{"id":1999,"date":"2026-03-25T16:59:00","date_gmt":"2026-03-25T15:59:00","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/nis2-seguridad-de-la-cadena-de-suministro-auditoria-de-componentes-de-terceros-en-ci-cd\/"},"modified":"2026-03-26T09:30:43","modified_gmt":"2026-03-26T08:30:43","slug":"nis2-supply-chain-security-auditing-third-party-components-in-ci-cd","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/es\/audit-evidence-es\/nis2-supply-chain-security-auditing-third-party-components-in-ci-cd\/","title":{"rendered":"NIS2 Seguridad de la Cadena de Suministro \u2014 Auditor\u00eda de Componentes de Terceros en CI\/CD"},"content":{"rendered":"<h2>NIS2 Art\u00edculo 21(2)(d): Requisitos de seguridad de la cadena de suministro<\/h2>\n<p>El Art\u00edculo 21(2)(d) de NIS2 exige a las entidades esenciales e importantes que aborden la <strong>seguridad de la cadena de suministro<\/strong>, incluidos los aspectos relacionados con la seguridad en las relaciones entre cada entidad y sus proveedores directos o proveedores de servicios. Para las organizaciones que construyen y despliegan software a trav\u00e9s de pipelines CI\/CD, este requisito tiene implicaciones de gran alcance.<\/p>\n<p>El pipeline CI\/CD moderno es, por su naturaleza, una cadena de suministro. Cada compilaci\u00f3n incorpora librer\u00edas de terceros, im\u00e1genes base, servicios externos y herramientas de m\u00faltiples proveedores. Un \u00fanico componente comprometido en cualquier parte de esta cadena puede propagarse a trav\u00e9s de pipelines automatizados hacia entornos de producci\u00f3n en cuesti\u00f3n de minutos. Los auditores deben, por tanto, evaluar no solo los controles propios de la organizaci\u00f3n, sino el marco de gobernanza que rodea cada elemento de terceros que entra en el pipeline de entrega.<\/p>\n<h2>Riesgos de terceros en entornos CI\/CD<\/h2>\n<p>Comprender las categor\u00edas de riesgo de terceros en CI\/CD es esencial para el alcance de una auditor\u00eda. Las siguientes \u00e1reas representan la superficie de riesgo principal:<\/p>\n<h3>Dependencias de c\u00f3digo abierto<\/h3>\n<p>La mayor\u00eda de las aplicaciones modernas incorporan decenas o cientos de librer\u00edas de c\u00f3digo abierto. Cada dependencia \u2014 y sus dependencias transitivas \u2014 representa una vulnerabilidad potencial o un vector de ataque. Los riesgos incluyen vulnerabilidades conocidas en paquetes desactualizados, paquetes maliciosos publicados bajo nombres similares (typosquatting) y cuentas de mantenedor comprometidas.<\/p>\n<h3>Plataforma CI\/CD y herramientas SaaS<\/h3>\n<p>Las organizaciones frecuentemente dependen de plataformas SaaS de terceros para el control de c\u00f3digo fuente, la ejecuci\u00f3n de compilaciones, el almacenamiento de artefactos y la orquestaci\u00f3n de despliegues. Estas plataformas tienen acceso privilegiado al c\u00f3digo fuente, los secretos y los entornos de producci\u00f3n. Una brecha en cualquiera de estos proveedores podr\u00eda comprometer todo el pipeline de entrega.<\/p>\n<h3>Runners de compilaci\u00f3n compartidos y alojados<\/h3>\n<p>Los entornos de compilaci\u00f3n que se comparten entre proyectos o est\u00e1n alojados por terceros introducen riesgos de contaminaci\u00f3n cruzada, fuga de datos y aislamiento insuficiente. Si un runner de compilaci\u00f3n se ve comprometido, todos los pipelines que lo utilizan se ven potencialmente afectados.<\/p>\n<h3>Im\u00e1genes base y registros de contenedores<\/h3>\n<p>Los despliegues basados en contenedores dependen de im\u00e1genes base que a menudo se obtienen de registros p\u00fablicos. Estas im\u00e1genes pueden contener vulnerabilidades, componentes innecesarios que ampl\u00edan la superficie de ataque o, en casos raros, contenido deliberadamente malicioso.<\/p>\n<h2>SCA y SBOM como herramientas de gobernanza de la cadena de suministro<\/h2>\n<p>Dos capacidades clave respaldan la gobernanza de la cadena de suministro en entornos CI\/CD. Los auditores deben entender qu\u00e9 proporciona cada una y verificar que la organizaci\u00f3n las utiliza eficazmente.<\/p>\n<h3>An\u00e1lisis de composici\u00f3n de software (SCA)<\/h3>\n<p>El SCA proporciona visibilidad sobre los componentes de terceros presentes en una aplicaci\u00f3n. Desde una perspectiva de gobernanza, el SCA ofrece:<\/p>\n<ul>\n<li><strong>Inventario de componentes:<\/strong> Una lista completa de todas las librer\u00edas de terceros y sus versiones utilizadas en cada compilaci\u00f3n<\/li>\n<li><strong>Identificaci\u00f3n de vulnerabilidades:<\/strong> Mapeo de componentes frente a bases de datos de vulnerabilidades conocidas<\/li>\n<li><strong>Cumplimiento de licencias:<\/strong> Identificaci\u00f3n de obligaciones de licencia que puedan crear riesgos legales u operativos<\/li>\n<li><strong>Aplicaci\u00f3n de pol\u00edticas:<\/strong> La capacidad de bloquear compilaciones que incluyan componentes prohibidos o de alto riesgo<\/li>\n<\/ul>\n<p>Los auditores deben verificar que el SCA est\u00e1 integrado en el pipeline como una puerta obligatoria \u2014 no un paso de asesoramiento opcional \u2014 y que las violaciones de pol\u00edticas resultan en despliegues bloqueados con procesos de excepci\u00f3n documentados.<\/p>\n<h3>Software Bill of Materials (SBOM)<\/h3>\n<p>Un SBOM es un inventario formal y legible por m\u00e1quina de todos los componentes de un artefacto de software. Para la gobernanza de la cadena de suministro, los SBOM proporcionan:<\/p>\n<ul>\n<li><strong>Transparencia:<\/strong> Un registro completo de lo que se incluye en cada artefacto desplegado<\/li>\n<li><strong>Apoyo a la respuesta a incidentes:<\/strong> La capacidad de determinar r\u00e1pidamente si una vulnerabilidad reci\u00e9n divulgada afecta a alg\u00fan software desplegado<\/li>\n<li><strong>Evidencia regulatoria:<\/strong> Prueba demostrable de conciencia y gesti\u00f3n de la cadena de suministro<\/li>\n<li><strong>Responsabilidad del proveedor:<\/strong> Una base para responsabilizar a los proveedores de los componentes que suministran<\/li>\n<\/ul>\n<p>Los auditores deben confirmar que los SBOM se generan para cada versi\u00f3n de producci\u00f3n, se almacenan con los periodos de retenci\u00f3n apropiados y que la organizaci\u00f3n puede consultarlos para identificar los sistemas afectados cuando se divulgan nuevas vulnerabilidades.<\/p>\n<h2>Marco de evaluaci\u00f3n de proveedores para proveedores de herramientas CI\/CD<\/h2>\n<p>Las organizaciones deben evaluar la postura de seguridad de sus proveedores de herramientas CI\/CD con el mismo rigor aplicado a cualquier proveedor de servicios cr\u00edticos. El siguiente marco describe las \u00e1reas de evaluaci\u00f3n clave:<\/p>\n<h3>Certificaciones y atestaciones de seguridad<\/h3>\n<ul>\n<li>\u00bfTiene el proveedor certificaciones relevantes (ISO 27001, SOC 2 Type II)?<\/li>\n<li>\u00bfEst\u00e1n los informes de auditor\u00eda actualizados y disponibles para su revisi\u00f3n?<\/li>\n<li>\u00bfSomete el proveedor regularmente sus sistemas a pruebas de penetraci\u00f3n por evaluadores independientes?<\/li>\n<\/ul>\n<h3>Manejo de datos y aislamiento<\/h3>\n<ul>\n<li>\u00bfC\u00f3mo a\u00edsla el proveedor los datos y entornos de compilaci\u00f3n de los clientes?<\/li>\n<li>\u00bfD\u00f3nde se almacenan los datos y cumple esto con los requisitos de residencia de datos aplicables?<\/li>\n<li>\u00bfQu\u00e9 cifrado se aplica a los datos en reposo y en tr\u00e1nsito?<\/li>\n<\/ul>\n<h3>Acceso y autenticaci\u00f3n<\/h3>\n<ul>\n<li>\u00bfEl proveedor admite y aplica MFA para el acceso administrativo?<\/li>\n<li>\u00bfQu\u00e9 acceso tiene el personal del proveedor a los entornos y datos de los clientes?<\/li>\n<li>\u00bfLos eventos de acceso privilegiado est\u00e1n registrados y disponibles para el cliente?<\/li>\n<\/ul>\n<h3>Notificaci\u00f3n de incidentes<\/h3>\n<ul>\n<li>\u00bfCu\u00e1les son los compromisos y plazos de notificaci\u00f3n de incidentes del proveedor?<\/li>\n<li>\u00bfLos SLAs contractuales se alinean con los plazos de reporte del Art\u00edculo 23 de NIS2?<\/li>\n<li>\u00bfHa demostrado el proveedor la notificaci\u00f3n de incidentes en la pr\u00e1ctica?<\/li>\n<\/ul>\n<h3>Transparencia de la cadena de suministro<\/h3>\n<ul>\n<li>\u00bfDivulga el proveedor sus propias dependencias de terceros y sub-procesadores?<\/li>\n<li>\u00bfQu\u00e9 controles aplica el proveedor a su propia cadena de suministro?<\/li>\n<li>\u00bfPuede el proveedor proporcionar SBOM para sus productos?<\/li>\n<\/ul>\n<h2>Mapeo de riesgos, controles y evidencia de la cadena de suministro<\/h2>\n<table>\n<thead>\n<tr>\n<th>Riesgo de la cadena de suministro<\/th>\n<th>Control<\/th>\n<th>Evidencia para auditores<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td><strong>Dependencia de c\u00f3digo abierto vulnerable<\/strong><\/td>\n<td>An\u00e1lisis SCA obligatorio en tiempo de compilaci\u00f3n con bloqueo basado en pol\u00edticas de vulnerabilidades cr\u00edticas\/altas<\/td>\n<td>Informes de an\u00e1lisis SCA por compilaci\u00f3n; documentaci\u00f3n de pol\u00edtica de bloqueo; registros de excepci\u00f3n\/exenci\u00f3n con justificaci\u00f3n y fechas de expiraci\u00f3n<\/td>\n<\/tr>\n<tr>\n<td><strong>Inyecci\u00f3n de paquetes maliciosos<\/strong> (typosquatting, dependency confusion)<\/td>\n<td>Registro de paquetes aprobado con controles de espacio de nombres; fijaci\u00f3n de dependencias y verificaci\u00f3n de integridad<\/td>\n<td>Configuraci\u00f3n del registro aprobado; listas de permisos de paquetes; registros de verificaci\u00f3n de integridad (validaci\u00f3n de suma de verificaci\u00f3n\/firma)<\/td>\n<\/tr>\n<tr>\n<td><strong>Imagen base comprometida<\/strong><\/td>\n<td>Cat\u00e1logo de im\u00e1genes base aprobadas; an\u00e1lisis de im\u00e1genes antes de su uso; firma y verificaci\u00f3n de im\u00e1genes<\/td>\n<td>Lista de im\u00e1genes aprobadas con fechas de revisi\u00f3n; informes de an\u00e1lisis de im\u00e1genes; registros de verificaci\u00f3n de firmas<\/td>\n<\/tr>\n<tr>\n<td><strong>Brecha del proveedor de plataforma CI\/CD<\/strong><\/td>\n<td>Evaluaci\u00f3n de riesgos del proveedor; requisitos de seguridad contractuales; planificaci\u00f3n de contingencia para el fallo del proveedor<\/td>\n<td>Informes de evaluaci\u00f3n de proveedores (actualizados en los \u00faltimos 12 meses); contratos con cl\u00e1usulas de seguridad; planes de continuidad del negocio que cubren la p\u00e9rdida de la plataforma CI\/CD<\/td>\n<\/tr>\n<tr>\n<td><strong>Contaminaci\u00f3n cruzada de runners compartidos<\/strong><\/td>\n<td>Entornos de compilaci\u00f3n dedicados o ef\u00edmeros; pol\u00edticas de aislamiento de runners; limpieza del entorno tras la compilaci\u00f3n<\/td>\n<td>Documentaci\u00f3n de arquitectura del entorno de compilaci\u00f3n; atestaciones de configuraci\u00f3n de aislamiento; registros de verificaci\u00f3n de limpieza<\/td>\n<\/tr>\n<tr>\n<td><strong>Plugin o integraci\u00f3n CI\/CD comprometidos<\/strong><\/td>\n<td>Proceso de aprobaci\u00f3n de plugins\/integraciones; revisi\u00f3n peri\u00f3dica de plugins instalados; permisos de m\u00ednimo privilegio para integraciones<\/td>\n<td>Registro de plugins aprobados; registros de revisi\u00f3n de plugins; matrices de permisos para integraciones<\/td>\n<\/tr>\n<tr>\n<td><strong>Falta de trazabilidad de componentes<\/strong><\/td>\n<td>Generaci\u00f3n de SBOM para cada versi\u00f3n de producci\u00f3n; almacenamiento y capacidad de consulta de SBOM<\/td>\n<td>SBOM de versiones recientes; evidencia de capacidad de consulta de SBOM (p. ej., respuesta a una consulta de vulnerabilidad de prueba); cumplimiento de la pol\u00edtica de retenci\u00f3n<\/td>\n<\/tr>\n<tr>\n<td><strong>Dependencia del proveedor que impide la migraci\u00f3n de seguridad<\/strong><\/td>\n<td>Evaluaci\u00f3n de estrategia multi-proveedor; evaluaci\u00f3n de portabilidad de datos; planificaci\u00f3n de salida<\/td>\n<td>An\u00e1lisis de dependencia de proveedores; documentaci\u00f3n de capacidad de exportaci\u00f3n de datos; plan de salida<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Se\u00f1ales de alerta que los auditores deben vigilar<\/h2>\n<p>Durante una evaluaci\u00f3n de seguridad de la cadena de suministro de entornos CI\/CD, los siguientes hallazgos deben generar preocupaci\u00f3n inmediata:<\/p>\n<ul>\n<li><strong>Sin pol\u00edtica de gobernanza de dependencias:<\/strong> La organizaci\u00f3n no tiene una pol\u00edtica documentada que rija el uso de componentes de terceros en las compilaciones. Esto sugiere una brecha fundamental en la conciencia de la cadena de suministro.<\/li>\n<li><strong>El an\u00e1lisis SCA es solo orientativo:<\/strong> Los an\u00e1lisis de vulnerabilidades se ejecutan pero no bloquean los despliegues. Los desarrolladores pueden (y lo hacen) desplegar con vulnerabilidades cr\u00edticas conocidas. Buscar evidencia de compilaciones que contin\u00faan a pesar de hallazgos de alta severidad.<\/li>\n<li><strong>Sin generaci\u00f3n de SBOM:<\/strong> La organizaci\u00f3n no puede producir un inventario de componentes para su software desplegado. Esto hace imposible evaluar la exposici\u00f3n a vulnerabilidades reci\u00e9n divulgadas.<\/li>\n<li><strong>Evaluaciones de proveedores desactualizadas:<\/strong> Los proveedores de herramientas CI\/CD fueron evaluados una vez (quiz\u00e1s durante la adquisici\u00f3n) pero no han sido reevaluados. Buscar fechas de evaluaci\u00f3n con m\u00e1s de 12 meses de antig\u00fcedad.<\/li>\n<li><strong>Acceso sin restricciones a registros p\u00fablicos:<\/strong> Las compilaciones obtienen dependencias directamente de registros p\u00fablicos sin un registro aprobado intermediario ni verificaci\u00f3n de integridad. Esta es una exposici\u00f3n directa a ataques de dependency confusion y typosquatting.<\/li>\n<li><strong>Sin gobernanza de im\u00e1genes base:<\/strong> Los equipos utilizan im\u00e1genes base arbitrarias de fuentes p\u00fablicas sin an\u00e1lisis, aprobaci\u00f3n ni fijaci\u00f3n de versiones. Cada imagen no verificada es un potencial punto de entrada para compromisos.<\/li>\n<li><strong>Runners compartidos sin evidencia de aislamiento:<\/strong> La organizaci\u00f3n utiliza infraestructura de compilaci\u00f3n compartida pero no puede demostrar que las compilaciones est\u00e1n aisladas entre s\u00ed.<\/li>\n<li><strong>Falta de requisitos de seguridad contractuales:<\/strong> Los acuerdos con los proveedores de herramientas CI\/CD no contienen cl\u00e1usulas de seguridad, obligaciones de notificaci\u00f3n de incidentes ni derechos de auditor\u00eda.<\/li>\n<li><strong>Sin proceso de gesti\u00f3n de excepciones:<\/strong> Cuando se omiten los controles de la cadena de suministro (p. ej., se acepta una dependencia vulnerable), no hay un proceso de excepci\u00f3n formal con justificaci\u00f3n documentada, aceptaci\u00f3n del riesgo y fecha de expiraci\u00f3n.<\/li>\n<li><strong>Plugins e integraciones sin revisi\u00f3n:<\/strong> Las plataformas CI\/CD tienen numerosos plugins de terceros instalados sin evidencia de revisi\u00f3n de seguridad ni proceso de aprobaci\u00f3n.<\/li>\n<\/ul>\n<h2>Recursos relacionados<\/h2>\n<p>Para un examen completo de los requisitos de seguridad de la cadena de suministro de NIS2 y sus implicaciones para CI\/CD y la gesti\u00f3n de proveedores, consulte <a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/nis2-supply-chain-security-deep-dive-what-it-really-means-for-ci-cd-and-vendors\/\">NIS2 Supply Chain Security Deep Dive: What It Really Means for CI\/CD and Vendors<\/a>.<\/p>\n<p>Para una lista de verificaci\u00f3n de auditor\u00eda lista para usar, consulte <a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/nis2-supply-chain-auditor-checklist\/\">NIS2 Supply Chain Auditor Checklist<\/a>.<\/p>\n<hr\/>\n<h3>Relacionado para auditores<\/h3>\n<ul>\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/glosario\/\">Glosario<\/a> \u2014 Definiciones en lenguaje sencillo de t\u00e9rminos t\u00e9cnicos<\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/articulo-28-de-dora-explicado-gestion-del-riesgo-ict-de-terceros-en-entornos-ci-cd-y-cloud\/\">DORA Article 28 Explained<\/a><\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/comparacion-de-arquitecturas-nis2-vs-dora\/\">NIS2 vs DORA Comparison<\/a><\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/ci-cd-governance-es\/core-ci-cd-security-controls\/\">Core CI\/CD Security Controls<\/a><\/li>\n<\/ul>\n<p><em>\u00bfNuevo en la auditor\u00eda CI\/CD? Comience con nuestra <a href=\"https:\/\/regulated-devsecops.com\/es\/por-donde-empezar\/\">Gu\u00eda para Auditores<\/a>.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>El Art\u00edculo 21(2)(d) de NIS2 exige la seguridad de la cadena de suministro. Esta gu\u00eda explica c\u00f3mo auditar componentes de terceros en pipelines CI\/CD, incluyendo SCA, SBOM y evaluaci\u00f3n de proveedores.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[131,132,135],"tags":[],"post_folder":[],"class_list":["post-1999","post","type-post","status-publish","format-standard","hentry","category-audit-evidence-es","category-ci-cd-governance-es","category-regulatory-frameworks-es"],"_links":{"self":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts\/1999","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/comments?post=1999"}],"version-history":[{"count":0,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts\/1999\/revisions"}],"wp:attachment":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/media?parent=1999"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/categories?post=1999"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/tags?post=1999"},{"taxonomy":"post_folder","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/post_folder?post=1999"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}