Cómo evaluar la seguridad de tus proveedores tecnológicos
Preguntas clave para hacerle a tu proveedor de TI, cláusulas de contrato, señales de alerta y cómo hacer due diligence de seguridad sin ser experto técnico.
En 2013, los atacantes que robaron 40 millones de datos de tarjetas de crédito de Target —la cadena de retail más grande de EE.UU.— no entraron por la puerta principal. Entraron a través del sistema de un proveedor de aire acondicionado que tenía acceso remoto a la red de la empresa.
En 2020, el ataque a SolarWinds —una empresa de software de gestión de redes— comprometió una actualización de software que llegó a más de 18.000 organizaciones, incluyendo agencias del gobierno de EE.UU. Los atacantes estuvieron dentro durante meses antes de ser detectados.
Estos casos no son excepciones. Son el ejemplo perfecto de una tendencia: cuando las empresas fortalecen sus propias defensas, los atacantes buscan el camino más débil — que muchas veces es un proveedor de confianza.
Por qué los ataques vía terceros son tan peligrosos
La razón es simple: tus proveedores tecnológicos tienen acceso legítimo a tus sistemas.
Tu empresa de soporte TI externo puede conectarse remotamente a tus servidores cuando algo falla. Tu proveedor de software de contabilidad puede actualizar la aplicación automáticamente. Tu empresa de email marketing tiene acceso a la base de datos de contactos de tus clientes.
Cuando uno de estos proveedores es comprometido, los atacantes heredan ese acceso legítimo. Pueden moverse dentro de tu red con las mismas herramientas y permisos que el proveedor usa normalmente. Para tus sistemas, parece tráfico normal.
Esto hace que:
- El ataque sea difícil de detectar
- Los atacantes tengan más tiempo para actuar sin levantar alertas
- El daño potencial sea mayor porque el acceso es amplio
En Chile, el vector más común es la empresa de soporte TI pequeña que administra remotamente los sistemas de varias PYMEs simultáneamente. Si esa empresa es comprometida, todos sus clientes están en riesgo.
Preguntas que debes hacerle a tu proveedor de TI
No necesitas ser experto en seguridad para hacer estas preguntas. Cualquier proveedor serio debería poder responderlas. Si no pueden o no quieren, es información importante.
Sobre su propia seguridad
“¿Cómo protegen las credenciales de acceso que usan para conectarse a nuestros sistemas?”
Busca respuestas que mencionen: gestores de contraseñas, contraseñas únicas por cliente, autenticación de dos factores. Una respuesta vaga como “las manejamos con cuidado” no es suficiente.
“¿Han sufrido algún incidente de seguridad en los últimos 2 años? ¿Cómo lo manejaron?”
No esperes que digan “nunca hemos tenido problemas” — eso puede ser señal de que no saben o de que no están siendo honestos. Lo que importa es cómo responden cuando hay un problema.
“¿Qué pasa si uno de sus técnicos deja de trabajar en su empresa? ¿Cómo revocan los accesos a nuestros sistemas?”
Esto habla de sus procesos internos. Si no tienen un proceso claro de baja de empleados con revocación de accesos, es una señal de alerta seria.
“¿Usan la misma contraseña o cuenta de acceso remoto para todos sus clientes?”
La respuesta correcta es no. Si usan credenciales compartidas entre clientes, un compromiso de esas credenciales afecta a todos.
Sobre el acceso a tus sistemas
“¿Para qué sistemas específicos necesitan acceso? ¿Por qué necesitan acceso a [sistema X]?”
Todo acceso debería tener una justificación específica. Si dan acceso amplio “por si acaso”, eso es más de lo que necesitan.
“¿Registran un log de todo lo que hacen cuando se conectan a nuestros sistemas?”
La auditabilidad es fundamental. Deberías poder saber qué hizo tu proveedor, cuándo y en qué sistemas.
“¿Cómo nos notifican cuando necesitan hacer cambios importantes o actualizaciones?”
Un proveedor responsable coordina previamente cambios significativos. Los que hacen cambios sin avisar son un riesgo operacional además de un riesgo de seguridad.
Sobre software y actualizaciones
“¿Con qué frecuencia actualizan el software que administran para nosotros?”
Software desactualizado es el vector de entrada más explotado. Si la respuesta es “cuando nos acordamos” o “cuando el cliente lo pide”, hay un problema.
“¿Cómo se enteran de vulnerabilidades en el software que administran?”
Busca respuestas que mencionen suscripción a boletines de seguridad, seguimiento de CVEs, o alertas del fabricante.
Qué cláusulas buscar en los contratos
Los contratos con proveedores tecnológicos raramente incluyen cláusulas de seguridad por defecto — hay que pedirlas. Estas son las más importantes:
Obligación de notificación de incidentes
El contrato debe establecer que el proveedor tiene la obligación de notificarte dentro de un plazo específico (recomendable: 24-48 horas) si sufren un incidente de seguridad que pueda afectar a tus datos o accesos.
Texto de referencia: “El Proveedor deberá notificar al Cliente dentro de las 24 horas de tomar conocimiento de cualquier incidente de seguridad, brecha de datos o acceso no autorizado que pueda comprometer los sistemas o datos del Cliente.”
Confidencialidad y uso de datos
El proveedor no debería poder usar los datos de tu empresa para otros fines que no sean la prestación del servicio contratado.
Texto de referencia: “El Proveedor se compromete a mantener estricta confidencialidad sobre los datos e información a que tenga acceso con motivo de este contrato, no pudiendo usarlos para otros fines distintos a los acordados.”
Estándares de seguridad mínimos
Define qué medidas de seguridad mínimas debe tener el proveedor. Puede ser algo tan simple como:
Texto de referencia: “El Proveedor declara contar con: (a) autenticación de dos factores en todas las cuentas con acceso a sistemas del Cliente; (b) contraseñas únicas por cliente; (c) registro de todas las acciones realizadas en sistemas del Cliente; (d) proceso de revocación de accesos para empleados que dejen la empresa.”
Auditoría de accesos
Reserva el derecho a solicitar logs de las actividades del proveedor en tus sistemas.
Texto de referencia: “El Cliente tendrá derecho a solicitar, con previo aviso de 5 días hábiles, un reporte de las actividades realizadas por el Proveedor en sus sistemas durante cualquier período de los últimos 12 meses.”
Qué pasa al terminar el contrato
Define explícitamente que al terminar el contrato, el proveedor revoca todos los accesos y elimina cualquier dato tuyo de sus sistemas.
Sobre los contratos
Un proveedor que se resiste a incluir estas cláusulas no necesariamente es deshonesto — puede simplemente no estar acostumbrado a que se las pidan. Trata de que sea una conversación, no una imposición. Si después de la conversación se siguen negando a incluirlas, eso sí es una señal importante.
Cómo hacer un mínimo due diligence sin ser experto
Due diligence de seguridad suena a algo que solo hacen las grandes empresas con equipos jurídicos y de TI. Pero hay cosas concretas que cualquier PYME puede hacer:
Busca evidencia pública de descuidos
Googleando el nombre del proveedor más términos como “hackeo”, “brecha de datos”, “incidente”, puedes encontrar si han tenido problemas públicos. Revisa también si tienen versiones actualizadas de su sitio web (un sitio desactualizado puede indicar falta de mantención general).
Verifica su sitio web con herramientas básicas
Herramientas gratuitas como SSL Labs permiten verificar si un proveedor tiene correctamente configurado su sitio web con HTTPS. Un proveedor de servicios TI que tiene su propio sitio con problemas de seguridad básicos habla de sus prioridades.
Pide referencias y pregunta específicamente sobre seguridad
Cuando pidas referencias de otros clientes, incluye la pregunta: “¿Han tenido algún problema de seguridad relacionado con este proveedor?” La mayoría de los clientes no divulgará todo, pero las respuestas evasivas son informativas.
Verifica que existen como empresa
Parece obvio, pero: verifica en el Registro de Empresas del SII que la empresa existe, tiene RUT activo y lleva un tiempo razonable operando. Los proveedores muy nuevos sin historia verificable son un riesgo mayor.
Haz un “mínimo técnico”
Si tienes a alguien técnico de confianza (aunque no sea de tu empresa), pídele que revise brevemente la herramienta de acceso remoto que usa el proveedor. Herramientas establecidas como TeamViewer, AnyDesk, o acceso VPN con credenciales únicas son mejores señales que soluciones caseras o desconocidas.
Señales de alerta en proveedores tecnológicos
Estas son señales concretas de que deberías reconsiderar la relación con un proveedor o al menos establecer controles adicionales:
No actualizan el software que administran: Si cada vez que algo falla mencionan que están usando versiones viejas “porque así funciona”, es un riesgo permanente.
No tienen política de privacidad ni contrato escrito: Un proveedor sin contratos formales no tiene obligaciones legales claras contigo.
No pueden decirte quién tiene acceso a tus sistemas: Si no saben (o no quieren decir) cuántas personas de su empresa pueden conectarse a tus sistemas, no tienen control interno.
Te piden credenciales de administrador y no las cambian después: Algunos proveedores piden las credenciales de acceso para hacer una tarea y luego “olvidan” cambiarlas o devolvértelas. Tus credenciales nunca deberían ser las del proveedor.
Acceso 24/7 sin justificación: Si tienes un acuerdo de soporte normal (horario comercial), ¿por qué necesitarían acceso remoto permanente a tus sistemas a las 3 AM?
No avisan antes de hacer cambios: Los cambios no coordinados son riesgosos operacionalmente y también desde el punto de vista de seguridad.
Usan correos de Gmail u Hotmail para comunicaciones profesionales: Un proveedor de TI sin dominio corporativo propio es una señal de informalidad que se puede extender a sus prácticas de seguridad.
El riesgo de la confianza implícita
Con los proveedores de larga data, la tendencia es asumir que “ya los conocemos, son de confianza”. Pero la confianza personal no reemplaza los controles de seguridad. El técnico que lleva 5 años apoyándote puede ser honesto y cuidadoso — y aun así tener prácticas de seguridad deficientes que lo conviertan en un riesgo para tu empresa.
Un checklist práctico para la próxima reunión con tu proveedor
Antes de contratar un nuevo proveedor TI, o en la próxima revisión con tu proveedor actual, verifica:
- El contrato incluye cláusula de notificación de incidentes
- El contrato define qué accesos tienen y para qué
- El contrato establece qué pasa con los accesos al terminar la relación
- El proveedor usa autenticación de dos factores para conectarse a mis sistemas
- El proveedor tiene credenciales únicas para mi empresa (no compartidas con otros clientes)
- El proveedor registra un log de las actividades que realiza en mis sistemas
- Puedo solicitar ese log si lo necesito
- Sé exactamente qué personas de la empresa del proveedor tienen acceso a mis sistemas
- El proveedor tiene un proceso para revocar accesos cuando un técnico deja la empresa
- Actualiza el software que administra de forma regular y me avisa de las actualizaciones importantes
No tienes que tener todo esto en orden para el día de mañana. Pero sí vale la pena ir revisándolo, porque la seguridad de tu empresa no termina en tus propias paredes — incluye a todos los que tienen acceso a lo que hay adentro de ellas.