Qubit Technologies
CA ES EN

Publicat el 15 de juny del 2026 · per Qubit Technologies

El proveïdor que us enfonsa sense que us toquin a vosaltres

Molts atacs no entren per la vostra porta, entren per la d'un proveïdor. L'accés que vau donar a una gestoria, l'actualització d'un programari de confiança o les dades que guardeu en casa aliena poden convertir la seguretat d'un tercer en el vostre problema.

Podeu tenir la vostra empresa ben tancada, amb les contrasenyes en ordre, els sistemes actualitzats i la gent formada. Tot i així podeu acabar a les mans d’un atacant que mai no va trucar a la vostra porta, perquè va entrar per la d’un altre.

La majoria d’empreses que pateixen una bretxa avui no són l’objectiu inicial. Són la destinació final d’un atac que va començar en un altre lloc, en algú amb qui treballeu cada dia sense pensar-hi.

L’accés que vau donar i ningú va retirar

La vostra gestoria entra als vostres sistemes per portar les nòmines. L’empresa que us manté el programari té un accés remot obert. El proveïdor que us va instal·lar les càmeres va deixar una connexió per donar suport. Cadascuna d’aquestes portes és còmoda, necessària moltes vegades, però també és una clau de casa vostra que està en mans d’un altre.

Si ataquen aquest proveïdor, aquesta clau passa a mans de l’atacant. No necessita forçar res del vostre, en té prou amb fer servir l’accés que vosaltres mateixos vau concedir, un accés que moltes vegades fa anys que està obert, amb més permisos dels necessaris i sense que ningú el revisi.

L’actualització de confiança que portava un hoste

Instal·leu un programa d’un fabricant seriós. Cada cert temps us arriba una actualització, l’apliqueu sense dubtar, perquè per això el vau comprar a algú de confiança. Aquest és justament el mecanisme que un atacant vol aprofitar.

Si aconsegueix colar-se al fabricant del programari, pot ficar el seu codi a la pròxima actualització legítima. Vosaltres la instal·leu amb tota normalitat, signada i verificada, sense que salti cap alarma. Heu obert la porta vosaltres mateixos, convençuts que fèieu el correcte.

No és un escenari de ciència-ficció. Ha passat amb programari molt estès, en atacs que van afectar milers d’empreses alhora, totes confiant en el mateix proveïdor.

Les vostres dades vivint en casa aliena

Cada cop guardeu més coses fora. La facturació en una plataforma en línia, els correus al núvol, les dades de clients al sistema d’un proveïdor. Mentre funciona, és comodíssim. El problema apareix quan ataquen qui guarda tot això.

Llavors les vostres dades es filtren sense que ningú hagi tocat ni un sol equip vostre. La bretxa és d’un altre, la portada i la multa poden acabar sent vostres, perquè davant la llei el responsable d’aquestes dades continueu sent vosaltres, no el proveïdor que les va perdre.

Per què el tercer és la via més còmoda

Un atacant que va de debò estudia amb qui treballeu abans de tocar-vos. Li surt més a compte atacar la gestoria petita que porta cinquanta empreses que anar-hi una per una. Un sol cop, cinquanta víctimes.

Vosaltres podeu ser l’empresa més ben protegida de la llista. Tant li fa, perquè l’atacant no busca el més fort, busca el camí més còmode per arribar fins a vosaltres. Aquest camí gairebé mai passa per la vostra porta principal, passa per la d’algú més feble que té accés a casa vostra.

Què podeu fer amb això

No es tracta de desconfiar de tothom ni de deixar de treballar amb ningú. Es tracta de saber a qui heu donat una clau i què pot obrir amb ella.

Comenceu per saber qui té accés als vostres sistemes des de fora, amb quins permisos i des de quan. Cada proveïdor hauria d’entrar només al que necessita, res més, amb un accés que caduqui quan deixa de fer falta. Una connexió que un proveïdor ja no fa servir no és una comoditat, és una porta oberta esperant que algú la trobi.

Convé també preguntar. Abans de donar accés a un tercer o de deixar les vostres dades als seus sistemes, teniu dret a saber com les protegeixen. Una empresa seriosa us ho explica sense cap problema. La que s’incomoda amb la pregunta ja us està dient alguna cosa.

La vostra seguretat no acaba al límit de la vostra empresa. Arriba fins on arriba la de cada proveïdor amb accés a casa vostra, que és justament el que un atacant mira primer quan us estudia, tal com vam explicar a el que un atacant esbrina de la vostra empresa. Mirar qui té les vostres claus és part d’auditar de debò la vostra seguretat.

Si voleu saber quins proveïdors tenen accés als vostres sistemes i quin risc suposen, escriviu-nos a [email protected].

Voleu auditar de debò la vostra seguretat?

Si després de llegir aquest article voleu posar a prova la seguretat real de la vostra organització, escriviu-nos i plantegem un abast ajustat al vostre context.

Contactar amb nosaltres