El proveedor es ahora la superficie de ataque
Actualizado para 2026
Durante una década, los equipos de seguridad persiguieron un objetivo: mantener a los atacantes fuera de la red. Asegurar el perímetro. Proteger los endpoints. Controlar el acceso. El modelo antiguo asumía que los atacantes irían directamente contra la organización.
Los datos de 2024 muestran que ese modelo está roto. Las brechas de SaaS aumentaron un 300 % en 2024, según el Informe de Amenazas de Seguridad SaaS 2025 de Obsidian Security. Los atacantes ya no van directamente contra las organizaciones. Van tras las herramientas SaaS en las que esas organizaciones depositan sus registros.
Cuando tu herramienta cloud es el objetivo del ataque, una red interna segura no ayuda. Los registros de clientes, los documentos de empleados y el contenido sensible viven en los servidores de la herramienta. Están bloqueados con las claves de la herramienta. Quedan expuestos cuando la herramienta es comprometida.
Cifras de brechas SaaS en 2024
Los totales de brechas de 2024 muestran la escala del riesgo.
Conduent sufrió una brecha que expuso 25,9 millones de registros. Conduent gestiona la externalización de procesos de negocio para agencias gubernamentales y grandes empresas. Maneja prestaciones, pagos y servicios ciudadanos. Los 25,9 millones de personas afectadas no sabían que un tercero tenía su información.
NHS Digital tuvo una brecha que afectó a 9 millones de pacientes. Los registros de pacientes quedaron expuestos a través de los servidores de una herramienta cloud. Los pacientes dieron esa información a sus proveedores de salud. No tenían razón para saber que había llegado a una plataforma de terceros.
Estos no son casos aislados. Son el nuevo patrón. Las grandes brechas ahora afectan a millones de personas que confiaron en una organización pero cuya información personal estaba en manos de otra que nunca supieron que existía. Para entender cómo la ley asigna la responsabilidad en estos casos, consulta nuestra descripción general de cumplimiento RGPD.
Por qué las brechas SaaS funcionan de manera diferente
Una brecha de red clásica requiere muchos pasos. Los atacantes deben superar el perímetro. Deben moverse por los sistemas. Deben extraer documentos. Cada paso es una oportunidad para ser detectados.
Las brechas SaaS funcionan de manera diferente. Cuando los atacantes comprometen una plataforma cloud, acceden a los registros de cada cliente que envió contenido a través de esa plataforma. Una sola brecha proporciona documentos de docenas o cientos de clientes a la vez.
La ventana de 9 minutos — tiempo desde el primer acceso hasta el robo de registros en entornos SaaS, según los datos de Obsidian Security — muestra la rapidez del proceso. Dentro de una plataforma compartida, los atacantes encuentran contenido de muchos clientes a la vez. Esa concentración de valor hace cada ataque muy eficiente.
Los contratos no cierran esta brecha. El artículo 82 del RGPD asigna responsabilidad compartida a los encargados del tratamiento por las brechas que causen. Pero demostrar la culpa lleva meses. Para entonces, los registros ya desaparecieron. Nuestra página de seguridad y cumplimiento explica cómo las herramientas de conocimiento cero cambian este resultado.
El DPA no protege tus registros
El artículo 28 del RGPD exige que las organizaciones usen solo encargados que ofrezcan "garantías suficientes." El Acuerdo de Procesamiento de Datos es la prueba escrita de esas garantías.
Al igual que un Acuerdo de Socio Comercial HIPAA, el DPA cubre el aspecto legal. No cubre lo que sucede con tus documentos en los servidores del proveedor.
Una herramienta cloud con un DPA completamente conforme al RGPD puede aun así:
- Almacenar registros de clientes usando cifrado del lado del servidor con claves controladas por el proveedor
- Procesar información de empleados en un sistema compartido usado por muchos otros clientes
- Conservar registros y contenido en caché más allá de los usos acordados
- Sufrir una brecha que exponga todo lo anterior
El DPA establece obligaciones legales. No crea una barrera técnica contra la exposición. Cuando los atacantes comprometen la plataforma en 9 minutos, el DPA no los frena.
Para ayuda en lenguaje simple sobre las obligaciones del artículo 28, consulta el glosario RGPD.
Por qué el aumento del 300 % es estructural
El aumento del 300 % refleja dos fuerzas actuando a la vez.
Primero, el volumen de información sensible en las plataformas SaaS creció considerablemente en 2024. Más organizaciones trasladaron más trabajo a herramientas cloud. Más documentos llegaron a servidores de terceros. Más contenido significa más razones para atacar esos servidores.
Segundo, los atacantes se adaptaron. Las organizaciones ahora envían registros de clientes, registros financieros, información de RRHH, contenido legal y datos de salud a través de herramientas SaaS. Golpear una plataforma produce registros de muchos clientes a la vez. La lógica premia atacar plataformas en lugar de organizaciones individuales.
La cifra del 300 % no es un pico de criminalidad genérica. Marca un cambio estructural en la dirección de los ataques.
La anonimización de conocimiento cero como solución
La solución comienza con un simple cambio de perspectiva. Si cualquier plataforma puede ser comprometida — y el registro de 2024 lo prueba — ninguna plataforma debería recibir la información personal de tus clientes en forma legible.
La anonimización de conocimiento cero antes de la carga cambia por completo el riesgo de brecha. Cuando una plataforma que contiene contenido procesado con conocimiento cero es atacada:
- Los atacantes acceden a registros anonimizados sin identificadores de clientes legibles
- No se necesita notificación a los afectados porque no se expuso información personal
- No se requiere ninguna investigación de responsabilidad solidaria según el artículo 82 del RGPD
- Ningún seguimiento regulatorio resulta de la brecha
El ataque golpea la plataforma. No llega a tus clientes. Su información personal nunca llegó a los servidores de la plataforma en forma legible.
Esto no es teoría. Es un hecho simple: no hay registros que robar porque ninguno fue enviado en forma legible. Las preguntas frecuentes responden dudas comunes sobre la anonimización de conocimiento cero. Nuestra página de precios muestra cuánto cuesta esta protección a escala.
El aumento del 300 % cambia el cálculo del riesgo. Evaluar un proveedor solo por su postura de seguridad y términos contractuales significa apostar a que tu proveedor no aparecerá en el próximo titular. La anonimización de conocimiento cero elimina esa apuesta.