30/03/2026

Riesgos de la Cadena de Suministro en Entornos Financieros Regulados

Guido Rosales 30/03/2026
proveedores

No es quién ataca. Es cómo se conecta." — Síntesis del autor sobre adversarialidad relacional.
Adversarialidad Relacional y Riesgos de la Cadena de Suministro | Guido E. Rosales Uriona
Documento de Trabajo · 2026

Adversarialidad Relacional y Riesgos de la Cadena de Suministro en Entornos Financieros Regulados

El riesgo ya no entra por la puerta: entra por la relación

Adversarialidad relacionalCadena de suministroSistemas complejos Riesgo transitivoSandbox relacionalGAMOContinuidad operativa extendida
GR
Guido E. Rosales Uriona (Doctorante)
Línea: Innovación adversarial en sistemas complejos · UCB San Pablo · 2026
Resumen

Las entidades financieras reguladas operan dentro de ecosistemas altamente interdependientes, donde proveedores tecnológicos, servicios en la nube y APIs de terceros constituyen extensiones funcionales del propio sistema organizacional. Este artículo propone abordar los riesgos de la cadena de suministro desde el concepto de adversarialidad relacional: la condición por la cual las interacciones con terceros generan vulnerabilidades independientemente de la intención de los actores. A partir de la teoría de sistemas complejos y del marco epistemológico GAMO, se argumenta que la organización hereda no solo servicios, sino también fragilidades estructurales de sus socios. El caso SolarWinds evidencia la disolución del perímetro tradicional. Se concluye que la seguridad debe evolucionar hacia modelos de simulación operativa y sandbox relacional que integren escenarios de estrés y continuidad extendida.

Adversarialidad relacionalCadena de suministroRiesgo transitivo Sandbox relacionalSistemas complejosGAMOContinuidad operativa extendida
Contenido
SECCIÓN 01

Introducción: el fin del perímetro

Las arquitecturas tradicionales de seguridad han descansado durante décadas sobre una premisa aparentemente sólida: la existencia de un perímetro claro entre lo interno —confiable— y lo externo —riesgoso—. Bajo este modelo, la estrategia dominante consistía en reforzar ese límite mediante controles de acceso, firewalls y auditorías periódicas.

Sin embargo, en entornos financieros contemporáneos, esa distinción se ha erosionado de forma estructural. Las organizaciones consumen servicios en la nube, integran APIs externas y delegan procesos críticos a terceros. Esto genera una condición que no es reversible mediante más controles: la organización ya no es un sistema cerrado, sino una red de relaciones. Y en una red, la seguridad no puede analizarse únicamente dentro de los límites formales de la organización.

«El riesgo ya no entra por la puerta. Entra por la relación.»

Este artículo propone reinterpretar los riesgos de la cadena de suministro desde el concepto de adversarialidad relacional: la condición por la cual las interacciones con terceros pueden degradar la seguridad del sistema, independientemente de la intención de los actores involucrados. Esta reinterpretación tiene consecuencias directas sobre cómo se evalúa, simula y gestiona el riesgo en entornos financieros regulados.

SECCIÓN 02

La cadena de suministro como sistema complejo

Desde la teoría de sistemas complejos (Simon, 1969; Holland, 1995), la cadena de suministro tecnológica no es una suma de proveedores independientes. Es una red interdependiente donde las acciones de un nodo afectan a los demás, las fallas se propagan de forma no lineal y la visibilidad es siempre parcial.

Esta caracterización tiene una implicación directa sobre la naturaleza del riesgo: la organización no solo gestiona su propio riesgo, sino el riesgo heredado de toda su red de dependencias.

Caso emblemático SolarWinds Attack (2020): cuando la confianza se convierte en vector
El mecanismo

El atacante comprometió a SolarWinds —proveedor confiable— insertando código malicioso en una actualización legítima de su plataforma Orion. Las organizaciones instalaron el ataque voluntariamente, bajo un proceso validado y aparentemente seguro.

La consecuencia sistémica

El perímetro de seguridad no fue vulnerado directamente: fue bypassed estructuralmente mediante la relación de confianza. Agencias gubernamentales, empresas tecnológicas y entidades financieras de múltiples países resultaron comprometidas a través de un único nodo de la cadena.

Lección estructural: la confianza no gestionada es un vector de riesgo. No importa cuán robusto sea el perímetro interno si la relación con un proveedor crítico carece de supervisión continua sobre su comportamiento operativo real.

Este mecanismo —que denominamos riesgo transitivo— describe cómo pequeñas debilidades en nodos externos generan impactos desproporcionados en el sistema receptor. La amplificación no es lineal: una vulnerabilidad técnica en un proveedor puede combinarse con prácticas operativas deficientes para producir brechas de escala organizacional.

SECCIÓN 03

Adversarialidad relacional: el concepto central

La adversarialidad relacional en la cadena de suministro se manifiesta cuando las interacciones con terceros generan condiciones que degradan la seguridad del sistema, independientemente de la intención del proveedor. Esta definición introduce tres cambios conceptuales respecto al modelo tradicional:

  • El proveedor no es necesariamente malicioso. La adversarialidad puede ser estructural, no intencional. Emerge de la interacción, no de la voluntad.
  • La relación misma puede volverse adversarial. Incluso cuando ninguna de las partes lo diseña así, las interdependencias generan condiciones de riesgo.
  • El riesgo emerge de la interacción. No reside en un componente aislado sino en el patrón de conexión entre componentes.

Esto redefine la pregunta de seguridad. En el modelo tradicional: ¿quién ataca? En el modelo relacional: ¿cómo se conecta? Esta distinción determina qué se mide, qué se simula y qué se gestiona.

«No es quién ataca. Es cómo se conecta.»
SECCIÓN 04

Análisis epistemológico GAMO

El marco GAMO permite examinar la adversarialidad relacional desde cuatro dimensiones epistemológicas, evidenciando que el problema no es solo técnico sino constitutivamente organizacional y metodológico.

G
DIMENSIÓN GNOSEOLÓGICA
La ilusión de conocimiento
La organización cree conocer su superficie de ataque, pero ignora las dinámicas internas de sus proveedores. Lo auditado no equivale a lo conocido. El saber real sobre el riesgo requiere visibilidad sobre el comportamiento operativo del ecosistema externo, no solo sobre sus certificaciones.
→ El conocimiento de riesgo debe extenderse al ecosistema externo. La auditoría puntual no reemplaza la observación continua del comportamiento relacional.
A
DIMENSIÓN AXIOLÓGICA
Asimetría de valores de seguridad
Se delegan funciones críticas sin transferir valores de seguridad. El proveedor no necesariamente comparte la cultura de seguridad de la organización contratante. Esta asimetría es estructuralmente generadora de riesgo, independientemente de los contratos.
→ La alineación de valores de seguridad debe ser condición contractual. La confianza no sustituye la verificación de valores; es su complemento necesario.
M
DIMENSIÓN METODOLÓGICA
Límites del compliance estático
Se evalúa a los proveedores mediante compliance estático —certificaciones, auditorías, checklists— pero no se analiza su comportamiento real bajo estrés operativo. El método no captura la dimensión relacional del riesgo.
→ La simulación de escenarios adversariales con proveedores complementa la evaluación documental. El sandbox relacional es el método coherente con la naturaleza del riesgo.
O
DIMENSIÓN ONTOLÓGICA
El proveedor como extensión del sistema
El proveedor ha dejado de ser externo. Es una extensión funcional del sistema organizacional, pero sin ser tratado como tal. Esta disonancia entre lo que el proveedor es funcionalmente y lo que es contractualmente genera vulnerabilidades estructurales.
→ La frontera organizacional ya no coincide con la frontera jurídica. El perímetro de seguridad es el perímetro relacional, no el perímetro técnico o legal.
SECCIÓN 05

Más allá del compliance: implicaciones metodológicas

Si el riesgo es relacional, entonces no basta con evaluar al proveedor: hay que evaluar la relación. Esta afirmación invalida parcialmente los enfoques de gestión basados únicamente en auditorías periódicas, certificaciones y checklists de cumplimiento.

El compliance estático captura el estado del proveedor en un momento determinado. No captura cómo se comporta bajo condiciones de estrés operativo, qué decisiones toma cuando los recursos escasean, ni cómo responde ante incidentes que afectan simultáneamente a múltiples clientes. La ilusión de conocimiento que genera la auditoría periódica es, en sí misma, una fuente de fragilidad.

Los enfoques que responden a esta limitación incluyen la observación continua del comportamiento del proveedor, la simulación de escenarios adversariales que incluyan fallos relacionales, y la validación bajo estrés de la cadena de suministro completa.

SECCIÓN 06

Sandbox y simulación operativa extendida

Los ambientes sandbox y las simulaciones operativas constituyen la respuesta metodológica más coherente con la naturaleza del riesgo relacional. El salto conceptual relevante: el sandbox no debe limitarse a los sistemas internos. Debe extenderse a la relación con proveedores.

  • Caída o indisponibilidad de un proveedor crítico durante operaciones en curso
  • Compromiso de una API externa que alimenta decisiones operativas o regulatorias
  • Corrupción o alteración de datos recibidos de terceros en tiempo real
  • Degradación progresiva de servicios en la nube bajo carga adversarial sostenida

En entornos regulados con recursos limitados —como el sector financiero boliviano bajo el RGSI—, una alternativa viable es construir entornos de simulación que repliquen el comportamiento de proveedores críticos mediante modelos parametrizados de sus características operativas y sus patrones de fallo documentados.

SECCIÓN 07

Discusión: de controlar componentes a gestionar relaciones

La adversarialidad relacional evidencia un cambio de paradigma que trasciende la gestión técnica de la seguridad:

ModeloObjetivo de seguridadMecanismos principalesTipo de riesgo gestionado
Modelo tradicionalProteger el perímetro técnico propioControles internos, firewall, auditoría periódicaRiesgo externo conocido y catalogado
Modelo relacionalGestionar el ecosistema de interdependenciasSimulación, observación continua, sandbox extendidoRiesgo heredado, transitivo y emergente

Este cambio tiene implicaciones directas para los marcos regulatorios del sector financiero. El RGSI boliviano, al igual que la mayoría de las regulaciones sectoriales, evalúa la seguridad mediante controles predefinidos aplicados a sistemas propios. No contempla la evaluación de la postura de seguridad de los proveedores ni la gestión del riesgo de las interdependencias.

«La seguridad no es estática. Es adaptativa, relacional y distribuida. Y el perímetro que protege ya no coincide con el mapa tecnológico de la organización.»
SECCIÓN 08

Conclusiones

01La adversarialidad relacional describe una condición estructural: las interacciones con proveedores pueden degradar la seguridad del sistema independientemente de la intención de las partes. El riesgo emerge de la conexión, no de la intención.
02El modelo de perímetro tradicional es insuficiente en ecosistemas de alta interdependencia. El caso SolarWinds demuestra que la confianza no gestionada es un vector de ataque. La frontera de seguridad debe redefinirse como perímetro relacional.
03El compliance estático evalúa al proveedor en un momento; no evalúa la relación a lo largo del tiempo ni bajo condiciones de estrés. El sandbox relacional y la simulación operativa extendida ofrecen información que la auditoría documental no puede proporcionar.
04Este artículo contribuye a fundamentar uno de los ejes del Modelo de Innovación Continua Adversarial en desarrollo: la necesidad de que la resiliencia organizacional incluya, como dimensión constitutiva, la capacidad de gestionar la adversarialidad que emerge de las propias relaciones del sistema.
GLOSARIO

Términos clave del artículo

Adversarialidad relacional
Condición por la cual las interacciones entre una organización y sus proveedores o socios tecnológicos generan vulnerabilidades de seguridad independientemente de la intención de las partes involucradas.
Cadena de suministro tecnológica
Red de proveedores, servicios en la nube, APIs y componentes externos que una organización integra en sus operaciones y que constituyen extensiones funcionales de su sistema.
Riesgo heredado
Exposición al riesgo que una organización adquiere como consecuencia directa de las vulnerabilidades técnicas, prácticas operativas deficientes o decisiones de diseño inseguras de sus proveedores.
Riesgo transitivo
Fenómeno por el cual el riesgo se amplifica a través de cadenas de dependencia: una vulnerabilidad en un nodo externo se propaga y magnifica a través de las interdependencias del sistema.
Perímetro relacional
Conjunto de vínculos funcionales, contractuales y tecnológicos que definen la extensión real de una organización en términos de seguridad, superando la noción de perímetro técnico tradicional.
Sandbox relacional
Ambiente de simulación que replica no solo el entorno tecnológico interno de una organización, sino también sus interdependencias con proveedores externos, permitiendo evaluar la respuesta sistémica ante fallos relacionales.
Simulación operativa extendida
Metodología de prueba que incluye escenarios de estrés relacional: caída de proveedores críticos, compromiso de APIs, corrupción de datos externos o degradación de servicios de terceros.
Ilusión de conocimiento
Condición cognitiva en la que una organización cree tener visibilidad completa sobre su superficie de ataque cuando en realidad desconoce las dinámicas internas de sus proveedores y socios.
Continuidad operativa extendida
Capacidad de una organización para mantener sus operaciones críticas ante fallos en componentes externos de su cadena de suministro tecnológica, no solo ante fallos de sistemas propios.
Bypass estructural
Mecanismo de ataque que elude los controles de seguridad de una organización objetivo explotando las relaciones de confianza con proveedores o socios tecnológicos, sin atacar directamente el perímetro protegido.
Innovación adversarial
Modelo de innovación continua orientado a superar o anticipar las adaptaciones del adversario en sistemas bajo presión adversarial permanente, especialmente en entornos complejos e interdependientes.
Propiedad emergente
Característica de un sistema que surge de la interacción entre sus componentes y no puede predecirse ni explicarse desde el análisis aislado de las partes individuales.
REFERENCIAS

Referencias

Boyens, J., Smith, A., Bartol, N., Shankles, S., Moorthy, R., & Bartock, M. (2022). Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations. NIST SP 800-161r1. National Institute of Standards and Technology.

Gao, X., & Lee, J. (2021). Understanding supply chain vulnerabilities in the SolarWinds attack. Journal of Cybersecurity, 7(1), tyab009.

Holland, J. H. (1995). Hidden Order: How Adaptation Builds Complexity. Addison-Wesley.

Johansen, R., & Josok, O. (2019). Cyber resilience in critical infrastructure supply chains. IEEE Security & Privacy, 17(3), 12–21.

NIST. (2018). Framework for Improving Critical Infrastructure Cybersecurity (v1.1). National Institute of Standards and Technology.

Perrow, C. (1984). Normal Accidents: Living with High-Risk Technologies. Basic Books.

Simon, H. A. (1969). The Sciences of the Artificial. MIT Press.

Teece, D. J., Pisano, G., & Shuen, A. (1997). Dynamic capabilities and strategic management. Strategic Management Journal, 18(7), 509–533.

Weick, K. E. (1995). Sensemaking in Organizations. Sage Publications.

Guido E. Rosales Uriona (Doctorante) · Doctorado en Innovación y Emprendimiento · UCB San Pablo · 2026

Línea de investigación: Innovación adversarial en sistemas complejos

Autor / Redactor / Director

Guido Rosales

Apasionado por la Seguridad!!

See author's posts

Más historias

Frugalidad Adaptativa

Frugalidad Adaptativa y Asimetría Adversarial

Guido Rosales 30/03/2026
Ransomware adversarial complejo

El ransomware como manifestación empírica de la adversarialidad intencional en sistemas complejos

Guido Rosales 30/03/2026
Cumplimineto o seguridad real

El teatro del cumplimiento y la homeostasis artificial en la ciberseguridad

Guido Rosales 30/03/2026