Publicado el 15 de junio de 2026 · por Qubit Technologies
El proveedor que os hunde sin que os toquen a vosotros
Muchos ataques no entran por vuestra puerta, entran por la de un proveedor. El acceso que disteis a una gestoría, la actualización de un software de confianza o los datos que guardáis en casa ajena pueden convertir la seguridad de un tercero en vuestro problema.
Podéis tener vuestra empresa bien cerrada, con las contraseñas en orden, los sistemas actualizados y la gente formada. Aun así podéis acabar en manos de un atacante que nunca llamó a vuestra puerta, porque entró por la de otro.
La mayoría de las empresas que sufren una brecha hoy no son el objetivo inicial. Son el destino final de un ataque que empezó en otro sitio, en alguien con quien trabajáis a diario sin pensar en ello.
El acceso que disteis y nadie retiró
Vuestra gestoría entra en vuestros sistemas para llevar las nóminas. La empresa que os mantiene el software tiene un acceso remoto abierto. El proveedor que os instaló las cámaras dejó una conexión para dar soporte. Cada una de esas puertas es cómoda, necesaria muchas veces, pero es también una llave de vuestra casa que está en manos de otro.
Si atacan a ese proveedor, esa llave pasa a manos del atacante. No necesita forzar nada vuestro, le basta con usar el acceso que vosotros mismos concedisteis, un acceso que muchas veces lleva años abierto, con más permisos de los necesarios y sin que nadie lo revise.
La actualización de confianza que traía un huésped
Instaláis un programa de un fabricante serio. Cada cierto tiempo os llega una actualización, la aplicáis sin dudar, porque para eso lo comprasteis a alguien de confianza. Ese es justo el mecanismo que un atacante quiere aprovechar.
Si consigue colarse en el fabricante del software, puede meter su código en la siguiente actualización legítima. Vosotros la instaláis con total normalidad, firmada y verificada, sin que salte ninguna alarma. Habéis abierto la puerta vosotros mismos, convencidos de que hacíais lo correcto.
No es un escenario de ciencia ficción. Ha pasado con software muy extendido, en ataques que afectaron a miles de empresas a la vez, todas confiando en el mismo proveedor.
Vuestros datos viviendo en casa ajena
Cada vez guardáis más cosas fuera. La facturación en una plataforma online, los correos en la nube, los datos de clientes en el sistema de un proveedor. Mientras funciona, es comodísimo. El problema aparece cuando atacan a quien guarda todo eso.
Ahí vuestros datos se filtran sin que nadie haya tocado un solo equipo vuestro. La brecha es de otro, la portada y la multa pueden acabar siendo vuestras, porque ante la ley el responsable de esos datos seguís siendo vosotros, no el proveedor que los perdió.
Por qué el tercero es la vía más cómoda
Un atacante que va en serio estudia con quién trabajáis antes de tocaros. Le sale más a cuenta atacar a la gestoría pequeña que lleva a cincuenta empresas que ir una por una. Un solo golpe, cincuenta víctimas.
Vosotros podéis ser la empresa mejor protegida de la lista. Da igual, porque el atacante no busca al más fuerte, busca el camino más cómodo para llegar hasta vosotros. Ese camino casi nunca pasa por vuestra puerta principal, pasa por la de alguien más débil que tiene acceso a vuestra casa.
Qué podéis hacer con esto
No se trata de desconfiar de todo el mundo ni de dejar de trabajar con nadie. Se trata de saber a quién le habéis dado una llave y qué puede abrir con ella.
Empezad por saber quién tiene acceso a vuestros sistemas desde fuera, con qué permisos y desde cuándo. Cada proveedor debería entrar solo a lo que necesita, nada más, con un acceso que caduque cuando deja de hacer falta. Una conexión que un proveedor ya no usa no es una comodidad, es una puerta abierta esperando a que alguien la encuentre.
Conviene también preguntar. Antes de dar acceso a un tercero o de dejar vuestros datos en sus sistemas, tenéis derecho a saber cómo los protegen. Una empresa seria os lo cuenta sin problema. La que se incomoda con la pregunta ya os está diciendo algo.
Vuestra seguridad no termina en el límite de vuestra empresa. Llega hasta donde llega la de cada proveedor con acceso a vuestra casa, que es justo lo que un atacante mira primero cuando os estudia, tal como contamos en lo que un atacante averigua de vuestra empresa. Mirar quién tiene vuestras llaves es parte de auditar de verdad vuestra seguridad.
Si queréis saber qué proveedores tienen acceso a vuestros sistemas y qué riesgo suponen, escribidnos a [email protected].