Por Marko Kovacevic y Sasha Pailet Koff, Project Syndicate
NUEVA YORK- A medida que se intensifica la guerra actual en Oriente Medio, los gobiernos y los expertos en seguridad han advertido que el conflicto podría extenderse al ciberespacio. Las empresas y las cadenas de suministro, especialmente las de Estados Unidos y sus aliados, podrían enfrentarse a ciberataques asimétricos o de represalia por parte de Irán o de grupos afiliados que buscan ejercer presión más allá del campo de batalla. En este contexto, la ciber-resiliencia de las redes de suministro globales ya no es una preocupación teórica, sino una prioridad operativa urgente.
Durante décadas, las cadenas de suministro se diseñaron principalmente para minimizar los costos y maximizar la velocidad y la escala. Muchas veces se consideraba que la ciberseguridad era una cuestión secundaria,una medida de protección técnica sin influencia en las decisiones operativas,. Pero en la economía actual, basada en la IA y en los datos, eso ya no es así. La preparación cibernética y las operaciones de las cadenas de suministro hoy están profundamente interconectadas.
Las cadenas de suministro se han convertido en ecosistemas digitales adaptables, en lugar de flujos lineales de mercancías. Las redes de fabricantes, proveedores de logística, plataformas de software y servicios de datos se basan en sistemas compartidos, API e infraestructura en la nube. Los motores de decisión autónomos impulsados por la IA han acelerado la integración al automatizar la planificación, la adquisición, la previsión y la ejecución.
Si bien esta arquitectura ofrece una eficiencia extraordinaria, también crea una fragilidad sistémica. Las interrupciones de las cadenas de suministro se deben, cada vez más, a incidentes cibernéticos que comprometen la integridad de los datos, la disponibilidad del sistema y la confianza mutua, y no a fenómenos meteorológicos o conflictos laborales. Estos incidentes suelen tener su origen fuera de la empresa -en proveedores, prestadores de servicios o vendedores de software cuyas capacidades y recursos varían considerablemente-. Los atacantes suelen apuntar a empresas más pequeñas y con menos recursos como punto de entrada a las organizaciones más grandes.
El año pasado, Marks & Spencer reportó pérdidas de aproximadamente 300 millones de dólares después de que un ataque de ransomware (iniciado a través de un proveedor) la obligara a suspender sus operaciones en línea y dejara las estanterías de las tiendas sin existencias. Los ataques recientes que han afectado a organizaciones como Jaguar Land Rover, Victoria’s Secret, Toyota, British Airways, Applied Materials, Ticketmaster y Asahi demuestran lo vulnerables que siguen siendo los ecosistemas empresariales globales. Según el Informe de Investigaciones sobre Violaciones de Datos de Verizon de 2025, el 30% de las violaciones ahora involucran a un tercero, lo que supone un aumento del 100% con respecto al 15% registrado anteriormente.
El resultado es una forma de riesgo operativo que ya no se limita a los extremos de las cadenas de suministro y que no puede gestionarse con los modelos de gobernanza tradicionales. Para los líderes empresariales, la ciberseguridad se ha convertido en un desafío difícil de resolver que la tecnología por sí sola no puede solucionar. En lugar de un problema interno de TI que se puede delegar y olvidar, debe abordarse como una disciplina empresarial fundamental, reforzada a través de la cultura y el comportamiento.
La paradoja de la cadena de suministro moderna es que funciona gracias a la automatización, pero se rige por la discreción humana. Cada día, miles de personas -desde los responsables de compras de las casas matrices de las empresas hasta los gerentes de depósito de los proveedores- toman decisiones que hacen que los sistemas sean más resilientes o vulnerables.
La IA exacerba esta dinámica. Los sistemas automatizados dependen del flujo ininterrumpido de datos fiables. Cuando los datos se ven comprometidos o manipulados, las interrupciones pueden propagarse rápidamente, afectando negativamente los procesos de planificación y ejecución y amplificando los errores a gran escala. La IA generativa también ha aumentado la eficacia de la ingeniería social. En lugar de piratear el código, los hackers ahora pueden “piratear” a los empleados, aprovechando la confianza al hacerse pasar de forma convincente por proveedores, ejecutivos o compañeros de trabajo.
Por lo tanto, ninguna organización puede garantizar por sí sola la preparación cibernética. La gestión de estas amenazas requiere la colaboración con actores clave de diversas capacidades y niveles de madurez en toda la red de la cadena de suministro. Los líderes empresariales deben considerar la preparación cibernética como una capacidad operativa, similar a la calidad o la seguridad, con la continuidad bajo presión como objetivo. ¿Sus empresas están preparadas para prevenir, resistir y recuperarse de las interrupciones cibernéticas en sus cadenas de suministro? ¿Pueden mantener la circulación de mercancías, la fiabilidad de los datos y la coordinación de los socios incluso cuando los sistemas se ven comprometidos?
Una característica definitoria de una cadena de suministro preparada para la ciberseguridad es la responsabilidad ejecutiva. Los líderes deben asumir la responsabilidad de esta cuestión, integrando los escenarios cibernéticos en la gestión de riesgos de la empresa y estableciendo responsabilidades claras durante los incidentes.
Asimismo, las expectativas en todo el ecosistema deben ser estandarizadas y prácticas. En lugar de imponer requisitos complejos y muy exigentes en materia de cumplimiento normativo, las organizaciones líderes deberían definir prácticas básicas -como controles de acceso, disciplina en la aplicación de parches, capacitación de empleados y reporte de incidentes- que los proveedores puedan cumplir de forma realista. También deberían proporcionarles a los socios con recursos limitados, incluidos aquellos que suministran materias primas esenciales, una capacitación centrada en las personas y mentoría entre pares.
Así como la consistencia es más importante que la perfección en una cadena de suministro preparada para la ciberseguridad, la preparación es más importante que la prevención. Los incidentes cibernéticos son inevitables. Las organizaciones deben invertir en redundancia, segmentación, sistemas de respaldo y planes de recuperación probados para garantizar que una interrupción en un eslabón no detenga toda la operación. Deben ensayar estos incidentes como si fueran desastres naturales o fallos logísticos.
Una comunicación clara y el apoyo a los socios más pequeños contribuyen a fomentar la confianza otro elemento esencial de una cadena de suministro preparada para la ciberseguridad. Cuando se producen incidentes, las organizaciones deben dar prioridad a la rapidez y la transparencia por encima de la culpa, ya que el ocultamiento solo magnifica los daños en los sistemas interconectados.
Por último, la preparación cibernética debe integrarse en los flujos de trabajo. Las vulnerabilidades surgen cuando los empleados se ven obligados a eludir los controles de seguridad para cumplir con los objetivos operativos. Los gerentes deben garantizar que las presiones por la eficiencia no incentiven los atajos.
Hay medidas inmediatas que los líderes empresariales pueden tomar para empezar a construir una cadena de suministro preparada para la ciberseguridad. Pueden identificar las dependencias críticas, centrándose allí donde la integración digital y el intercambio de datos son más esenciales. Eso significa identificar qué socios, sistemas y flujos de datos causarían la mayor interrupción si se vieran comprometidos, así como los puntos de contacto humano más importantes, donde se toman las decisiones, se intercambian datos y la presión para actuar con rapidez es mayor. Con esta información, los líderes empresariales pueden diseñar expectativas de referencia y apoyar a sus proveedores con recursos más limitados.
A medida que la IA, la automatización y la complejidad geopolítica transforman las redes globales de suministro, los riesgos cibernéticos seguirán evolucionando y creciendo. Prepararse para ellos ya no es opcional. Las empresas que se preparen para la ciberseguridad tendrán más probabilidades de mantener la continuidad de su cadena de suministro y una ventaja competitiva; las que no lo hagan corren el riesgo de volverse operativamente frágiles en un mundo cada vez más volátil. Copyright: Project Syndicate, 2026.
Marko Kovacevic es director general del Digital Supply Chain Institute, un instituto de investigación sin fines de lucro centrado en la evolución de las cadenas de suministro empresariales en la economía digital. Sasha Pailet Koff es directora general del Cyber Readiness Institute, una organización sin fines de lucro que mejora la preparación cibernética de las pequeñas y medianas empresas.