Vulnerabilidades en proveedores y falta de skills: los dos frentes más críticos para los CISOs

• Más infraestructura, nuevos peligros en ciberseguridad y ¿un modelo de negocios en riesgo?: el panorama de la IA para 2026

• Cibercontrol y derechos: un equilibrio frágil

La ciberseguridad corporativa atraviesa un punto de máxima complejidad. Por un lado, los ataques a la cadena de suministro alcanzaron niveles récord: los actores maliciosos ya no apuntan solo a las empresas, sino a sus proveedores, integraciones SaaS y servicios de terceros.

Por el otro, las organizaciones enfrentan una escasez creciente de talento especializado capaz de anticipar y gestionar estos riesgos interconectados. Esta doble presión convierte a la seguridad de proveedores y al déficit de skills en los desafíos más urgentes para los CISOs en 2026.

En este contexto, cada nuevo partner tecnológico suma una posible puerta de entrada y obliga a reforzar auditorías, monitoreo continuo y acuerdos de seguridad más estrictos. A la vez, la falta de profesionales capacitados para operar, escalar y automatizar estrategias de defensa deja a los equipos internos sobreexigidos, intentando hacer más con menos.

Esta realidad se confirma en un reciente informe de BrandShield, que consultó a 200 CISOs sobre los principales riesgos que enfrentan hoy las organizaciones. El estudio revela una dispersión de amenazas que refleja la complejidad del ecosistema digital.

Las 10 amenazas que más preocupan a los CISOs

• Phishing
• Malware y ransomware
• Suplantación de marca
• Filtración de datos y credenciales
• Ataques a la cadena de suministro
• Vulnerabilidades en software de terceros
• Amenazas internas
• Fraudes en redes sociales y sitios falsos
• Deepfakes y manipulación de identidad
• Riesgos asociados a IA generativa

La conclusión es contundente: no existe una amenaza dominante. “Los niveles de preocupación están repartidos de manera pareja, lo que indica que los CISOs hoy enfrentan un ecosistema de riesgos interconectados que se potencian entre sí”, explicó Néstor Markowicz, COO de CertiSur.

Esto exige abandonar el enfoque tradicional de priorizar un único riesgo y avanzar hacia una defensa integral basada en múltiples capas de seguridad, que incluya:

• Automatizar la gestión de certificados
• Detectar y desactivar amenazas en tiempo real
• Incorporar autenticación multifactor (MFA)
• Aumentar la visibilidad sobre accesos, sistemas expuestos y terceros

El panorama actual demuestra que el ciberdelito ya no opera en compartimentos aislados. Una campaña de phishing puede ser la antesala de un ransomware; una identidad digital manipulada mediante deepfake puede habilitar accesos críticos; una filtración en un proveedor puede comprometer a toda la organización.

“Hoy la ciberseguridad es un tema de negocio, no solo de tecnología”, subrayó Markowicz. “Un ataque puede detener la operación completa de una empresa, generar pérdidas significativas y afectar su reputación. Con amenazas diversas y altamente conectadas, un incidente aislado puede escalar muy rápido”.

Frente a este escenario, la prioridad es ganar visibilidad y automatizar. “El primer paso es saber qué certificados, accesos y sistemas están expuestos. Luego, automatizar su gestión, sumar MFA y concientizar equipos. Esa combinación reduce de inmediato la superficie de ataque y prepara a la organización para responder de manera ágil ante cualquier incidente”, concluyó el COO.