Casi la mitad de los ataques informáticos a empresas ocurren a través de un proveedor.
Hoy, casi la mitad de los ataques informáticos a empresas ocurren a través de un proveedor, según el último reporte de Verizon. Imagine una empresa que contrata un CRM, ERP o software de facturación. Para que funcione, le da permisos amplios sobre sus sistemas e información. Atacantes acceden al software del proveedor, aprovechan esos permisos y entran al sistema. Toman credenciales de administrador, aprueban transacciones, modifican información, firman documentos, envían correos. Cuando alguien lo nota, el daño ya está hecho.
¿Quién responde? Buena parte de la respuesta proviene del contrato o términos y condiciones, sin perjuicio de los límites legales y la intervención judicial. Conviene entonces tener presentes algunos aspectos al revisar ese contrato.
¿Qué debería decir?
Primero, debe contar con obligaciones de seguridad concretas. Es razonable exigirle al proveedor implementar y mantener controles para ingresar a los sistemas o custodiar información de la empresa: autenticación multifactor, control de acceso basado en roles, cifrado de datos, entre muchos otros. A esto se suma la obligación de notificar incidentes en plazos razonables, cooperar en una investigación forense y entregar registros que permitan reconstruir lo ocurrido. Conviene además pactar derechos de auditoría sobre la implementación de esas medidas.
Segundo, una cláusula de indemnización por los daños y perjuicios ocasionados por el incumplimiento o la falta de diligencia en la aplicación de las medidas de seguridad. Vale recordar que estos contratos suelen limitar la responsabilidad solo del proveedor a montos muy bajos. Si existen, vale la pena revisar que sean bilaterales y proporcionales, y dejar por fuera del tope los daños que provengan del dolo o culpa grave. En todo caso, debe recordarse que estas cláusulas pueden ser impugnadas judicialmente y en esa medida, al momento de plantear la negociación, es importante evaluar si vale o no la pena dar la discusión.
Tercero, exigirle al proveedor mantener una póliza complementaria de seguro y acreditar su vigencia periódicamente. Si bien no reemplaza el contrato, funciona como garantía adicional. La cobertura debería incluir respuesta a incidentes, responsabilidad frente a terceros, interrupción del negocio y defensa legal.
¿Y si no es posible negociar?
Aunque uno se sorprendería de la alta cantidad de proveedores que acceden hoy en día a negociar, muchas otras veces la respuesta del proveedor es «estos son los términos».
En ese último caso, muy posiblemente se trata de un contrato de adhesión. En esos casos la ley colombiana protege a la parte que no pudo negociar. Las cláusulas que limitan obligaciones legales o que resulten manifiestamente desproporcionadas pueden ser consideradas ineficaces. Dejar observaciones por escrito y conservar la trazabilidad de esa negociación frustrada es la base para una eventual reclamación judicial. Por la misma razón, conviene verificar siempre la ley aplicable y la jurisdicción en la que se resolvería un litigio.
Estos ataques son cada vez más comunes y es momento de poner atención. La invitación es a no aceptar por inercia. Cuando el tercero va a tener acceso a la información y a los sistemas de la empresa, leer antes de aceptar deja de ser opcional.
José Elías Del Hierro Gamboa es director del área de Derecho Digital y Tecnologías Emergentes en Del Hierro Abogados y de las prácticas de Propiedad Intelectual, Protección de Datos Personales y Derecho Publicitario. Es abogado por la Pontificia Universidad Javeriana, cuenta con una Maestría en Leyes (LL.M.) y un MBA por IE University (Madrid, España). Cuenta además con formación de posgrado en estrategia e innovación y está habilitado como conciliador en derecho por la Cámara de Comercio de Bogotá.






