Los riesgos que nadie documenta lo suficiente
1. La superficie de ataque invisible de las API de negocio
Cada SaaS de negocio conectado a su SI abre puntos finales. Una herramienta de gestión de citas con clientes es, concretamente, una API que consulta su CRM, su directorio de agencias y, a veces, su planificación de RRHH. Estos flujos rara vez se mapean en las auditorías de seguridad clásicas que se centran en el perímetro de la red.
Las cifras son elocuentes: el 37% de las organizaciones sufrieron una brecha a través de una API en 2024, frente al 17% en 2023. Es decir, más del doble en un año. Solo el 21% de los CISO declaran tener una capacidad real de detección de ataques a nivel de la capa API. (Salt Security / Indusface, State of API Security 2024-2025) Los incidentes de seguridad SaaS, por su parte, aumentaron un 300% entre septiembre de 2023 y 2024, impulsados en gran parte por malas configuraciones de acceso a la API y tokens OAuth mal gestionados. (Obsidian Security, 2024)
Las preguntas que debe hacerse sin demora: ¿quién ha mapeado los flujos de datos entre su SaaS de negocio y su CRM? En caso de incidente en el proveedor, ¿en cuántos minutos puede revocar sus accesos? ¿Se rotan regularmente los tokens de autenticación de sus conectores?
2. La gestión de incidentes en sus subcontratistas: quién hace qué, en cuánto tiempo
La mayoría de los contratos SaaS definen una tasa de disponibilidad de la plataforma. No definen los plazos de notificación en caso de brecha, ni la cadena de responsabilidad en caso de incidente en la infraestructura del proveedor.
El tiempo medio entre una intrusión y su detección sigue siendo de 194 días. Contenerla lleva 64 días adicionales, lo que suma casi nueve meses entre el ataque y la resolución. (IBM Cost of a Data Breach Report 2025) NIS2 impone una alerta temprana a la ANSSI en un plazo de 24 horas a partir de la detección del incidente. Por lo tanto, el verdadero problema no es el plazo de notificación, sino el plazo de descubrimiento. Si su proveedor de SaaS detecta una anomalía en sus servidores sin un proceso contractual de notificación al cliente definido, usted puede permanecer en la ignorancia durante semanas. Y es el día en que se entera cuando su reloj NIS2 empieza a correr.
Más allá de la notificación, las cuestiones de continuidad son igualmente críticas: ¿dispone el proveedor de un Plan de Recuperación ante Desastres (PRA) probado? ¿De una célula de crisis activable fuera del horario laboral? ¿De un procedimiento documentado de copia de seguridad y prueba de restauración? Estos elementos son exigidos por la ISO 27001 y rara vez son verificados por el cliente.
3. La soberanía de los datos: ¿a dónde van realmente sus datos de clientes?
Tres niveles a verificar sistemáticamente.
El alojamiento: ¿dónde se aloja exactamente su SaaS? ¿En qué nube, en qué país? En junio de 2025, durante una audiencia ante la comisión de investigación del Senado francés, el director jurídico de Microsoft Francia declaró: "Si nos vemos obligados, entregamos los datos." Ya no es una hipótesis jurídica, es una confirmación pública. Para un banco, una mutua o una entidad pública, alojar datos de clientes en un operador sujeto a la legislación estadounidense crea un conflicto directo con el RGPD y el secreto bancario francés.
El procesamiento: ¿sus datos pasan por servicios de terceros para análisis, notificaciones o personalización? Cada componente adicional representa una posible transferencia fuera de su control.
La reversibilidad: en caso de finalización del contrato, ¿puede recuperar el 100 % de sus datos en un formato utilizable en 48 horas? La dependencia crítica de los proveedores y la soberanía ocupan el segundo lugar entre los factores irritantes para los CIO en 2026, y la nube híbrida/multi-nube/soberana se ha convertido en el tercer área de inversión prioritaria del año. (Barómetro Abraxio CIO 2026)
La lista de requisitos a exigir a cualquier proveedor de SaaS
Ante estos riesgos, las organizaciones se apoyan cada vez más en herramientas estructuradas: el 85% de los CISO integran cláusulas de seguridad en sus contratos con proveedores, el 74% utiliza cuestionarios y el 46% recurre a la cibercalificación. (Barómetro CESIN 2026) Alain Bouillé, delegado general del CESIN, resume el límite del ejercicio: No va a realizar una prueba de intrusión en 12.000 proveedores.
La buena práctica es, por lo tanto, exigir al proveedor que él mismo le proporcione la prueba. Estas son las seis exigencias imprescindibles.
ISO 27001 necesaria pero no suficiente: la certificación se ha convertido en un criterio eliminatorio en las licitaciones. Atención: cubre el ámbito interno del proveedor, no necesariamente a sus propios subcontratistas. El Anexo A de ISO 27001:2022 impone dos controles dedicados a los proveedores (A.5.19 y A.5.20); verificar que el proveedor los aplique es la pregunta correcta. Verifique también que el alcance del certificado corresponda exactamente al servicio contratado. Los certificados ISO 27001:2013 ya no serán válidos a partir del 31 de octubre de 2025. Existen otros marcos de referencia según los sectores: HDS para datos de salud, SOC 2 Tipo 2 para proveedores estadounidenses.
La arquitectura de los datos: tres preguntas no negociables: ¿Los datos están alojados en Europa, en un proveedor no sujeto a la Cloud Act? ¿El proveedor garantiza el aislamiento de los datos entre clientes? En caso de rescisión, ¿cuál es el plazo y el formato de restitución? El 52 % de los CIOs citan las cláusulas contractuales difíciles de negociar y la exposición a leyes extraterritoriales como el principal freno a la adopción de la nube. (Barómetro Docaposte/Cyblex 2025)
La gestión de incidentes: NIS2 impone una alerta temprana en 24 horas, una notificación detallada en 72 horas y un informe final en un mes. La pregunta que hay que hacer al proveedor: ¿Su proceso de notificación al cliente se ajusta a estos plazos? ¿Quién es el interlocutor en caso de incidente, disponible a qué hora? El contrato debe responder a estas preguntas, no solo mostrar un SLA de disponibilidad.
La cadena de subcontratación: Exija al proveedor la lista completa de sus subcontratistas críticos y su nivel de certificación respectivo. NIS2 hace que esta transparencia sea obligatoria para las entidades reguladas; es mejor exigirla de antemano que descubrirla durante una auditoría.
Los medios de infraestructura: ¿El proveedor dispone de un EDR, un SIEM, una capacidad de recopilación y análisis de registros (logs) en caso de incidente? Estos elementos determinan su capacidad para detectar una anomalía y comprender su alcance real.
La gestión de riesgos: ¿El proveedor dispone de una matriz de riesgos formalizada y de un plan de tratamiento para los riesgos no cubiertos? Los métodos de referencia como EBIOS RM, conformes a la norma ISO 31000, proporcionan un marco estructurado para este análisis. Un proveedor que no puede mostrarle cómo identifica y trata sus propios riesgos no puede ofrecerle garantías serias sobre los suyos.
Lo que esto significa en la práctica
PRO BTP, una organización de protección social que agrupa a 1,2 millones de empleados protegidos y cuenta con 110 agencias en Francia, ha convertido el alojamiento soberano en un criterio de selección no negociable durante el despliegue de su plataforma de citas. Cyrille de Chalain, Director Adjunto de Desarrollo Comercial: El alojamiento SaaS seguro en Francia era un criterio esencial para nosotros. Era importante saber que nuestros datos permanecen protegidos y alojados localmente, en cumplimiento con las normativas francesas y europeas.
Resultado de la implementación: +30% de citas autogestionadas por clientes particulares, más de 100.000 citas generadas en 2024, integración nativa con Efficy CRM y Outlook, trazabilidad completa en las herramientas de gestión internas. (Fuente: Agendize, caso de cliente PRO BTP)
Un importante actor bancario/asegurador multisede, por su parte, ha implementado un proceso completamente integrado con su CRM interno, sus agendas de Microsoft 365 y sus herramientas de BI a través de API, con consulta automática del CRM mediante el número SIRET para los procesos B2B. Más de 10.000 empresas distintas han concertado citas en línea.
Para saber más
Estos temas: riesgos de API, gestión de incidentes, soberanía, matriz de requisitos, serán el eje central de un seminario web técnico de 30 minutos el viernes 26 de junio a las 10:30, presentado por Cédric Peyruquéou, Director de I+D de Agendize y Arnaud Masson, Técnico de soporte y seguridad informática / CSSI.
En el programa: los riesgos más frecuentes en las integraciones SaaS empresariales, la matriz completa de requisitos a exigir a cualquier proveedor y casos reales de implementación en entornos regulados multisede.
Inscribirse al webinar
Póngase en contacto con uno de nuestros expertos para aprovechar la experiencia de Agendize y obtener más información sobre la viabilidad de su proyecto.
