El incidente del que nadie habla: cómo una sola app SaaS mal configurada derribó toda una cadena de suministro

A las 3:14 de la madrugada de un martes de mayo de 2026, una empresa de logística de tamaño medio en los Países Bajos quedó a oscuras. No por la explotación de un día cero. No por una APT de un Estado-nación. Por un permiso OAuth mal configurado en una herramienta de gestión de proyectos de terceros que se había conectado a su entorno de Microsoft 365 dieciocho meses antes —y se había olvidado.

Para cuando se confirmó la brecha, catorce de los socios proveedores de la empresa en tres países tenían expuestos sus repositorios de documentos compartidos. El atacante no necesitó forzar la entrada. Cruzó por una puerta que la empresa había dejado abierta y nunca notó.

Esta es la amenaza que no está en los titulares —pero debería estarlo.

El problema de la proliferación de SaaS se ha vuelto una crisis

La empresa media de tamaño medio en Europa ahora ejecuta entre 80 y 110 aplicaciones SaaS de forma simultánea, según investigaciones recientes de la industria. Muchas de estas herramientas están conectadas a los proveedores de identidad principales —Microsoft Entra ID, Google Workspace, Okta— a través de tokens OAuth que otorgan permisos amplios: leer correo, acceder a archivos, enviar en nombre de, gestionar calendarios.

El problema se agrava. Los empleados adoptan nuevas herramientas con libertad. Los ciclos de compras son rápidos. Y cuando alguien deja la empresa o termina un proyecto, la conexión OAuth permanece activa —indefinidamente. Nadie la revoca. Nadie sabe siquiera que existe.

En 2026, esta se ha convertido en la superficie de ataque más inexplorada de la seguridad empresarial, y los atacantes lo han notado.

Cómo se ve realmente el "secuestro de credenciales SaaS"

A diferencia del ransomware tradicional —que se anuncia ruidosamente— los ataques de credenciales basados en SaaS están diseñados para ser invisibles. La cadena de ataque normalmente sigue cuatro etapas:

1. Descubrimiento del token. Los atacantes identifican un token OAuth que pertenece a una aplicación olvidada o de bajo privilegio conectada a su entorno de correo. Esto a menudo se puede encontrar a través de mercados de la dark web, archivos .env filtrados en repositorios públicos de GitHub, o mediante el phishing de un solo empleado que tiene acceso de administrador a una plataforma de integración como Zapier o Make.

2. Acceso silencioso. El atacante usa ese token para leer correo —identificando al personal clave, vigilando transacciones financieras o contratos.

3. Paciencia. Días, a veces semanas. Mapean relaciones, comprenden los procesos de pago e identifican el momento adecuado para intervenir —normalmente cuando una factura grande está a punto de procesarse.

4. El golpe. Un correo de Compromiso de Correo Empresarial (BEC) perfectamente sincronizado, que suplanta a un proveedor conocido, redirige una transferencia bancaria. Para cuando alguien lo nota, la ventana ya se ha cerrado.

La sofisticación aquí no es técnica —es conductual y paciente. Eso es lo que la hace tan peligrosa.

NIS2 y el despertar regulatorio

La Directiva NIS2 de la UE, que entró en plena vigencia a finales de 2024, exige explícitamente a las organizaciones mantener visibilidad y control sobre su cadena de suministro y sus proveedores tecnológicos externos. El artículo 21 obliga a la seguridad en las redes y los sistemas de información, incluida la seguridad de la cadena de suministro y el control de acceso.

Para las empresas que operan en Europa, una mala configuración de SaaS que habilite una brecha en la cadena de suministro ya no es solo una falla de seguridad —es una falla de cumplimiento con multas potenciales de hasta 10 millones de euros o el 2 % de la facturación anual global para las entidades esenciales.

En América Latina, el impulso regulatorio también se está acelerando. La LGPD de Brasil tiene dientes, y la LFPDPPP de México se está aplicando con frecuencia creciente. La exposición transfronteriza de datos a través de integraciones SaaS comprometidas es precisamente el tipo de incidente que desencadena el escrutinio regulatorio multijurisdiccional.

Qué debería hacer su organización ahora

La respuesta a esta amenaza no requiere una inversión masiva en tecnología. Requiere disciplina, visibilidad y un proceso que la mayoría de las organizaciones simplemente no tiene hoy.

Empiece con una auditoría OAuth completa. Inicie sesión en su consola de administración de Microsoft Entra ID o Google Workspace y enumere cada aplicación de terceros a la que se ha concedido acceso OAuth a su entorno. Probablemente encontrará aplicaciones que no reconoce, aplicaciones de proveedores cuyos contratos terminaron hace años y aplicaciones con permisos mucho más amplios que su función declarada.

Revoque todo lo que no se pueda justificar. Si una herramienta de analítica de marketing tiene permiso para "leer y enviar correo en nombre de todos los usuarios", ese no es un permiso razonable para esa herramienta. Revóquelo y vuelva a conectarla solo con los permisos mínimos necesarios.

Implemente monitoreo continuo. Una auditoría puntual no es suficiente. Los permisos de SaaS deben revisarse de forma continua —idealmente con herramientas automatizadas que alerten a su equipo de seguridad cuando se crea una nueva conexión OAuth o cuando se modifican permisos existentes.

Capacite a su equipo en higiene de integraciones. La mayoría de estas conexiones las crea personal no técnico usando plataformas sin código. Educar a los empleados sobre las implicaciones de seguridad de conectar herramientas —incluso a través de simpáticas automatizaciones tipo "si esto, entonces aquello"— es ahora una parte crítica de los programas de concientización en seguridad.

Considere un escaneo de OSINT corporativo centrado en su huella SaaS. Los atacantes externos a menudo pueden descubrir sus integraciones conectadas a través de archivos de configuración filtrados, enumeración de subdominios y registros públicos de proveedores. Comprender qué pueden ver los atacantes sobre su stack de SaaS desde el exterior es un primer paso crítico.

El panorama general

El incidente de logística de los Países Bajos es uno de docenas de eventos similares ocurridos en el primer semestre de 2026 —la mayoría de los cuales nunca se hicieron públicos porque las organizaciones afectadas optaron por no divulgarlos. El número real de compromisos de la cadena de suministro habilitados por SaaS es casi con certeza un orden de magnitud mayor que lo que aparece en las bases de datos públicas de brechas.

El panorama de amenazas en 2026 no se define por los ataques más ruidosos. Se define por los más silenciosos —los paseos sigilosos por puertas abiertas, los observadores pacientes en su bandeja de entrada, los tokens olvidados con las llaves de su reino.

Las organizaciones que saldrán más fuertes de este período no son las que tienen la tecnología más avanzada. Son las que han hecho el trabajo poco glamoroso de saber exactamente qué está conectado a su entorno, quién lo autorizó y si todavía debería estar ahí.

Ese trabajo empieza hoy.

---

El servicio de OSINT Corporativo y Revisión de Seguridad en la Nube de Cybool incluye una auditoría completa de integraciones SaaS de terceros y una evaluación de exposición OAuth. Contáctenos o solicite un escaneo de riesgo gratuito para comenzar.