La próxima brecha importante que afecte a sus clientes probablemente no provendrá del interior de sus muros. Vendrá a través de un proveedor en el que confían, una herramienta SaaS a la que se inscribió su equipo financiero o un subcontratista que nadie en TI conoce. Ésa es la nueva superficie de ataque y la mayoría de las organizaciones no están preparadas para ello.

La nueva guía de Cynomi, Asegurar el perímetro moderno: el auge de la gestión de riesgos de tercerosargumenta que el TPRM ya no es una formalidad de cumplimiento. Es un desafío de seguridad de primera línea y una oportunidad de crecimiento definitoria para los MSP y MSSP que se adelantan a él.

El perímetro moderno se ha ampliado

Durante décadas, la estrategia de ciberseguridad giró en torno a un perímetro definido. Se implementaron firewalls, controles de terminales y sistemas de gestión de identidades para proteger los activos dentro de un límite conocido.

Esa frontera se ha disuelto.

Hoy en día, los datos de los clientes residen en aplicaciones SaaS de terceros, fluyen a través de las API de los proveedores y son procesados ​​por subcontratistas que los equipos internos de TI tal vez ni siquiera conocen. La seguridad ya no se limita a la infraestructura propia. Se extiende a través de un ecosistema interconectado de proveedores externos, y la responsabilidad que conlleva también se extiende allí.

El Informe de investigaciones de violaciones de datos de Verizon de 2025 encontró que terceros están involucrados en el 30% de las violaciones. El informe de IBM sobre el costo de una filtración de datos para 2025 sitúa el costo promedio de remediación de una filtración de terceros en 4,91 millones de dólares. La exposición a terceros se ha convertido en una característica central de las operaciones comerciales modernas, no en un caso límite.

Para los proveedores de servicios proactivos, este cambio crea una oportunidad sustancial. Las organizaciones que enfrentan crecientes amenazas de terceros buscan socios estratégicos que puedan poseer, optimizar y administrar continuamente todo el ciclo de vida de los riesgos de terceros. Los proveedores de servicios que asuman ese rol pueden introducir nuevas ofertas de servicios, brindar consultoría de mayor valor y establecerse como centrales para los programas de seguridad y cumplimiento de sus clientes.

De la casilla de verificación a la función de riesgo central

El enfoque tradicional del riesgo de los proveedores se basaba en cuestionarios anuales, hojas de cálculo y, ocasionalmente, correos electrónicos de seguimiento. Nunca fue suficiente y ahora es especialmente costoso.

Marcos regulatorios como CMMC, NIS2 y DORA han elevado el listón significativamente. El cumplimiento ahora requiere una supervisión demostrable y continua de los controles de terceros, no una instantánea de un momento dado de hace doce meses. Las juntas directivas están haciendo preguntas más difíciles sobre la exposición de los proveedores. Las aseguradoras cibernéticas están examinando la higiene de la cadena de suministro antes de redactar sus pólizas. Y los clientes que han visto a los competidores absorber las consecuencias del incumplimiento de un proveedor entienden que «no era nuestro sistema» no limita su responsabilidad.

El mercado está respondiendo en consecuencia. Se proyecta que el gasto global de TPRM crecerá de $8.3 mil millones en 2024 a $18.7 mil millones para 2030. Las organizaciones están tratando la supervisión de proveedores como una función de gobernanza, a la par de la respuesta a incidentes o la gestión de identidades, porque el costo de ignorarla se ha vuelto demasiado alto.

Para los proveedores de servicios, esa asignación presupuestaria es una señal clara. Los clientes buscan activamente socios que puedan poseer y gestionar la supervisión de proveedores como un servicio definido y continuo.

La ampliación del TPRM es donde la mayoría de los proveedores se quedan estancados

La mayoría de los MSP y MSSP reconocen la oportunidad. La vacilación se reduce a la entrega y, específicamente, a si el TPRM puede ejecutarse de manera rentable a escala.

La revisión de proveedores tradicional se basa en flujos de trabajo fragmentados y análisis manuales. Las evaluaciones personalizadas deben enviarse, rastrearse e interpretarse, y el riesgo debe estratificarse según las obligaciones específicas de cada cliente. Este trabajo suele recaer en consultores senior, lo que lo hace costoso y difícil de delegar.

Multiplicar este esfuerzo en una cartera de clientes con diferentes ecosistemas de proveedores, necesidades de cumplimiento y tolerancias al riesgo puede resultar insostenible. Es por eso que muchos proveedores ofrecen TPRM como un proyecto único en lugar de un servicio administrado recurrente.

Pero ahí también reside la oportunidad. cynomi Guía para asegurar el perímetro moderno describe cómo TPRM estructurado y basado en tecnología puede pasar de un compromiso de consultoría personalizado a una línea de servicios repetible y de alto margen que fortalece la retención de clientes, impulsa las ventas adicionales y posiciona a los proveedores de servicios como socios integrales en los programas de seguridad de sus clientes.

Convertir TPRM en un motor de ingresos

El riesgo de terceros es un tema de conversación que nunca se queda sin material.

Cada nuevo proveedor que incorpora un cliente crea una discusión sobre riesgos potenciales. Las actualizaciones regulatorias son razones naturales para revisar los programas de los proveedores, y cada filtración en las noticias que se remonta a un tercero refuerza lo que está en juego. La TPRM, bien hecha, mantiene a los proveedores de servicios integrados en la estrategia del cliente en lugar de relegarlos a un apoyo reactivo, y ese posicionamiento cambia por completo la naturaleza de la relación.

Los proveedores que desarrollan capacidades estructuradas de TPRM descubren que les abre las puertas a:

• Trabajo más amplio de asesoramiento en materia de seguridad
• Valores de retenedor más altos
• Relaciones más sólidas con los clientes basadas en un impacto comercial genuino
• Diferenciación en un mercado de servicios gestionados saturado
• Gobernanza creíble de riesgos de terceros, que indica madurez a los clientes potenciales

La conclusión

El riesgo de terceros no va a desaparecer. Los ecosistemas de proveedores de los que dependen sus clientes seguirán volviéndose más complejos, con más plataformas SaaS, herramientas impulsadas por IA, subcontratistas y escrutinio regulatorio superpuestos. Las organizaciones que gestionen bien esta exposición tendrán una ventaja significativa en resiliencia y cumplimiento.

Desarrollar una práctica de TPRM estructurada y escalable que brinde una supervisión consistente en toda su cartera genera mucho más apalancamiento que agregar personal o armar programas personalizados desde cero para cada cliente. La infraestructura que usted construye una vez paga dividendos en todas las cuentas.

cynomi Asegurar el perímetro moderno: el auge de la gestión de riesgos de terceros es un punto de partida práctico. Cubre todo el alcance del riesgo moderno de terceros, cómo es un programa TPRM de grado de gobernanza y cómo los proveedores de servicios pueden desarrollar y escalar esta capacidad sin sacrificar márgenes.

Descubre como Cynomi ayuda a los MSP y MSSP a poner en funcionamiento el TPRM a escalao solicitar una demostración para explorar cómo se adapta a su modelo de servicio.

La Comisión Federal de Comunicaciones de Estados Unidos (FCC) dijo el lunes que prohibiría la importación de nuevos enrutadores de consumo fabricados en el extranjero, citando riesgos «inaceptables» para la seguridad cibernética y nacional.

La acción fue diseñada para salvaguardar a los estadounidenses y las redes de comunicaciones subyacentes de las que depende el país, dijo el presidente de la FCC, Brendan Carr. dicho en una publicación en X. El desarrollo significa que los nuevos modelos de enrutadores producidos en el extranjero ya no serán elegibles para su comercialización o venta en los EE. UU. La medida se produce a raíz de una determinación de seguridad nacional proporcionada por las agencias del poder ejecutivo, agregó Carr.

Con ese fin, todos los enrutadores de consumo fabricados en países extranjeros se han agregado al Lista cubiertaa menos que hayan recibido una Aprobación Condicional por parte del Departamento de Guerra (DoW) o el Departamento de Seguridad Nacional (DHS) después de determinar que no representan ningún riesgo.

Al momento de escribir, el lista aprobada solo incluye sistemas de drones y radios definidas por software (SDR) de SiFly Aviation, Mobilicom, ScoutDI y Verge Aero. Los productores de enrutadores de consumo pueden enviar una solicitud de aprobación condicional. De acuerdo a noticias de la bbcLos enrutadores Wi-Fi Starlink están exentos de la política, ya que se fabrican en el estado estadounidense de Texas.

«La determinación del Poder Ejecutivo señaló que los enrutadores producidos en el extranjero (1) introducen ‘una vulnerabilidad en la cadena de suministro que podría perturbar la economía, la infraestructura crítica y la defensa nacional de los EE. UU.’ y (2) plantean ‘un grave riesgo de ciberseguridad que podría aprovecharse para perturbar inmediata y gravemente la infraestructura crítica de los EE. UU. y dañar directamente a las personas estadounidenses’», dijo la FCC. dicho.

La agencia dijo que actores de amenazas patrocinados tanto por el estado como por el estado han explotado las deficiencias de seguridad en enrutadores pequeños y de oficinas domésticas para irrumpir en hogares estadounidenses, interrumpir redes, facilitar el ciberespionaje y permitir el robo de propiedad intelectual. Además, estos dispositivos podrían incorporarse a redes masivas con el objetivo de realizar transferencias de contraseñas y accesos no autorizados a la red, además de actuar como representantes para espionaje.

Los adversarios del nexo con China, como También se ha observado que Volt Typhoon, Flax Typhoon y Salt Typhoon aprovechan botnets que comprenden enrutadores fabricados en el extranjero para realizar ataques cibernéticos a infraestructuras críticas de comunicaciones, energía, transporte e agua de Estados Unidos.

«En los ataques del Salt Typhoon, los actores de amenazas cibernéticas patrocinados por el estado aprovecharon enrutadores comprometidos y producidos en el extranjero para integrarse y obtener acceso a largo plazo a ciertas redes y pivotar hacia otras dependiendo de su objetivo», según la Determinación de Seguridad Nacional (NSD).

El gobierno de EE. UU. también destacó una botnet denominada CovertNetwork-1658 (también conocida como Quad7), que se ha utilizado para orquestar ataques de pulverización de contraseñas altamente evasivos. Se considera que la actividad es obra de un actor de amenazas chino rastreado como Storm-0940.

Vale la pena señalar que la actualización de la Lista cubierta no afecta el uso continuo por parte del cliente de enrutadores que ya compraron. Tampoco afecta a los minoristas, quienes pueden continuar vendiendo, importando o comercializando modelos de enrutadores que fueron aprobados previamente a través del proceso de autorización de equipos de la FCC.

«Los enrutadores inseguros y producidos en el extranjero son objetivos principales para los atacantes y han sido utilizados en múltiples ataques cibernéticos recientes para permitir a los piratas informáticos obtener acceso a las redes y utilizarlas como plataformas de lanzamiento para comprometer la infraestructura crítica», dijo la NSD. «Las vulnerabilidades introducidas en las redes estadounidenses y en la infraestructura crítica como resultado de los enrutadores fabricados en el extranjero son inaceptables».

Los enrutadores han sido un objetivo lucrativo para los ataques cibernéticos, ya que sirven como conducto principal para el acceso a Internet. Los enrutadores comprometidos podrían permitir a los actores de amenazas realizar vigilancia de la red, filtrar datos e incluso entregar malware a las víctimas. En 2014, el periodista Glenn Greenwald presunto en su libro No hay lugar para esconderse cómo la Agencia de Seguridad Nacional de EE.UU. (NSA) rutinariamente intercepta enrutadores antes de que los fabricantes estadounidenses puedan exportarlos para implantar puertas traseras.

Los investigadores y cazadores de amenazas están luchando por contener un defecto de máxima gravedad en la aplicación de red UniFi de Ubiquiti que los atacantes podrían aprovechar para apoderarse de las cuentas de los usuarios accediendo y manipulando archivos.

La vulnerabilidad del recorrido del camino CVE-2026-22557 — afecta al software utilizado para administrar dispositivos de red UniFi, incluidos puntos de acceso, puertas de enlace y conmutadores. El proveedor reveló y lanzó parches para el defecto en un aviso de seguridad Miércoles.

«Hasta esta mañana, no hemos observado ninguna prueba pública de explotación de concepto ni informes confirmados de explotación en la naturaleza», dijo a CyberScoop Matthew Guidry, ingeniero senior de detección de productos de Censys.

«Sin embargo, debido a que se trata de una vulnerabilidad de recorrido de ruta, la complejidad técnica para un atacante suele ser menor que la corrupción de la memoria o los errores de desbordamiento del búfer», añadió. «Dado que la clasificación CVSS 10 implica una baja complejidad de ataque, anticipamos que una vez que se identifique el punto final vulnerable específico, la explotación será trivial de automatizar».

Los sensores de Censys observaron casi 88.000 hosts de aplicaciones de red UniFi expuesto públicamente en Internet a partir del viernes por la mañana. El software no expone qué versión está ejecutando, por lo que los análisis no pueden distinguir entre instancias vulnerables y parcheadas.

Aproximadamente un tercio de las instancias expuestas de la aplicación UniFi Network se encuentran en los Estados Unidos.

Como defensor, cuando ve un CVSS 10 para un producto que inmediatamente reconoce y sabe que está en todas partes, probablemente se sienta un poco ansioso», dijo Guidry. «También sabe que es remotamente explotable, no requiere autenticación y no necesita interacción del usuario, porque no sería un 10 si no lo fuera. Ubiquiti es un nombre que se escucha con frecuencia y muchos de esos dispositivos están conectados directamente a Internet”.

Ubiquiti aconseja a los usuarios de la aplicación UniFi Network que actualicen a las últimas versiones del software, lo que también solucionó una segunda vulnerabilidad: CVE-2026-22558 – que los atacantes podrían aprovechar para aumentar los privilegios.

El Departamento de Salud y Servicios Humanos presentó el jueves una herramienta para ayudar a los centros de atención médica a evaluar sus riesgos de ciberseguridad, elevando el énfasis en aquellas amenazas al tipo producido por las condiciones climáticas y otros peligros.

La asistencia de la Administración de Preparación y Respuesta Estratégicas (ASPR) del HHS viene en forma de una actualización al kit de herramientas de identificación de riesgos y criticidad del sitio (RISC) 2.0 para incluir un enfoque específico en la ciberseguridad.

RISC es una herramienta gratuita para ayudar a las organizaciones a identificar amenazas y vulnerabilidades, estimar las consecuencias y compartir sus hallazgos con otros. Ahora también incluirá un módulo de ciberseguridad.

El módulo guía a los usuarios a través de una serie de preguntas y las compara con el influyente Marco de Seguridad Cibernética 2.0 del Instituto Nacional de Estándares y Tecnología, así como con los objetivos voluntarios de desempeño de ciberseguridad del HHS.

John Knox, subsecretario adjunto principal de ASPR, dijo que el cambio fue una respuesta a las crecientes amenazas cibernéticas.

«Este módulo es la última incorporación a nuestro conjunto de herramientas de recursos para ayudar a nuestros socios de atención médica y de salud pública a prevenir la interrupción de la atención al paciente y fortalecer la seguridad sanitaria nacional», dijo Knox en un comunicado de prensa. «Debemos reconocer que la seguridad cibernética es la seguridad del paciente y que las amenazas cibernéticas pueden causar problemas en cascada en toda la industria de la atención médica. El nuevo módulo de ciberseguridad ayudará a nuestros socios a comprender lo que se necesita para fortalecer su resiliencia y les recomendamos encarecidamente que lo aprovechen».

Continúa un énfasis que Charlee Hess de ASPR discutió en CyberTalks el mes pasado, con el histórico ataque Change Healthcare que llevó a la división del HHS a buscar formas de ayudar a las organizaciones a gestionar el riesgo de proveedores externos.

Errol Weiss, director de seguridad del Centro de Análisis e Intercambio de Información de Salud, dijo que la creación del módulo cibernético fue un «movimiento inteligente», ya que el conjunto de herramientas RISC ya se está integrando en miles de sistemas de atención médica. También le gustó el conjunto de herramientas que se basa en el marco del NIST y los objetivos de desempeño del HHS.

«Al poner lo cibernético al lado de otras amenazas y peligros en una plataforma unificada, RISC 2.0 puede ayudar a los líderes de hospitales y sistemas de salud a ver la exposición cibernética en el mismo contexto que los huracanes, los tiradores activos o los cortes de energía», dijo en una respuesta enviada por correo electrónico a CyberScoop. «Esa visibilidad puede impulsar conversaciones más informadas a nivel ejecutivo y de la junta directiva sobre dónde invertir en ciberseguridad, qué brechas son más críticas y cómo las interrupciones cibernéticas podrían generar impactos reales en la atención al paciente».

Anthropic respondió el viernes después de que el secretario de Defensa de Estados Unidos, Pete Hegseth, ordenara al Pentágono que designara a la nueva inteligencia artificial (IA) como un «riesgo para la cadena de suministro».

«Esta acción sigue a meses de negociaciones que llegaron a un punto muerto sobre dos excepciones que solicitamos al uso legal de nuestro modelo de IA, Claude: la vigilancia interna masiva de los estadounidenses y las armas totalmente autónomas», dijo la compañía. dicho.

«Ninguna intimidación o castigo por parte del Departamento de Guerra cambiará nuestra posición sobre la vigilancia interna masiva o las armas totalmente autónomas».

En una publicación en las redes sociales sobre Truth Social, el presidente de los Estados Unidos, Donald Trump dicho Ordenaba a todas las agencias federales que eliminaran gradualmente el uso de tecnología Anthropic en los próximos seis meses. Una publicación X posterior de Hegseth ordenó que todos los contratistas, proveedores y socios que hicieran negocios con el ejército estadounidense cesaran cualquier «actividad comercial con Anthropic» con efecto inmediato.

«Junto con la directiva del Presidente para que el Gobierno Federal cese todo uso de la tecnología de Anthropic, estoy ordenando al Departamento de Guerra que designe a Anthropic como un riesgo para la seguridad nacional en la cadena de suministro», dijo Hegseth. escribió.

La designación se produce después de semanas de negociaciones entre el Pentágono y Anthropic sobre el uso de sus modelos de IA por parte del ejército estadounidense. En una publicación publicada esta semana, la empresa argumentó que sus contratos no deberían facilitar la vigilancia interna masiva o el desarrollo de armas autónomas.

«Apoyamos el uso de la IA para misiones legales de inteligencia y contrainteligencia extranjeras», señaló Anthropic. «Pero utilizar estos sistemas para una vigilancia nacional masiva es incompatible con los valores democráticos. La vigilancia masiva impulsada por la IA presenta riesgos graves y novedosos para nuestras libertades fundamentales».

La compañía también destacó la posición del Departamento de Guerra de EE. UU. (DoW) de que solo trabajará con compañías de IA que permitan «cualquier uso legal» de la tecnología, eliminando al mismo tiempo cualquier salvaguardia que pueda existir, como parte de los esfuerzos para construir una fuerza de guerra «primero la IA» y reforzar la seguridad nacional.

«La diversidad, la equidad y la inclusión y la ideología social no tienen cabida en el DoW, por lo que no debemos emplear modelos de IA que incorporen un ‘ajuste’ ideológico que interfiera con su capacidad de proporcionar respuestas objetivamente veraces a las solicitudes de los usuarios», se indica en un memorando. emitido por el Pentágono lee el mes pasado.

«El Departamento también debe utilizar modelos libres de restricciones de políticas de uso que puedan limitar las aplicaciones militares legales».

En respuesta a la designación, Anthropic la describió como «legalmente errónea» y dijo que sentaría un precedente peligroso para cualquier empresa estadounidense que negocie con el gobierno. También señaló que una designación de riesgo de la cadena de suministro según 10 USC 3252 solo puede extenderse al uso de Claude como parte de contratos DoW, y que no puede afectar el uso de Claude para servir a otros clientes.

Cientos de empleados de Google y OpenAI han firmó una carta abierta instando a sus empresas a apoyar a Anthropic en su enfrentamiento con el Pentágono por las aplicaciones militares de herramientas de inteligencia artificial como Claude.

El punto muerto La relación entre Anthropic y el gobierno de EE. UU. se produce cuando el director ejecutivo de OpenAI, Sam Altman, dijo que OpenAI llegó a un acuerdo con el Departamento de Defensa de EE. UU. (DoD) para implementar sus modelos en su red clasificada. También pidió al Departamento de Defensa que extendiera esos términos a todas las empresas de inteligencia artificial.

«La seguridad de la IA y la amplia distribución de beneficios son el núcleo de nuestra misión. Dos de nuestros principios de seguridad más importantes son la prohibición de la vigilancia masiva nacional y la responsabilidad humana por el uso de la fuerza, incluidos los sistemas de armas autónomos», Altman dicho en una publicación en X. «El Departamento de Guerra está de acuerdo con estos principios, los refleja en leyes y políticas, y los incluimos en nuestro acuerdo».