La seguridad de la cadena de suministro digital y la irrupción de la inteligencia artificial generativa (genAI) están reconfigurando la estrategia de los responsables de ciberseguridad. Así lo revela, al menos, el CISO Perspectives Report 2025: AI and Digital Supply Chain Risks, elaborado por Emerald Research para Cobalt, tras encuestar a 225 líderes de seguridad de organizaciones de entre 500 y 10.000 empleados.
El estudio muestra que el 88 % de los CISOs considera el pentesting un elemento vital de su estrategia de seguridad, no sólo como requisito de cumplimiento, sino como herramienta proactiva para detectar y corregir vulnerabilidades antes de que los atacantes puedan explotarlas. Más de la mitad de las empresas ya exige informes de pentesting a terceros para validar la seguridad de los productos que suministran a sus clientes.
La preocupación por la cadena de suministro digital es generalizada: el 73 % de los encuestados recibió en el último año al menos una notificación de vulnerabilidad o incidente en este ámbito, y el 83 % está sujeto a requisitos formales para demostrar la seguridad de su ecosistema de proveedores. El 56 % exige pruebas de penetración a todo software de terceros antes de su despliegue, y el 53 % solicita informes de vulnerabilidades continuos a sus suministradores.
La genAI, mientras tanto, emerge como un arma de doble filo. El 66 % cree que está ayudando a los atacantes a analizar datos masivos y eludir defensas con mayor precisión y velocidad. Más de la mitad teme que esta tecnología pueda automatizar el ciclo completo de un ataque, y el 62 % advierte que las herramientas de desarrollo asistidas por IA podrían introducir fallos difíciles de detectar.
En las pruebas de Cobalt a modelos de lenguaje y aplicaciones de IA, el 32 % presentaba vulnerabilidades de alto riesgo, siendo la inyección SQL (19,4 %) y el stored XSS (9,7 %) las más comunes.
Para afrontar este escenario, el informe recomienda integrar la seguridad en todo el ciclo de vida digital, exigir transparencia a los proveedores sobre el uso de genAI, reforzar el control del pipeline de código de IA, realizar pentesting de forma programática y llevar a cabo ejercicios de red team que simulen ataques reales.
Como resume Andrew Obadiaru, CISO de Cobalt, “debemos actualizar la evaluación de riesgos de terceros para incluir la divulgación sobre genAI, clasificar modelos por nivel de riesgo y aplicar controles robustos a todos los procesos de código de IA, con pruebas realizadas por expertos que comprendan estos vectores de ataque”.
