La cadena de suministro se ha convertido en uno de los principales vectores de riesgo para las organizaciones. El informe The State of Supply Chain Defense 2025, elaborado por BlueVoyant, revela que el 97 % de las empresas sufrió al menos un incidente de ciberseguridad originado en terceros durante el último año, una cifra muy superior al 81 % registrado en 2024. La conclusión es preocupante: aunque muchas compañías afirman haber madurado sus programas de gestión de riesgos de terceros, esa madurez no está traduciéndose en protección real.
Antes de entrar en los datos, conviene recordar a qué nos referimos cuando hablamos de TPRM. Estas siglas corresponden a Third-Party Risk Management, o gestión del riesgo de terceros. Se trata del conjunto de procesos, controles y herramientas que permiten a una organización evaluar, monitorizar y mitigar el riesgo que supone trabajar con proveedores, partners, servicios externalizados o cualquier compañía que tenga acceso a sistemas o información sensible. En un entorno empresarial en el que una sola organización puede depender de cientos o incluso miles de proveedores, el TPRM se ha convertido en un pilar esencial de la ciberseguridad.
El estudio muestra que las organizaciones han construido programas TPRM, pero no han logrado que sean verdaderamente efectivos
El informe muestra que casi la mitad de las organizaciones encuestadas, un 46 %, considera que tiene un programa TPRM “establecido y optimizado”. Sin embargo, esta aparente madurez no garantiza resultados. El estudio detecta un problema estructural: la falta de apoyo interno. El 60 % de las empresas reconoce dificultades para consolidar estos programas debido a la resistencia al cambio, la falta de coordinación entre áreas y un apoyo insuficiente por parte de la dirección. De hecho, únicamente el 24 % informa a sus equipos ejecutivos sobre riesgo de terceros de forma mensual o más frecuente, lo que limita la capacidad de tomar decisiones estratégicas basadas en información actualizada.
Cumplimiento e integración
Otro de los grandes desequilibrios detectados es la orientación excesiva al cumplimiento. Sólo el 16 % de las organizaciones afirma que su programa TPRM está impulsado por la reducción del riesgo. La mayoría lo aborda desde una perspectiva de compliance: cumplir con obligaciones contractuales, satisfacer exigencias de las aseguradoras o responder a mandatos del consejo. El estudio alerta de que este enfoque, aunque necesario, no es suficiente. El cumplimiento establece mínimos, no máximos, y deja amplios espacios de exposición que los atacantes aprovechan.
A esta situación se suma un crecimiento imparable del ecosistema de proveedores. El 96 % de las organizaciones espera aumentar su red de terceros en los próximos meses, con incrementos que pueden llegar al 15 % según el tamaño de la empresa. Este crecimiento, si no va acompañado de visibilidad y priorización, genera una superficie de ataque mucho mayor. De hecho, más de la mitad de las organizaciones asegura que entre un 30 y un 50 % de sus proveedores son críticos, una clasificación tan amplia que pierde significado práctico y complica la tarea de priorizar esfuerzos.
La falta de integración tecnológica es otro denominador común presente en todos los sectores analizados. Aunque las organizaciones han invertido en herramientas como plataformas de monitorización, módulos TPRM, visualización de SBOM o ratings de seguridad, estas soluciones suelen operar de forma aislada. El informe insiste en que la ausencia de integración con plataformas de GRC o con los marcos de riesgo corporativos genera silos de información, ralentiza los flujos de trabajo y limita la visibilidad necesaria para actuar de forma coordinada.
Sectores e inversión
El análisis por sectores muestra contrastes significativos. La defensa vuelve a colocarse como la industria más madura, con un 60 % de programas optimizados y el mayor grado de implicación ejecutiva. Aun así, registró una media de 3,5 brechas en su cadena de suministro. Por el contrario, los servicios financieros registran un retroceso respecto a años anteriores: solo un 36 % afirma haber alcanzado la madurez, a pesar de que el 99 % sufrió incidentes en su cadena de suministro. El sector sanitario y farmacéutico destaca por su elevada presión: es el que más crecerá en volumen de proveedores, un 11 %, y el que presenta la media más alta de brechas, con 4,1 incidentes. En retail, persiste una tendencia especialmente preocupante: un 20 % de las organizaciones confía únicamente en la autoevaluación del proveedor para validar su postura de seguridad, sin ninguna verificación externa.
No obstante, el informe también identifica avances importantes. La colaboración con terceros aumenta de forma notable.
· El 45 % de las organizaciones ya trabaja directamente con sus terceros para remediar vulnerabilidades, y no sólo para evaluarlas.
· El 95 % aumentó su presupuesto para TPRM en el último año.
· Crece el porcentaje de programas ubicados en equipos de ciberseguridad e IT, menos centrados en compliance y más en riesgo real.
El estudio muestra que las organizaciones han construido programas TPRM, pero no han logrado que sean verdaderamente efectivos. Mientras las herramientas sigan desconectadas, el cumplimiento siga primando sobre la reducción del riesgo y la dirección no reciba información regular sobre las amenazas reales del ecosistema de terceros, las brechas seguirán siendo inevitables. BlueVoyant lo resume con una advertencia contundente: sin compromiso organizativo, ni siquiera los programas más sofisticados evitarán que las empresas sigan expuestas.
