Hitachi Vantara potencia el almacenamiento híbrido en Azure
La escasez de especialistas limita la defensa frente a ataques en la cadena de suministro y eleva el riesgo operativo.
La falta de talento en ciberseguridad ha dejado de ser una preocupación estructural para convertirse en un factor inmediato de exposición al riesgo. Lo que antes se discutía como un desafío de largo plazo hoy está afectando la capacidad real de las organizaciones para defenderse, especialmente en un frente crítico: la cadena de suministro.
Un estudio global de Kaspersky revela que una de cada tres organizaciones ha sido impactada por ataques vinculados a relaciones de confianza o proveedores en el último año. El dato, por sí solo, sería alarmante. Pero adquiere otra dimensión cuando se combina con una limitación interna: el 42 % de las empresas reconoce que la escasez de talento especializado está frenando directamente sus esfuerzos de protección.
Aquí no hay ambigüedad posible. No se trata solo de más amenazas. Se trata de menos capacidad para gestionarlas.
Principales barreras para gestionar riesgos en la cadena de suministro: falta de talento (42%), prioridades operativas (42%) y debilidades contractuales (39%).
La cadena de suministro: el nuevo perímetro vulnerable
Durante años, la ciberseguridad se diseñó con una lógica de perímetro. Hoy ese perímetro es difuso. Las organizaciones operan en ecosistemas extendidos donde proveedores, partners y terceros forman parte activa de la operación.
En ese contexto, la falta de talento en ciberseguridad se vuelve especialmente crítica. Sin equipos suficientes o capacitados, las empresas pierden visibilidad sobre las vulnerabilidades que pueden existir en terceros. No se trata únicamente de proteger sistemas propios, sino de entender y gestionar el riesgo distribuido en toda la red de relaciones.
El informe señala que este déficit es particularmente relevante en mercados como España, México o Emiratos Árabes Unidos, donde la demanda de especialistas supera ampliamente la oferta disponible. Para los CIO y CISO, esto introduce una presión adicional: competir por talento en un mercado ya tensionado mientras gestionan amenazas cada vez más sofisticadas.
Pero el problema no es solo cuantitativo. Es también operativo.
Los equipos de seguridad están sobrecargados. El 42 % de los encuestados afirma que debe gestionar múltiples prioridades simultáneamente, lo que reduce su capacidad para abordar riesgos específicos como los asociados a la cadena de suministro. En la práctica, esto significa que ciertas amenazas quedan sin atención no por falta de conocimiento, sino por falta de tiempo.
Cuando la seguridad se vuelve reactiva
Hay una consecuencia directa de esta sobrecarga: la seguridad deja de ser preventiva y pasa a ser reactiva.
Esto cambia completamente la ecuación. En lugar de anticipar riesgos, las organizaciones responden cuando el incidente ya ha ocurrido. Y en entornos interconectados, donde una vulnerabilidad en un proveedor puede escalar rápidamente, esa reacción llega tarde.
El propio estudio evidencia que solo el 35 % de las empresas revisa periódicamente la seguridad de sus proveedores. Es decir, casi dos tercios operan sin una visibilidad constante sobre uno de sus principales vectores de riesgo.
A esto se suma otro problema estructural: el 39 % de las organizaciones reconoce que sus contratos no incluyen obligaciones claras de ciberseguridad para los proveedores. En otras palabras, el riesgo no solo está en la operación, sino en la base contractual que regula esas relaciones.
Para un CISO, este dato debería encender alarmas. Porque implica que, incluso antes de hablar de tecnología, hay una brecha en la definición de responsabilidades.
El espejismo de la protección actual
A nivel global, el 85 % de las empresas reconoce que necesita reforzar su protección frente a riesgos en la cadena de suministro. Sin embargo, solo el 15 % considera que sus medidas actuales son realmente efectivas.
Esta brecha entre percepción de riesgo y capacidad de respuesta es uno de los indicadores más claros de madurez (o falta de ella) en ciberseguridad.
Más aún: las medidas implementadas siguen siendo limitadas. Ninguna supera el 40 % de adopción. La autenticación en dos pasos, una de las prácticas más básicas, apenas alcanza el 38 %.
Esto plantea una pregunta incómoda: ¿están las organizaciones subestimando la complejidad del riesgo o sobreestimando su nivel de preparación?
Probablemente ambas cosas.
Aprendizaje post-incidente: una estrategia insuficiente
El informe muestra un patrón recurrente: las empresas que han sufrido ataques tienden a fortalecer sus controles. Por ejemplo, el 56 % de las organizaciones afectadas exige pruebas de seguridad más rigurosas a sus proveedores.
Este comportamiento es lógico, pero revela un problema de fondo. La mejora llega después del incidente.
En términos estratégicos, esto implica que el aprendizaje sigue siendo reactivo. Se corrige tras el impacto, no antes. Y en un entorno donde los ataques a la cadena de suministro pueden generar efectos en cascada, esta lógica tiene un coste elevado.
Para los CIO, esto debería replantear la forma en que se priorizan las inversiones en seguridad. No se trata solo de responder mejor, sino de reducir la probabilidad de exposición inicial.
Falta de talento en ciberseguridad: un problema de negocio
Reducir la falta de talento en ciberseguridad a un problema de recursos humanos es un error de diagnóstico. Su impacto es transversal: afecta la continuidad operativa, la confianza del cliente y, en última instancia, los resultados financieros.
Cuando no hay suficiente talento, los procesos se ralentizan, las decisiones se posponen y las vulnerabilidades se acumulan. La organización entra en una dinámica donde el riesgo crece más rápido que la capacidad de gestionarlo.
Además, esta escasez no afecta por igual a todos los actores del ecosistema. Las empresas más pequeñas dentro de la cadena de suministro suelen ser las más vulnerables, convirtiéndose en puntos de entrada para ataques que luego escalan hacia organizaciones más grandes.
Esto redefine el concepto de riesgo. Ya no depende únicamente de la fortaleza interna, sino de la resiliencia colectiva del ecosistema.
La seguridad como responsabilidad compartida
Uno de los mensajes más relevantes del estudio es la necesidad de abordar la seguridad de la cadena de suministro como una responsabilidad compartida.
Esto implica ir más allá de auditorías puntuales o evaluaciones iniciales. Requiere establecer estándares claros, mecanismos de colaboración y una supervisión continua que permita identificar y mitigar riesgos de forma conjunta.
También exige integrar la ciberseguridad en los contratos, en los procesos de onboarding de proveedores y en la cultura organizacional. No como un requisito formal, sino como una condición operativa.
Las recomendaciones de Kaspersky apuntan en esa dirección: desde la adopción de servicios gestionados hasta la inversión en formación y la evaluación exhaustiva de terceros. Pero más allá de las medidas concretas, el desafío es estratégico.
El dilema para CIOs y CISOs
La pregunta no es si la escasez de talento se resolverá en el corto plazo. Todo indica que no.
La pregunta relevante es cómo operar en un entorno donde esa escasez es estructural.
Esto implica tomar decisiones difíciles: qué capacidades internalizar, qué funciones externalizar, cómo priorizar riesgos y, sobre todo, cómo diseñar arquitecturas de seguridad que no dependan exclusivamente del crecimiento del equipo.
