Verizon DBIR 2026: terceros ya representan el 30% de las violaciones corporativas
El informe analizó más de 22,000 incidentes y registra el doble de involucramiento de proveedores y socios como vector de compromiso en un año.
Proveedores, socios y plataformas SaaS estaban detrás de casi un tercio de las violaciones de datos corporativos en el periodo analizado por el más reciente Data Breach Investigations Report de Verizon. El informe, publicado en mayo, es el más extenso de la serie histórica iniciada en 2008: 22,052 incidentes analizados, 12,195 violaciones confirmadas, datos recopilados entre noviembre de 2024 y octubre de 2025.
La cifra que define el DBIR 2026 es el aumento del riesgo de terceros. En el informe del año anterior, proveedores y socios aparecían en cerca del 15% de los casos. En la edición actual, este número alcanzó el 30%. En un año, la cadena de suministro de software pasó de un riesgo periférico a un vector estructural.
El informe también muestra una aceleración en el uso de vulnerabilidades técnicas como puerta de entrada. Este vector creció un 34% en relación al ciclo anterior, alcanzando el 20% de las violaciones. El objetivo preferido de los atacantes son los edge devices expuestos a internet: VPNs, firewalls y routers de perímetro. Las credenciales comprometidas siguen siendo la entrada más común (22% de los casos), pero el aumento de la explotación de fallas técnicas señala un cambio de táctica en los principales grupos de ataque. El ransomware sigue dominando el panorama general, presente en el 44% de las violaciones, frente al 32% en el ciclo anterior. Sesenta por ciento de los incidentes aún involucran algún componente humano: phishing, envío incorrecto de información o mala configuración de sistemas.
Para el mercado brasileño, el efecto más directo es regulatorio. La LGPD asigna responsabilidad compartida entre controlador y operador, lo que hace que las sanciones de la ANPD por fallas en la cadena de suministro sean cada vez más plausibles para integradores, desarrolladores de SaaS y MSPs que procesan datos de clientes corporativos. Con terceros representando el 30% de las violaciones globales, la pregunta que CISOs y directores jurídicos necesitarán responder con más frecuencia es: ¿qué hay en los contratos con estos proveedores en caso de incidente?
Cláusulas de auditoría, SLAs de notificación y derecho de inspección siguen siendo heterogéneos en contratos B2B en Brasil. La tendencia documentada en RFPs de bancos y minoristas de gran tamaño es el endurecimiento de estas exigencias, y el DBIR 2026 reforzará esta dirección. El CERT.br participa en la composición de la base de datos del informe con incidentes del contexto LATAM.