Panorays, proveedor líder de software de gestión de riesgos de seguridad de terceros, publicó la edición 2026 de su encuesta anual dirigida a directores de seguridad informática (CISO) sobre la gestión de riesgos cibernéticos de terceros. El estudio, dado a conocer el 15 de enero en Nueva York, revela que el riesgo cibernético de terceros se ha consolidado como uno de los desafíos más críticos para los líderes de seguridad, impulsado principalmente por la falta de visibilidad en las cadenas de suministro digitales.
Según el informe, el 60% de los CISO reportan un aumento en los incidentes de seguridad relacionados con terceros, mientras que solo el 15% afirma tener visibilidad completa sobre estos riesgos. La encuesta recopiló respuestas de 200 directores de seguridad de empresas estadounidenses en sectores como finanzas, seguros, tecnología y salud.
Brechas de visibilidad agravan el riesgo cibernético de terceros
El estudio destaca que estas deficiencias se ven agravadas por recursos limitados y plataformas tecnológicas que no fueron diseñadas para gestionar amenazas dinámicas en la cadena de suministro a gran escala. A pesar de que el 77% de los CISO consideran el riesgo de terceros como una amenaza importante, solo el 21% cuenta con planes de respuesta a crisis probados, según indica el reporte de Panorays.
Adicionalmente, aunque el 60% de los encuestados reporta un incremento en las violaciones de seguridad relacionadas con terceros, apenas el 41% monitorea el riesgo más allá de sus proveedores directos. Esta limitación deja a las organizaciones expuestas a amenazas provenientes de proveedores secundarios y terciarios que operan en la sombra de sus cadenas de suministro.
La inteligencia artificial no supervisada crea nuevas vulnerabilidades
El surgimiento de la llamada “IA en la sombra” representa una preocupación emergente para los profesionales de la seguridad cibernética. A pesar de la rápida adopción de herramientas de inteligencia artificial, solo el 22% de los CISO tienen procesos formales de evaluación para estas tecnologías, dejando herramientas de IA de terceros sin gestión integradas en entornos críticos.
El informe señala que el 60% de los encuestados identifica la IA en la sombra como particularmente riesgosa. Sin embargo, los equipos de seguridad adoptan estas herramientas de caja negra más rápido de lo que pueden supervisarlas, creando un punto ciego peligroso y en expansión para los directores de seguridad informática.
Insatisfacción con las plataformas GRC tradicionales
El estudio revela que el 61% de las empresas ha invertido en soluciones de software de Gobernanza, Riesgo y Cumplimiento (GRC). No obstante, el 66% afirma que estas plataformas son ineficaces para abordar la naturaleza dinámica de los riesgos externos de la cadena de suministro de terceros.
Como resultado, los equipos de seguridad se ven obligados a depender de soluciones manuales alternativas, aumentando la probabilidad de que se pasen por alto vulnerabilidades críticas. Además, el 71% de los CISO admite que los cuestionarios tradicionales de evaluación de seguridad no cumplen con las expectativas, generando fatiga en lugar de visibilidad sobre el panorama de amenazas.
Adopción creciente de soluciones impulsadas por inteligencia artificial
A pesar de las persistentes brechas de seguridad, el informe identifica tendencias positivas en la adopción de tecnologías avanzadas. La implementación de IA para la gestión de riesgos de terceros ha aumentado del 27% en 2025 al 66% en 2026, según los datos recopilados por Global Surveyz en octubre de 2025.
Matan Or-El, fundador y director ejecutivo de Panorays, declaró que los hallazgos muestran que las vulnerabilidades de seguridad de terceros se están volviendo más prevalentes debido a la falta de visibilidad y la adopción descontrolada de herramientas de IA no gestionadas. Or-El añadió que es especialmente alarmante que solo el 15% de los CISO afirme tener la capacidad de mapear completamente sus cadenas de suministro.
Mejoras modestas pero insuficientes
El porcentaje de CISO que reporta tener visibilidad completa de sus cadenas de suministro de software aumentó del 3% en 2025 al 15% en 2026. Sin embargo, esta cifra significa que el 85% de las organizaciones aún carece de una visión completa de su panorama general de amenazas, dejando a la mayoría de las empresas vulnerables a ataques sofisticados.
La investigación también encontró que casi dos tercios de las organizaciones han invertido en herramientas GRC, un aumento significativo respecto al 27% del año anterior. Sin embargo, la visibilidad general ha disminuido, resultando en una creciente insatisfacción sobre la efectividad de estos sistemas entre los profesionales de seguridad.
Los próximos meses serán cruciales para determinar si las organizaciones pueden cerrar efectivamente la brecha de visibilidad mediante la implementación de herramientas avanzadas impulsadas por IA. La encuesta de 2027 proporcionará información sobre si las inversiones actuales en tecnología se traducen en mejoras sustanciales en la gestión de riesgos de terceros y si las empresas logran establecer marcos más robustos para supervisar la IA en la sombra antes de que se convierta en un vector de ataque aún más explotado.
