Foto: cortesía. Portal ERP Colombia.
La reciente filtración que afectó a un proveedor de bases de datos de Nubank, y que expuso la información de más de 30.000 clientes, según comentó en banco en un comunicado oficial, ha dejado de ser un incidente aislado para convertirse en un caso de estudio sobre la vulnerabilidad de la cadena de suministro digital. El suceso revela que, ante la actual hiperconectividad, las empresas no solo son responsables de su propia seguridad, sino de la de cada aliado que integra su ecosistema.
Según el Compromise Report de Lumu, el sector financiero es el blanco predilecto de los atacantes, concentrando el 11,7% de los ataques con infostealers a nivel global, cifra que asciende al 14,5% en Sudamérica. "El riesgo de compromiso ya no está únicamente en el perímetro de una organización, sino en su ecosistema extendido", advirtió Germán Patiño, Vicepresidente Sénior de América Latina de Lumu.
La "Puerta trasera" hacia el ERP
El peligro latente de estas filtraciones es su capacidad de escalar hacia el núcleo del negocio: el ERP. Un compromiso de un proveedor externo, si no se detecta a tiempo, puede afectar la integridad de la planificación de recursos y los datos financieros críticos.
Para Nathalia Landeta, CEO de Certena, la respuesta debe ser una gestión de datos más transparente: "Hoy las empresas necesitan demostrar cómo se utilizan esos datos, quién accede a ellos y con qué propósito. El reto ya no es solo cumplir con la regulación, sino gestionar la información de una forma más transparente", explica.
Asimismo, Landeta enfatiza que, en escenarios con terceros la clave es la trazabilidad: "La gestión del consentimiento permite vincular cada uso de los datos personales a una autorización específica".
Colombia: una crisis de confianza en cifras
El impacto de estos ataques se refleja en la percepción de los líderes de TI en el país. El estudio Cybersecurity Trust Reality 2026 de Sophos revela una desconexión alarmante entre las organizaciones colombianas y sus proveedores de ciberseguridad:
Confianza inexistente: El 0% de las empresas en Colombia afirma tener "plena confianza" en sus proveedores de ciberseguridad.
Barreras de evaluación: El 85% reporta dificultades para evaluar la confiabilidad de sus socios, y el 54% denuncia que la información que reciben no es "suficientemente detallada o factual".
Impacto psicológico: Esta incertidumbre genera consecuencias tangibles: el 55% de los directivos experimenta una "mayor ansiedad ante un ciberataque significativo" y el 54% considera seriamente cambiar de proveedor.
Te puede interesar: Soberanía de datos en Colombia: blindando el software corporativo ante riesgos globales
Hacia un Zero Trust dinámico
Ante filtraciones masivas, la detección temprana es la única defensa real. Sin embargo, las herramientas tradicionales suelen fallar. "Las comunicaciones, muchas veces disfrazadas como tráfico legítimo, son una evidencia clara de compromiso activo, incluso antes de que ocurra la filtración", señala Patiño.
Para proteger el ERP, la estrategia debe evolucionar de decisiones de acceso estáticas a decisiones dinámicas. Según el directivo de Lumu, no basta con validar la identidad al entrar; es necesario monitorear el comportamiento continuo.
"Las organizaciones deben lograr contener de forma automática las amenazas originadas desde cadenas de suministro comprometidas, revocar accesos o bloquear flujos de datos en el momento en que se confirma una actividad maliciosa", aseguró el experto.
Los problemas de ciberseguridad por los que atraviesa Colombia, exigen que la confianza se construya con evidencia verificable, exigida por el 48% de los equipos técnicos. El caso Nubank es un recordatorio de que, en la era de la IA y el ERP interconectado, la confianza debe ganarse continuamente mediante transparencia, rendición de cuentas y validación independiente.
“La combinación de visibilidad unificada, detección basada en comportamiento y automatización de la respuesta permite reducir significativamente el tiempo entre el compromiso y la contención, evitando que una vulnerabilidad en un proveedor escale hacia sistemas críticos, como el ERP o los datos financieros centrales”, destacó el Vicepresidente Sénior de América Latina de Lumu.
