La próxima brecha importante que afecte a sus clientes probablemente no provendrá del interior de sus muros. Vendrá a través de un proveedor en el que confían, una herramienta SaaS a la que se inscribió su equipo financiero o un subcontratista que nadie en TI conoce. Ésa es la nueva superficie de ataque y la mayoría de las organizaciones no están preparadas para ello.

La nueva guía de Cynomi, Asegurar el perímetro moderno: el auge de la gestión de riesgos de tercerosargumenta que el TPRM ya no es una formalidad de cumplimiento. Es un desafío de seguridad de primera línea y una oportunidad de crecimiento definitoria para los MSP y MSSP que se adelantan a él.

El perímetro moderno se ha ampliado

Durante décadas, la estrategia de ciberseguridad giró en torno a un perímetro definido. Se implementaron firewalls, controles de terminales y sistemas de gestión de identidades para proteger los activos dentro de un límite conocido.

Esa frontera se ha disuelto.

Hoy en día, los datos de los clientes residen en aplicaciones SaaS de terceros, fluyen a través de las API de los proveedores y son procesados ​​por subcontratistas que los equipos internos de TI tal vez ni siquiera conocen. La seguridad ya no se limita a la infraestructura propia. Se extiende a través de un ecosistema interconectado de proveedores externos, y la responsabilidad que conlleva también se extiende allí.

El Informe de investigaciones de violaciones de datos de Verizon de 2025 encontró que terceros están involucrados en el 30% de las violaciones. El informe de IBM sobre el costo de una filtración de datos para 2025 sitúa el costo promedio de remediación de una filtración de terceros en 4,91 millones de dólares. La exposición a terceros se ha convertido en una característica central de las operaciones comerciales modernas, no en un caso límite.

Para los proveedores de servicios proactivos, este cambio crea una oportunidad sustancial. Las organizaciones que enfrentan crecientes amenazas de terceros buscan socios estratégicos que puedan poseer, optimizar y administrar continuamente todo el ciclo de vida de los riesgos de terceros. Los proveedores de servicios que asuman ese rol pueden introducir nuevas ofertas de servicios, brindar consultoría de mayor valor y establecerse como centrales para los programas de seguridad y cumplimiento de sus clientes.

De la casilla de verificación a la función de riesgo central

El enfoque tradicional del riesgo de los proveedores se basaba en cuestionarios anuales, hojas de cálculo y, ocasionalmente, correos electrónicos de seguimiento. Nunca fue suficiente y ahora es especialmente costoso.

Marcos regulatorios como CMMC, NIS2 y DORA han elevado el listón significativamente. El cumplimiento ahora requiere una supervisión demostrable y continua de los controles de terceros, no una instantánea de un momento dado de hace doce meses. Las juntas directivas están haciendo preguntas más difíciles sobre la exposición de los proveedores. Las aseguradoras cibernéticas están examinando la higiene de la cadena de suministro antes de redactar sus pólizas. Y los clientes que han visto a los competidores absorber las consecuencias del incumplimiento de un proveedor entienden que «no era nuestro sistema» no limita su responsabilidad.

El mercado está respondiendo en consecuencia. Se proyecta que el gasto global de TPRM crecerá de $8.3 mil millones en 2024 a $18.7 mil millones para 2030. Las organizaciones están tratando la supervisión de proveedores como una función de gobernanza, a la par de la respuesta a incidentes o la gestión de identidades, porque el costo de ignorarla se ha vuelto demasiado alto.

Para los proveedores de servicios, esa asignación presupuestaria es una señal clara. Los clientes buscan activamente socios que puedan poseer y gestionar la supervisión de proveedores como un servicio definido y continuo.

La ampliación del TPRM es donde la mayoría de los proveedores se quedan estancados

La mayoría de los MSP y MSSP reconocen la oportunidad. La vacilación se reduce a la entrega y, específicamente, a si el TPRM puede ejecutarse de manera rentable a escala.

La revisión de proveedores tradicional se basa en flujos de trabajo fragmentados y análisis manuales. Las evaluaciones personalizadas deben enviarse, rastrearse e interpretarse, y el riesgo debe estratificarse según las obligaciones específicas de cada cliente. Este trabajo suele recaer en consultores senior, lo que lo hace costoso y difícil de delegar.

Multiplicar este esfuerzo en una cartera de clientes con diferentes ecosistemas de proveedores, necesidades de cumplimiento y tolerancias al riesgo puede resultar insostenible. Es por eso que muchos proveedores ofrecen TPRM como un proyecto único en lugar de un servicio administrado recurrente.

Pero ahí también reside la oportunidad. cynomi Guía para asegurar el perímetro moderno describe cómo TPRM estructurado y basado en tecnología puede pasar de un compromiso de consultoría personalizado a una línea de servicios repetible y de alto margen que fortalece la retención de clientes, impulsa las ventas adicionales y posiciona a los proveedores de servicios como socios integrales en los programas de seguridad de sus clientes.

Convertir TPRM en un motor de ingresos

El riesgo de terceros es un tema de conversación que nunca se queda sin material.

Cada nuevo proveedor que incorpora un cliente crea una discusión sobre riesgos potenciales. Las actualizaciones regulatorias son razones naturales para revisar los programas de los proveedores, y cada filtración en las noticias que se remonta a un tercero refuerza lo que está en juego. La TPRM, bien hecha, mantiene a los proveedores de servicios integrados en la estrategia del cliente en lugar de relegarlos a un apoyo reactivo, y ese posicionamiento cambia por completo la naturaleza de la relación.

Los proveedores que desarrollan capacidades estructuradas de TPRM descubren que les abre las puertas a:

• Trabajo más amplio de asesoramiento en materia de seguridad
• Valores de retenedor más altos
• Relaciones más sólidas con los clientes basadas en un impacto comercial genuino
• Diferenciación en un mercado de servicios gestionados saturado
• Gobernanza creíble de riesgos de terceros, que indica madurez a los clientes potenciales

La conclusión

El riesgo de terceros no va a desaparecer. Los ecosistemas de proveedores de los que dependen sus clientes seguirán volviéndose más complejos, con más plataformas SaaS, herramientas impulsadas por IA, subcontratistas y escrutinio regulatorio superpuestos. Las organizaciones que gestionen bien esta exposición tendrán una ventaja significativa en resiliencia y cumplimiento.

Desarrollar una práctica de TPRM estructurada y escalable que brinde una supervisión consistente en toda su cartera genera mucho más apalancamiento que agregar personal o armar programas personalizados desde cero para cada cliente. La infraestructura que usted construye una vez paga dividendos en todas las cuentas.

cynomi Asegurar el perímetro moderno: el auge de la gestión de riesgos de terceros es un punto de partida práctico. Cubre todo el alcance del riesgo moderno de terceros, cómo es un programa TPRM de grado de gobernanza y cómo los proveedores de servicios pueden desarrollar y escalar esta capacidad sin sacrificar márgenes.

Descubre como Cynomi ayuda a los MSP y MSSP a poner en funcionamiento el TPRM a escalao solicitar una demostración para explorar cómo se adapta a su modelo de servicio.

Microsoft ha revelado detalles de una campaña de robo de credenciales que emplea clientes falsos de redes privadas virtuales (VPN) distribuidos mediante técnicas de envenenamiento de optimización de motores de búsqueda (SEO).

«La campaña redirige a los usuarios que buscan software empresarial legítimo a archivos ZIP maliciosos en sitios web controlados por atacantes para implementar troyanos firmados digitalmente que se hacen pasar por clientes VPN confiables mientras recolectan credenciales de VPN», dijeron los equipos de Microsoft Threat Intelligence y Microsoft Defender Experts. dicho.

El fabricante de Windows, que observó la actividad a mediados de enero de 2026, la ha atribuido a Tormenta-2561un grupo de actividad de amenazas conocido por propagar malware mediante envenenamiento de SEO y hacerse pasar por proveedores de software populares desde mayo de 2025.

Las campañas del actor de amenazas fueron documentado por primera vez de Cyjax, destacando el uso de envenenamiento de SEO para redirigir a los usuarios que buscan programas de software de compañías como SonicWall, Hanwha Vision y Pulse Secure (ahora Ivanti Secure Access) en Bing a sitios falsos y engañarlos para que descarguen instaladores MSI que implementan el cargador Bumblebee.

Zscaler reveló una iteración posterior del ataque en octubre de 2025. Se observó que la campaña aprovechaba que los usuarios buscaban software legítimo en Bing para propagar un cliente VPN troyanizado Ivanti Pulse Secure a través de sitios web falsos («ivanti-vpn[.]org») que finalmente robó las credenciales de VPN de la máquina de la víctima.

Microsoft dijo que la actividad destaca cómo los actores de amenazas explotan la confianza en las clasificaciones de los motores de búsqueda y la marca del software como una táctica de ingeniería social para robar datos de los usuarios que buscan software VPN empresarial. Lo que agrava las cosas es el abuso de plataformas confiables como GitHub para alojar los archivos del instalador.

Específicamente, el repositorio de GitHub aloja un archivo ZIP que contiene un archivo de instalación MSI que se hace pasar por software VPN legítimo, pero descarga archivos DLL maliciosos durante la instalación. El objetivo final, como antes, es recopilar y filtrar credenciales de VPN utilizando una variante de un ladrón de información llamado Hyrax.

Se muestra al usuario un cuadro de diálogo de inicio de sesión de VPN falso, pero convincente, para capturar las credenciales. Una vez que la víctima ingresa la información, se le muestra un mensaje de error y se le indica que esta vez descargue el cliente VPN legítimo. En algunos casos, son redirigidos al sitio web legítimo de VPN.

El malware hace uso de la Clave de registro de Windows RunOnce para configurar la persistencia, de modo que se ejecute automáticamente cada vez que se reinicie el sistema.

«Esta campaña exhibe características consistentes con las operaciones de cibercrimen con motivación financiera empleadas por Storm-2561», dijo Microsoft. «Los componentes maliciosos están firmados digitalmente por ‘Taiyuan Lihua Near Information Technology Co., Ltd.’»

Desde entonces, el gigante tecnológico eliminó los repositorios de GitHub controlados por el atacante y revocó el certificado legítimo para neutralizar la operación.

Para contrarrestar tales amenazas, se recomienda a las organizaciones y a los usuarios que implementen la autenticación multifactor (MFA) en todas las cuentas, tengan cuidado al descargar software de sitios web y se aseguren de que sean auténticos.

Los cazadores de amenazas y un grupo de víctimas no confirmadas están respondiendo a una serie de ataques dirigidos a clientes de Salesforce, que el proveedor reveló en un aviso de seguridad Sábado.

«Salesforce está monitoreando activamente la actividad de amenazas dirigida a sitios públicos de Experience Cloud, incluidos los intentos de aprovechar configuraciones de usuarios invitados demasiado permisivas», dijo la compañía en la alerta.

La campaña marca el tercer ataque generalizado dirigido a clientes de Salesforce en aproximadamente seis meses.

El número de víctimas atrapadas por los últimos ataques no está verificado, pero ShinyHunters, el grupo de amenazas que se atribuye la responsabilidad de los ataques, afirma que unas 100 empresas ya se han visto afectadas.

Los investigadores dijeron a CyberScoop que confían en que el grupo de amenazas detrás de la campaña está asociado con ShinyHunters, un equipo que anteriormente robó datos de instancias de Salesforce para intentos de extorsión.

Salesforce no atribuyó los ataques, pero culpó a un «grupo conocido de actores de amenazas», y agregó que el problema es no debido a una vulnerabilidad en la plataforma de la empresa.

La compañía dijo que la actividad de amenazas refleja una tendencia más amplia de ataques basados ​​en identidad, en este caso configuraciones de usuario invitado configuradas por el cliente que exponen los sitios de Experience Cloud de acceso público a posibles ataques.

«Somos conscientes de un actor de amenazas que intenta identificar configuraciones erróneas dentro de las instancias de Salesforce Experience Cloud», dijo en un comunicado Charles Carmakal, director de tecnología de Mandiant Consulting. «Estamos trabajando estrechamente con Salesforce y nuestros clientes para proporcionar las reglas de detección y telemetría necesarias para mitigar el riesgo potencial».

Salesforce dijo que el actor de amenazas está utilizando una versión modificada de la herramienta de código abierto desarrollada por Mandiant. AuraInspector para buscar sitios públicos de Experience Cloud y robar datos de instancias con un perfil de usuario invitado.

Esta configuración está diseñada para proporcionar a los usuarios no autenticados acceso a datos destinados al consumo público. Sin embargo, los perfiles de invitados con permisos excesivos permiten a los atacantes ver datos adicionales consultando directamente los objetos de Salesforce CRM sin iniciar sesión, explicó la compañía.

Salesforce no dijo cuándo ni cómo se enteró de la última campaña dirigida a sus clientes, ni cuántas empresas ya se han visto afectadas. «No tenemos nada más que agregar en este momento», dijo Nicole Aranda, gerente senior de comunicaciones corporativas de Salesforce.

La empresa recomendó a los clientes que se aseguren de que las configuraciones de los usuarios invitados estén restringidas adecuadamente.

«Cualquier sistema expuesto a Internet debe configurarse con la expectativa de que será escaneado continuamente», dijo en un correo electrónico Shane Barney, director de seguridad de la información de Keeper Security.

“En esencia, se trata de una cuestión de gobernanza del acceso”, añadió. «Las cuentas de invitado, las cuentas de servicio y las integraciones de API deben tratarse con la misma disciplina que los usuarios privilegiados. Aplicar privilegios mínimos, restringir el acceso a la API y auditar continuamente los permisos son controles de seguridad fundamentales».

Los clientes de Salesforce se enfrentaron a un par de ataques que involucraron a proveedores externos el año pasado. Google Threat Intelligence Group dijo en ese momento que tenía conocimiento de más de 200 instancias de Salesforce potencialmente afectadas vinculadas a actividad maliciosa en aplicaciones Gainsight conectadas a entornos de clientes de Salesforce en noviembre.

Una ola de ataques posteriores más extensa descubierta en agosto afectó a más de 700 empresas que integraron el agente de chat de IA Salesloft Drift en sus entornos de Salesforce. ShinyHunters o grupos de amenazas afiliados al grupo de extorsión también participaron en ambas campañas.