El riesgo de terceros es la principal preocupación de ciberseguridad de las empresas

El panorama de la ciberseguridad en España afronta un 2025 complejo, tras un 2024 de récord en el que se han alcanzado pérdidas de 10.000 millones de euros a causa de ciberataques en todo el mundo. En este sentido, el riesgo de terceros se posiciona como la tendencia más relevante, ocupando el puesto número uno en el informe Amenazas a la ciberseguridad para 2030, elaborado por ENISA.

El riesgo de terceros se refiere a las vulnerabilidades y amenazas que surgen al integrar servicios, proveedores, socios o cualquier entidad externa en los procesos de una organización. Estos actores externos, si bien son esenciales para el desarrollo de las operaciones comerciales de la empresa contratante, pueden convertirse en vectores de entrada a ataques externos que pongan en compromiso la seguridad de la empresa.

Como señala nettaro, las consecuencias de que la integración de un tercero o agente externo genere una brecha de seguridad puede derivar en una filtración de datos, ya sean propiedad intelectual o de clientes, así como la interrupción operativa de los servicios, generando pérdidas no solo financieras, sino también daño reputacional que afecte a la confianza de posibles inversores o clientes. Es por ello que, de acuerdo al informe del Foro Económico Mundial, Global Cybersecurity Outlook 2025, un 54% de las grandes corporaciones encuestadas citan la gestión de riesgos de terceros como el principal reto.

Las normativas abordan la gestión de riesgos de terceros

2025 también será el año en el que las normativas de ciberseguridad tomen mayor relevancia. En Europa, NIS2 y DORA buscan asegurar que tanto las empresas que prestan servicios esenciales como las entidades financieras cuenten con las herramientas necesarias para hacer frente al aumento de ciberataques. Ambas normativas incluyen la gestión del riesgo de terceros por su relevancia, especialmente teniendo en cuenta que su Conferencia de Seguridad y Riesgos 2024, Gartner reveló que, pese a que se habían incrementado en un 45% los incidentes de riesgo de terceros respecto a 2023, el 40% de las veces los empresarios contratan a proveedores sin considerar ese riesgo como un factor relevante debido a la falta de programas eficaces de gestión de este tipo de riesgos.

De esta forma, NIS2 obliga a las empresas y organizaciones a implementar medidas para gestionar los riesgos de seguridad causados por terceros, entre las que se incluye la evaluación inicial de riesgos, la introducción de cláusulas contractuales en las que se reflejen las obligaciones para los proveedores de cara a su ciberseguridad, la debida diligencia, la monitorización continua y el establecimiento de procedimientos reglados para la gestión de incidentes. En el caso de DORA, la gestión de riesgo de terceros es uno de los pilares del reglamento, por el cual se establece que las entidades financieras utilicen cláusulas contractuales estandarizadas para las relaciones con proveedores de servicios externos.

Si bien la inclusión de la gestión de riesgo de terceros en las normativas es un avance, también genera dudas en cuanto a su aplicación. De hecho, según el informe del Foro Económico Mundial, el 78% de los líderes de organizaciones privadas considera que las normativas sobre ciberseguridad y privacidad reducen eficazmente el riesgo en los ecosistemas de su organización. Sin embargo, dos tercios de los encuestados citaron la complejidad y proliferación de los requisitos normativos como un reto.

La gestión de riesgos de terceros es un punto crítico para empresas y organizaciones debido a las amenazas que pueden surgir de las vulnerabilidades de los proveedores externos, por lo que las principales directivas las han incluido entre sus prioridades. Ahora las empresas deben recoger el guante e implementarlas si quieren evitar importantes sanciones.