Hoy en día, todas las organizaciones -incluso la suya- dependen de una compleja red de dependencias de software . Ya sea en los servicios financieros, la sanidad, la fabricación o la seguridad nacional, a medida que las cadenas de suministro se interconectan más, también lo hacen los riesgos.
Los ciberataques a las cadenas de suministro de software se han disparado, con más del 75 % de ellas sufrirán brechas solo en 2024. Los delincuentes aprovechan las vulnerabilidades de los procesos de desarrollo, los componentes open-source y las integraciones de terceros, lo que convierte a estos ataques en una de las amenazas de seguridad más urgentes. Estas brechas no solo amenazan la estabilidad financiera, sino que también ponen en peligro la integridad de la marca y la reputación de una organización.
Además de defenderse de ataques cada vez más sofisticados, las empresas también deben hacer frente a las presiones normativas, los problemas de integridad de los datos y las consecuencias operativas de los fallos de seguridad.
No es de extrañar que el mercado estadounidense de seguridad de la cadena de suministro crezca de 634,3 millones de dólares en 2025 a 988,4 millones de dólares en 2032, impulsado por la necesidad de protecciones más fuertes. Tecnologías emergentes como la IA, IoT y el blockchain están configurando el futuro de la seguridad de la cadena de suministro, pero los riesgos siguen evolucionando.
La normativa está subiendo el listón: La Ley de Ciberresiliencia
Para hacer frente a los riesgos de la cadena de suministro software , los gobiernos están introduciendo normativas más estrictas. La Ley de Ciberresiliencia (CRA), adoptada por la Unión Europea en diciembre de 2024, se aplica a todo el software, firmware y dispositivos conectados vendidos o utilizados en la UE.
En pocas palabras, la CRA es una forma de garantizar la seguridad de los productos digitales en la cadena de suministro. Los principios de seguridad por defecto impondrían un deber de diligencia durante el ciclo de vida de los productos. En otras palabras, las nuevas normas reequilibrarían la responsabilidad hacia los fabricantes - en lugar de confiar en los consumidores medios para establecer un nivel básico de seguridad.
¿Por qué debe importarle esta legislación? Porque incluso las empresas con sede en EE.UU. que venden a la UE deben cumplirla o se enfrentan a cuantiosas multas. Los requisitos comenzarán el 11 de septiembre de 2026, mientras que la mayoría de las demás disposiciones de la CRA se aplicarán plenamente el 11 de diciembre de 2027.
He aquí un extracto de la legislación de la UE:
"Al establecer requisitos de ciberseguridad para la comercialización de productos con elementos digitales, se pretende mejorar la ciberseguridad de dichos productos tanto para los consumidores como para las empresas. Esos requisitos también garantizarán que la ciberseguridad se tenga en cuenta a lo largo de las cadenas de suministro, haciendo que los productos finales con elementos digitales y sus componentes sean más seguros...[y] se aplica a productos tales como los productos domésticos inteligentes con funcionalidades de seguridad, incluidas las cerraduras de puertas inteligentes, los sistemas de vigilancia de bebés y los sistemas de alarma, los juguetes conectados y la tecnología personal de salud vestible."
Keyfactorreciente de Keyfactor resume los requisitos clave de la CRA que debe conocer, incluyendo:
- Seguridad desde el diseño: incorporar la seguridad a los productos desde el principio.
- Responsabilidad del ciclo de vida: mantener la seguridad durante al menos cinco años después de la implantación.
- Notificación de incidentes y vulnerabilidades - Implantación de estos controles en el plazo de un año.
Con un plazo de cumplimiento que se acerca rápidamente, ahora es el momento de actuar. Los retrasos no solo suponen un riesgo de incumplimiento, sino que también exponen a las organizaciones a amenazas de seguridad evitables.
Cómo reforzar su cadena de suministro de Software
Entonces, ¿cómo pueden protegerse las organizaciones? La respuesta está en la creación de confianza digital, asegurando toda la cadena de herramientas DevOps, verificando la autenticidad software e implementando salvaguardas criptográficas.
Los términos garantizar, mejorar y integrar son las tres palabras mágicas que querrá recordar. Son las estrategias clave que le ayudarán a reforzar la seguridad de la cadena de suministro de software y evitar costosas infracciones:
#nº 1 Garantizar la autenticidad Software
- Autenticar y verificar todos los componentes de software a lo largo del ciclo de vida de desarrollo.
- Validar la identidad de desarrolladores, aplicaciones y componentes de infraestructura.
- Implemente una firma de código robusta y una verificación criptográfica para evitar modificaciones no autorizadas.
#2 Mejorar la transparencia y la trazabilidad
- Aproveche los metadatos, incluidas las listas de materiales de Software (SBOM), para obtener una visibilidad completa de los orígenes software .
- Utilizar blockchain y soluciones basadas en IA para mejorar la transparencia en la cadena de suministro.
- Implemente herramientas de supervisión en tiempo real para detectar anomalías y vulnerabilidades antes de que se conviertan en amenazas.
#3 Integrar la seguridad en el ciclo de vida del desarrollo
- Proteja la cadena de herramientas DevOps con sólidas salvaguardas criptográficas.
- Garantizar el cumplimiento de las normativas en evolución, como la CRA mencionada anteriormente.
- Utilice la firma de código basada en PKI para protegerse contra modificaciones no autorizadas y malware.
Al incorporar estos principios al desarrollo de software , las organizaciones pueden mitigar los riesgos que plantean unas cadenas de suministro cada vez más complejas.
El futuro de la firma segura de código
Con el aumento de las amenazas a la cadena de suministro y el endurecimiento de las normativas, las empresas necesitan un enfoque proactivo para la firma de código y la seguridad. Keyfactor ofrece una plataforma de firma de código centralizada, segura y fácil de usar para los desarrolladores, lo que garantiza que las organizaciones puedan proteger sus activos de software sin interrumpir la innovación.
La cuestión no es sólo si puede confiar en su código, sino cómo lo demuestra. Ahora es el momento de replantearse la seguridad antes de que las vulnerabilidades se conviertan en responsabilidades.
