal dedicado, MFA, registro de sesiones |
| Actualizaciones de firmware/software | Código malicioso en actualizaciones legítimas | Verificación de integridad antes de aplicar |
| Sistemas de terceros en red OT | Propagación lateral ante compromiso del proveedor | Segmentación y mínimo privilegio de acceso |
| APIs e integraciones externas | Exfiltración de datos operacionales | Autenticación robusta, cifrado en tránsito |
El CISO como garante de la ciberresiliencia compartida
El mayor desafío para 2026 no es tecnológico: es de gobernanza. La cadena de suministro industrial lleva décadas siendo gestionada como un ecosistema de proveedores de productos y servicios. Lo que cambia en la Industria 5.0 es que esos proveedores también son co-responsables de la seguridad operativa. Y esa co-responsabilidad tiene que estar definida, documentada y exigida.
El CISO es la figura que tiene que hacer ese trabajo. No solo diseñar los controles propios, sino establecer los estándares que los terceros deben cumplir para operar en la red industrial. Eso incluye cláusulas de seguridad en contratos, criterios de evaluación de madurez OT, y procesos de respuesta conjunta ante incidentes que involucren a proveedores.
La gestión de activos y visibilidad en redes OT es el punto de partida: no se puede exigir seguridad a un proveedor si no se sabe exactamente a qué sistemas tiene acceso. Y no se puede detectar un compromiso a través de un tercero si no existe monitoreo del comportamiento de ese acceso en la red industrial.
Esto conecta directamente con los frameworks de ciberseguridad industrial que estructuran la gestión de riesgo en entornos OT. El estándar IEC 62443, por ejemplo, contempla explícitamente la seguridad de la cadena de suministro como componente de la arquitectura de zonas y conduits. No es un añadido: es parte del diseño.
De la auditoría puntual al monitoreo continuo
Uno de los errores más comunes en la gestión de terceros en OT es confundir una evaluación inicial con una garantía permanente. Un proveedor que cumple los criterios de seguridad en el momento de la contratación puede degradar su postura de seguridad con el tiempo, o puede ser comprometido sin que la organización contratante lo sepa durante meses.
El Verizon DBIR 2025 documenta que los incidentes de supply chain tienen un costo promedio de 4,91 millones de dólares y pueden tardar hasta 267 días en ser detectados y contenidos. En entornos OT, donde una intrusión no detectada puede escalar a un impacto físico, ese tiempo de permanencia es inaceptable.
Por eso la gestión de riesgos en ciberseguridad industrial moderna migra de las auditorías puntuales hacia el monitoreo continuo del comportamiento de terceros en la red: cuándo se conectan, a qué sistemas acceden, qué comandos ejecutan y si ese patrón es consistente con el uso esperado. Una integración SIEM en el entorno OT permite extender esa visibilidad más allá del perímetro propio, hacia los puntos de contacto con la cadena de suministro.
La presión regulatoria que se viene
América Latina está en un proceso de construcción normativa que va a acelerar estas exigencias. La nueva Ley de Ciberseguridad de Chile y los marcos regulatorios en construcción en Argentina y Colombia están incorporando la seguridad de la cadena de suministro como parte de los requisitos para operadores de infraestructuras críticas. Las organizaciones que ya tienen estos controles implementados van a estar en una posición significativamente mejor cuando la regulación llegue con carácter vinculante.
La seguridad por diseño en redes de terceros no es una inversión que se hace pensando en el cumplimiento regulatorio futuro. Es una respuesta a un riesgo que ya es presente y creciente. En la Industria 5.0, la continuidad operativa de una planta industrial depende tanto de la solidez de sus propios sistemas como de la madurez de seguridad de todo su ecosistema de proveedores. Esa es la ecuación que el CISO industrial de 2026 tiene que saber gestionar.
¿Quieres profundizar en estos temas con otros referentes de la región? El Industrial Cyber Summit reúne a CISOs, ingenieros OT y reguladores para compartir experiencias reales sobre la protección de infraestructuras críticas en América Latina.
