El Proveedor Es Ahora la Superficie de Ataque
Durante una década, los equipos de seguridad empresarial se centraron en la defensa perimetral: asegurar la red, proteger los puntos finales, controlar el acceso a los sistemas internos. El modelo de amenaza asumía que los atacantes intentarían penetrar directamente en la organización.
Los datos de brechas de SaaS de 2024 muestran que este modelo está obsoleto. Las brechas de SaaS aumentaron 300% en 2024, según el Informe de Amenazas de Seguridad SaaS 2025 de Obsidian Security. Los atacantes ya no están apuntando a las organizaciones directamente; están apuntando a los proveedores de SaaS en quienes esas organizaciones confían sus datos.
Cuando tu proveedor es la superficie de ataque, el hecho de que tu propia red esté segura es irrelevante. Los datos de clientes, registros de empleados e información empresarial sensible que procesaste a través de ese proveedor están en su infraestructura, accesibles con sus claves y expuestos cuando sus sistemas son comprometidos.
Números de Brechas de SaaS de 2024
La escala de las brechas de SaaS de 2024 ilustra la exposición:
Conduent experimentó una brecha que expuso 25.9 millones de registros. Conduent proporciona servicios de externalización de procesos empresariales a agencias gubernamentales y grandes empresas, incluyendo administración de beneficios, procesamiento de pagos y portales de servicio al ciudadano. Los 25.9 millones de registros incluían individuos que interactuaron con servicios gubernamentales y no tenían conocimiento de que su información estaba en manos de un proveedor externo.
NHS Digital experimentó una brecha que afectó a 9 millones de pacientes. La brecha de NHS expuso datos de pacientes procesados a través de la infraestructura de un proveedor de SaaS: información clínica que los pacientes habían proporcionado a sus proveedores de atención médica y no tenían razón para creer que se transmitía a una plataforma de terceros.
Estos no son casos aislados. Representan la nueva normalidad para la exposición de datos: brechas a gran escala que afectan a millones de individuos que proporcionaron datos a organizaciones en las que confiaban, que los pasaron a proveedores que esos individuos nunca supieron que existían.
Por Qué las Brechas de SaaS Son Estructuralmente Diferentes
Las brechas de red tradicionales requieren que los atacantes penetren el perímetro de una organización, naveguen por sistemas internos y exfiltren datos: un proceso de múltiples etapas con múltiples oportunidades de detección.
Las brechas de SaaS operan de manera diferente. Los atacantes que comprometen a un proveedor de SaaS obtienen acceso a los datos de cada cliente que ha procesado información a través de ese proveedor. Un solo compromiso produce los registros de clientes de docenas o cientos de clientes empresariales simultáneamente.
La ventana de brecha de 9 minutos — el tiempo entre el acceso inicial y la compromisión de datos en entornos de SaaS, según los datos de respuesta a incidentes de Obsidian Security — refleja esta diferencia estructural. Una vez dentro de la infraestructura de un proveedor, los atacantes encuentran datos de múltiples organizaciones almacenados en un entorno compartido. La superficie de ataque concentra el valor.
Para las organizaciones que han firmado Acuerdos de Procesamiento de Datos (DPA) compatibles con el GDPR con sus proveedores de SaaS, la brecha no elimina la responsabilidad de cumplimiento. El Artículo 82 del GDPR asigna responsabilidad conjunta a los procesadores de datos por brechas que resulten de su incumplimiento de las obligaciones del GDPR. Pero la responsabilidad conjunta requiere demostrar que el proveedor no cumplió — una investigación compleja que toma meses mientras los datos ya están en manos de actores maliciosos.
El DPA No Protege los Datos
El Artículo 28 del GDPR requiere que las organizaciones utilicen solo procesadores que proporcionen "garantías suficientes" para implementar medidas técnicas y organizativas adecuadas. El Acuerdo de Procesamiento de Datos es la evidencia contractual de esas garantías.
Al igual que el BAA de HIPAA, el DPA aborda la relación contractual. No aborda la realidad técnica de lo que sucede con tus datos en la infraestructura del proveedor.
Un proveedor de SaaS que opera bajo un DPA compatible con el GDPR aún puede:
- Almacenar los datos de tus clientes utilizando cifrado del lado del servidor con claves controladas por el proveedor
- Procesar la información de tus empleados en un entorno multi-tenant compartido con otros clientes
- Retener registros de datos, registros de procesamiento y contenido en caché más allá de los propósitos especificados en tu acuerdo
- Tener su infraestructura comprometida de una manera que exponga todo lo anterior
El DPA crea obligaciones. No crea una barrera técnica a la exposición de datos. Cuando los atacantes comprometen al proveedor en 9 minutos, el DPA no los frena.
El Aumento del 300% Es un Efecto de Selección
El aumento del 300% en las brechas de SaaS refleja dos tendencias que operan simultáneamente.
Primero, el volumen absoluto de datos en plataformas de SaaS creció sustancialmente en 2024. A medida que más organizaciones trasladaron más procesos a proveedores basados en la nube, los datos disponibles en los entornos de los proveedores aumentaron proporcionalmente. Más datos en la infraestructura del proveedor crean más incentivos para que los atacantes apunten a la infraestructura del proveedor.
En segundo lugar, los atacantes han adaptado su metodología para coincidir con la concentración de valor. Las organizaciones ahora procesan más datos sensibles a través de más proveedores de SaaS que nunca: registros de clientes, transacciones financieras, datos de recursos humanos, documentos legales, información de atención médica. Los proveedores de SaaS se han convertido en objetivos de alto valor porque comprometer a un proveedor produce datos de muchas organizaciones.
La cifra del 300% describe un cambio estructural en la dirección de los ataques, no simplemente un aumento en la actividad criminal genérica.
Arquitectura de Conocimiento Cero como Mitigación del Riesgo del Proveedor
El cambio conceptual que requiere la arquitectura de conocimiento cero es sencillo: si tu proveedor no puede ser confiable para mantener tus datos de forma segura — no por ningún fallo específico, sino porque cualquier proveedor puede ser comprometido — entonces tus datos nunca deberían llegar a tu proveedor en forma identificable.
La anonimización de conocimiento cero antes de la transmisión a proveedores de SaaS cambia fundamentalmente la exposición a brechas. Cuando un proveedor que utiliza datos procesados con conocimiento cero es comprometido:
- Los atacantes acceden a registros anonimizados sin identificadores de cliente recuperables
- No se requiere notificación a los sujetos de datos porque no se expuso ningún dato personal
- No es necesaria ninguna investigación de responsabilidad conjunta del Artículo 82 del GDPR
- No se producen investigaciones de cumplimiento regulatorio como resultado de la brecha
La brecha afecta al proveedor. No afecta los datos de tus clientes porque los datos de tus clientes nunca estuvieron en los servidores del proveedor en forma recuperable.
El aumento del 300% en las brechas de SaaS cambia el cálculo del riesgo del proveedor. Las organizaciones que evalúan a los proveedores únicamente en función de su postura de seguridad y compromisos contractuales están confiando en que su proveedor no aparecerá en la próxima estadística de brechas. La arquitectura de conocimiento cero elimina esa dependencia.
Fuentes: