Lista de reproducción
- No hay más artículos para escuchar
A medida que se intensifica la guerra actual en Oriente Medio, gobiernos y expertos en seguridad advierten que el conflicto podría extenderse al ciberespacio. Las empresas y las cadenas de suministro, en particular las de Estados Unidos y sus aliados, podrían enfrentarse a ciberataques de represalia o asimétricos por parte de Irán o de grupos afiliados que buscan ejercer presión más allá del campo de batalla. En este contexto, la ciber resiliencia de las redes globales de suministro ya no es una preocupación teórica, sino una prioridad operativa urgente.
Durante décadas, las cadenas de suministro se diseñaron principalmente para minimizar costos y maximizar la velocidad y la escala. La ciberseguridad solía considerarse una cuestión secundaria: una salvaguardia técnica sin incidencia en las decisiones operativas. Pero en la economía actual, impulsada por la IA y los datos, esto ya no es así. La preparación cibernética y las operaciones de la cadena de suministro están ahora profundamente interconectadas.
Las cadenas de suministro se han convertido en ecosistemas digitales adaptativos, en lugar de flujos lineales de mercancías. Las redes de fabricantes, proveedores de logística, plataformas de software y servicios de datos se basan en sistemas compartidos, API e infraestructura en la nube. Los motores de decisión autónomos basados en IA han acelerado la integración al automatizar la planificación, las compras, la previsión y la ejecución.
Si bien esta arquitectura ofrece una eficiencia extraordinaria, también genera fragilidad sistémica. Las interrupciones en la cadena de suministro se desencadenan cada vez más no por fenómenos meteorológicos o conflictos laborales, sino por incidentes cibernéticos que comprometen la integridad de los datos, la disponibilidad del sistema y la confianza mutua. Estos incidentes suelen originarse fuera de la empresa: en proveedores, prestadores de servicios o proveedores de software, cuyas capacidades y recursos varían considerablemente. Los atacantes suelen dirigirse a empresas más pequeñas y con escasos recursos como puntos de acceso a organizaciones más grandes.
El año pasado, Marks & Spencer reportó pérdidas de aproximadamente $300 millones después de que un ataque de ransomware (iniciado por un proveedor) la obligara a suspender sus operaciones en línea y dejara las tiendas con inventario insuficiente. Los recientes ataques que afectaron a organizaciones como Jaguar Land Rover, Victoria’s Secret, Toyota, British Airways, Applied Materials, Ticketmaster y Asahi siguen demostrando la vulnerabilidad de los ecosistemas empresariales globales. Según el Informe de Investigaciones de Violaciones de Datos de Verizon de 2025, el 30 por ciento de las filtraciones ahora involucran a un tercero, un aumento del 100 por ciento con respecto al 15 por ciento reportado anteriormente.
El resultado es una forma de riesgo operativo que ya no se limita a los márgenes de las cadenas de suministro y no puede gestionarse con los modelos de gobernanza tradicionales. Para los líderes corporativos, la ciberseguridad se ha convertido en un desafío insalvable que la tecnología por sí sola no puede resolver. En lugar de un problema interno de TI que pueda delegarse y olvidarse, debe abordarse como una disciplina empresarial fundamental, reforzada mediante la cultura y el comportamiento.
La paradoja de la cadena de suministro moderna es que está impulsada por la automatización, pero regida por la discreción humana. Cada día, miles de personas, desde los responsables de compras en las sedes corporativas hasta los gerentes de almacén de un proveedor, toman decisiones que aumentan la resiliencia o la vulnerabilidad de los sistemas.
La IA exacerba esta dinámica. Los sistemas automatizados dependen del flujo ininterrumpido de datos fiables. Cuando los datos se ven comprometidos o manipulados, las interrupciones pueden propagarse rápidamente, afectando negativamente los procesos de planificación y ejecución y amplificando los errores a gran escala. La IA generativa también ha aumentado la eficacia de la ingeniería social. En lugar de piratear el código, los atacantes ahora pueden «piratear» a los empleados, robando la confianza haciéndose pasar por proveedores, ejecutivos o compañeros de forma convincente.
Por lo tanto, ninguna organización puede garantizar la preparación cibernética por sí sola. Gestionar estas amenazas requiere la colaboración de las partes interesadas, con diferentes capacidades y niveles de madurez, a lo largo de toda la cadena de suministro. Los líderes corporativos deben considerar la preparación cibernética como una capacidad operativa, similar a la calidad o la seguridad, con el objetivo de mantener la continuidad en situaciones de estrés. ¿Están sus empresas preparadas para prevenir, resistir y recuperarse de las interrupciones cibernéticas en sus cadenas de suministro? ¿Pueden mantener el flujo de mercancías, la fiabilidad de los datos y la alineación de sus socios incluso cuando los sistemas se ven comprometidos?
Una característica fundamental de una cadena de suministro preparada para la ciberseguridad es la responsabilidad de la dirección. Los líderes deben asumir la responsabilidad de este asunto, integrando los escenarios cibernéticos en la gestión de riesgos empresariales y estableciendo responsabilidades claras durante los incidentes.
Además, las expectativas en todo el ecosistema deben ser estandarizadas y prácticas. En lugar de imponer requisitos complejos y con un alto nivel de cumplimiento normativo, las organizaciones líderes deberían definir prácticas básicas —como controles de acceso, disciplina en la aplicación de parches, capacitación de los empleados y notificación de incidentes— que los proveedores puedan cumplir de manera realista. También deberían brindar a los socios con recursos limitados, incluidos aquellos que suministran materias primas esenciales, capacitación centrada en las personas y mentoría entre pares.
Así como la consistencia es más importante que la perfección en una cadena de suministro preparada para ciberataques, la preparación es más importante que la prevención. Los incidentes cibernéticos son inevitables. Las organizaciones deben invertir en redundancia, segmentación, sistemas de respaldo y planes de recuperación probados para garantizar que una interrupción en un eslabón no paralice toda la operación. Deben ensayar estos incidentes como si se tratara de desastres naturales o fallas logísticas.
Una comunicación clara y el apoyo a los socios más pequeños contribuyen a generar confianza, otro elemento esencial para una cadena de suministro preparada para la ciberseguridad. Cuando se producen incidentes, las organizaciones deben priorizar la rapidez y la transparencia sobre la búsqueda de culpables, ya que ocultar información solo agrava los daños en los sistemas interconectados.
Finalmente, la preparación cibernética debe integrarse en los flujos de trabajo. Las vulnerabilidades surgen cuando los empleados se ven obligados a eludir los controles de seguridad para cumplir con los objetivos operativos. Los gerentes deben asegurarse de que las presiones de eficiencia no generen incentivos para tomar atajos.
Existen medidas inmediatas que los líderes empresariales pueden adoptar para comenzar a construir una cadena de suministro preparada para la ciberseguridad. Pueden identificar las dependencias críticas, centrándose en dónde la integración digital y el intercambio de datos son más esenciales. Esto implica identificar qué socios, sistemas y flujos de datos causarían la mayor interrupción en caso de verse comprometidos, así como los puntos de contacto humanos más importantes, donde se toman decisiones, se intercambian datos y la presión por actuar con rapidez es máxima. Con esta información, los líderes empresariales pueden definir expectativas básicas y brindar apoyo a sus proveedores con recursos más limitados.
A medida que la IA, la automatización y la complejidad geopolítica transforman las redes globales de suministro, los riesgos cibernéticos seguirán evolucionando y creciendo. Prepararse para ellos ya no es opcional. Las empresas que se preparen para la ciberseguridad tendrán más probabilidades de mantener la continuidad de su cadena de suministro y una ventaja competitiva; las que no lo hagan corren el riesgo de volverse operativamente frágiles en un mundo cada vez más volátil.
Los autores, Marko Kovacevic es director general del Digital Supply Chain Institute, un instituto de investigación sin ánimo de lucro centrado en la evolución de las cadenas de suministro empresariales en la economía digital; Sasha Pailet Koff es directora general del Cyber Readiness Institute, una organización sin ánimo de lucro que mejora la preparación cibernética de las pequeñas y medianas empresas.
Copyright: Project Syndicate , 2026.
www.project-syndicate.org
