Glosario · Ciberseguridad · Cadena de suministro
Seguridad de la cadena de suministro de software
La seguridad de la cadena de suministro de software protege la integridad de todo lo que entra en una aplicación: dependencias, procesos de build y artefactos finales. El objetivo es garantizar que el software desplegado es exactamente el que se construyó, sin componentes manipulados ni introducidos por un atacante en algún eslabón del proceso.
Controles habituales
- Firmas de artefactos — firmar y verificar los artefactos garantiza que no han sido alterados entre la construcción y el despliegue.
- SLSA — marco de niveles que define garantías progresivas sobre la integridad del proceso de build y la procedencia del artefacto.
- SBOM — inventario de componentes que permite conocer las dependencias y responder con rapidez ante vulnerabilidades conocidas.
- Repositorios privados — controlar el origen de las dependencias evita la sustitución por paquetes maliciosos o suplantados.
Por qué importa en banca regulada
Los incidentes de cadena de suministro afectan a múltiples organizaciones a la vez a través de un único proveedor o componente comprometido. DORA exige a las entidades financieras gestionar el riesgo TIC de terceros a lo largo del ciclo de vida, y NIS2 sitúa la seguridad de la cadena de suministro como un control explícito en sectores esenciales. Proteger dependencias, builds y artefactos con firmas, SLSA y SBOM convierte ese requisito normativo en garantías técnicas verificables sobre la procedencia e integridad del software en producción.
Cómo ayuda Vermont Solutions
Integridad de extremo a extremo
Acompañamos a entidades financieras en la protección de su cadena de suministro de software con firmas, SLSA y SBOM, en línea con las exigencias de DORA y NIS2.
Ver gobernanza y cumplimiento →Fuentes
Última actualización: 2026-06-21. Contenido editorial de Vermont Solutions, citable bajo atribución.