Informe de ejemplo — datos empresariales ficticios. Cada plan de norppa.io incluye 100+ comprobaciones automatizadas en todos los dominios monitorizados — OSINT pasivo y comprobaciones de seguridad HTTP — ejecutadas automáticamente diariamente.

Informe de inteligencia de cadena de suministro NIS2

Acme Manufacturing Oy

Período de informe: Marzo 2026 · Generado el 1 de abril de 2026

61/100

Puntuación de riesgo NIS2

Requiere atención

-13 (vs 74 el mes pasado)

Resumen

Crítico

Alto

Medio

Info

5 proveedores monitorizados con 100+ comprobaciones automatizadas diariamente. 2 hallazgos críticos requieren acción inmediata — un proveedor apareció en una lista de víctimas de un actor de amenaza activo y otro tiene credenciales de empleados circulando en mercados de la dark web. 3 problemas de infraestructura de alta gravedad y 2 hallazgos medios requieren remediación en 7 días. Los artículos NIS2 21(2)(d), 21(2)(e), 21(2)(h) y 21(2)(i) tienen hallazgos activos.

Resumen ejecutivo de IA

La postura de riesgo de cadena de suministro NIS2 de Acme Manufacturing se ha deteriorado este período, con una puntuación que cae de 74 a 62 impulsada por dos hallazgos críticos que requieren atención inmediata de la dirección.

La amenaza más significativa es la inscripción activa de Acme Logistics Oy en una lista de víctimas de ransomware. El grupo de actores de amenaza detrás de esta campaña es conocido por mantener acceso persistente y vender acceso a la red a actores secundarios cuando las negociaciones de rescate primarias fallan. Todos los puntos de integración — APIs, transferencias de archivos, sistemas de autenticación compartidos — entre su organización y Acme Logistics deben tratarse como potencialmente comprometidos hasta que el proveedor proporcione un informe de contención verificado. Simultáneamente, 14 credenciales de empleados de Nordic Cloud Services circulan en mercados infostealer de la dark web, creando un riesgo de exposición multivectorial para entornos de nube compartidos o puntos finales VPN.

Desde una perspectiva de cumplimiento NIS2, cuatro artículos tienen hallazgos activos este período: Art. 21(2)(d) (gestión de riesgos de cadena de suministro), 21(2)(e) (obligaciones de notificación de incidentes), 21(2)(h) (controles criptográficos — vencimiento TLS) y 21(2)(i) (control de acceso — higiene de credenciales). Se requieren evaluaciones de riesgo documentadas inmediatas bajo Art. 21(2)(d) y 21(2)(e). El vencimiento del certificado TLS en databridge.fi en 6 días presenta una fecha límite estricta — el incumplimiento de la renovación causará interrupción del servicio y constituye una brecha de cumplimiento bajo Art. 21(2)(h).

Basado en los hallazgos brutos a continuación — cada afirmación es auditable.

Acciones prioritarias

Acme Logistics Oy — listado de víctimas de ransomware: contactar al proveedor inmediatamente y revisar flujos de datos. Activar respuesta a incidentes.

Crítico

Nordic Cloud Services — 14 credenciales de empleados en dark web: notificar al proveedor, exigir rotación de contraseñas y aplicación de MFA.

Crítico

DataBridge Finland — certificado TLS expira en 6 días: pedir al proveedor que renueve inmediatamente para evitar interrupción del servicio.

Alto

Acme Logistics Oy — infraestructura en país de alto riesgo: solicitar documentación de infraestructura del proveedor y revisar obligaciones NIS2 Art. 21(2)(d).

Alto

Nordic Cloud Services — DMARC ausente: pedir al proveedor que publique un registro DMARC para prevenir la suplantación de dominio.

Alto

Estado de cumplimiento de artículos NIS2

Art. 21(2)(d)

Cadena de suministro

Seguridad de cadena de suministro y medidas con terceros

1 hallazgo

Art. 21(2)(e)

Gestión de riesgos

Gestión de riesgos en redes y sistemas de información

3 hallazgos

Art. 21(2)(h)

Criptografía

Criptografía, TLS e higiene de certificados

4 hallazgos

Art. 21(2)(i)

Credenciales

Seguridad de recursos humanos y gestión de credenciales

1 hallazgo

Art. 23

Notificación incidentes

Notificación de incidentes y divulgación de vulnerabilidades

1 hallazgo

Hallazgos activos (9)

CríticoListado activo de víctimas de ransomware detectadoArt. 21(2)(e)

Acme Logistics Oy · acme-logistics.fi · Detectado 15 mar 2026

El dominio del proveedor apareció en una lista de víctimas de un actor de amenaza activo. El grupo de amenaza reclama exfiltración de datos.

Contexto de amenaza IA

Escenario de explotación: El grupo de amenaza mantiene acceso activo a los sistemas del proveedor y probablemente está desplegando cargas útiles adicionales o preparando más exfiltración. Los grupos de ransomware rutinariamente venden acceso a la red a otros actores de amenaza cuando las negociaciones de rescate primarias fallan.

Riesgo empresarial: Cualquier sistema que su organización comparte con este proveedor — APIs, transferencias de archivos, VPNs — debe tratarse como potencialmente comprometido hasta que el proveedor confirme la contención. NIS2 Art. 21(2)(e) le obliga a documentar inmediatamente su evaluación de riesgo de esta relación con el proveedor.

Remediación: Contacte al proveedor inmediatamente. Involucre a un equipo de respuesta a incidentes. Asuma que los servicios pueden estar parcialmente comprometidos y revise los flujos de datos entre su organización y este proveedor.

CríticoDark web — credenciales de empleados filtradasArt. 21(2)(i)

Nordic Cloud Services · nordiccloud.fi · Detectado 18 mar 2026

Las credenciales de empleados de este dominio circulan en mercados de la dark web, capturadas por una campaña infostealer. Se identificaron 14 cuentas únicas.

Contexto de amenaza IA

Escenario de explotación: Las credenciales cosechadas por infostealer se venden en mercados de la dark web en horas de su captura y se utilizan para credential stuffing, secuestro de sesión e infiltración de VPNs corporativas o entornos en la nube. Con 14 cuentas expuestas, los atacantes tienen múltiples vectores de entrada a la infraestructura del proveedor.

Riesgo empresarial: Si este proveedor utiliza credenciales comprometidas para acceder a sistemas compartidos, su entorno puede ya estar en riesgo. NIS2 Art. 21(2)(i) le obliga a verificar que los proveedores apliquen MFA e higiene de credenciales — documente su respuesta y los pasos de remediación tomados.

Remediación: Notifique al proveedor. Solicite rotación inmediata de contraseñas y aplicación de MFA para todas las cuentas. Verifique que no se usen credenciales compartidas en integraciones con sus sistemas.

AltoInfraestructura en país de alto riesgoArt. 21(2)(d)

Acme Logistics Oy · acme-logistics.fi · Detectado 1 mar 2026

La IP principal del proveedor se resuelve en infraestructura registrada en una jurisdicción en la lista de países terceros de alto riesgo de la UE. Esto puede representar un riesgo de cadena de suministro bajo NIS2 Art. 21(2)(d).

Remediación: Solicite la documentación de infraestructura del proveedor. Revise las obligaciones contractuales y los acuerdos de procesamiento de datos a la luz de los requisitos de seguridad de cadena de suministro NIS2 Art. 21(2)(d).

AltoCertificado TLS expira en 6 díasArt. 21(2)(h)

DataBridge Finland · databridge.fi · Detectado 24 mar 2026

El certificado TLS para databridge.fi expira el 30 de marzo de 2026. Los servicios quedarán inaccesibles o mostrarán advertencias de seguridad del navegador a los usuarios finales tras el vencimiento.

Remediación: Pida al proveedor que renueve el certificado TLS inmediatamente. Se recomienda la renovación automática mediante ACME/Let's Encrypt para evitar futuros vencimientos.

AltoPolítica DMARC ausenteArt. 21(2)(h)

Nordic Cloud Services · nordiccloud.fi · Detectado 1 mar 2026

No hay ningún registro DMARC publicado para este dominio. El dominio puede ser suplantado en campañas de phishing dirigidas a su organización y a los clientes del proveedor.

Remediación: Pida al proveedor que publique un registro DMARC. Comience con p=none para recopilar informes agregados, luego endurezca a p=quarantine o p=reject.

AltoVulnerabilidades conocidas detectadas (CVE)Art. 21(2)(e)

Acme Logistics Oy · acme-logistics.fi · Detectado 2 mar 2026

2 CVEs detectados en infraestructura expuesta a internet. CVE-2023-44487 (HTTP/2 Rapid Reset, CVSS 7.5) tiene clasificación alta y exploits públicos conocidos.

Remediación: Pida al proveedor que aplique los parches de seguridad disponibles para los CVEs identificados de inmediato, priorizando vulnerabilidades con exploits públicos conocidos.

MedioDNSSEC no habilitadoArt. 21(2)(h)

SupplyLink Partners · supplylink.eu · Detectado 1 mar 2026

DNSSEC no está configurado. Las respuestas DNS no pueden autenticarse criptográficamente, exponiendo el dominio a ataques de spoofing DNS.

Remediación: Pida al proveedor que habilite DNSSEC en su registrador de dominio para autenticar las respuestas DNS frente a manipulaciones.

Mediosecurity.txt ausente (NIS2 Art. 23)Art. 23

DataBridge Finland · databridge.fi · Detectado 1 mar 2026

No se encontró ningún archivo security.txt en /.well-known/security.txt. NIS2 Art. 23 exige que las organizaciones tengan un canal de divulgación de vulnerabilidades accesible.

Remediación: Pida al proveedor que cree un archivo security.txt en /.well-known/security.txt con una dirección de contacto de seguridad y URL de política.

InfoCabecera de seguridad HTTP ausente

SupplyLink Partners · supplylink.eu · Detectado 1 mar 2026

La cabecera Content-Security-Policy está ausente en la propiedad web principal. Esto aumenta la exposición a ataques de cross-site scripting e inyección de contenido.

Remediación: Pida al proveedor que configure cabeceras de seguridad HTTP: Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Strict-Transport-Security.

¿Quiere este informe para su propia red de proveedores?

Prueba gratuita — sin tarjeta

Resumen de riesgos de proveedores

Proveedor	Dominio	Puntuación de seguridad	Crítico	Alto
Acme Logistics Oy	acme-logistics.fi	22	2	1
Nordic Cloud Services	nordiccloud.fi	48	1	1
DataBridge Finland	databridge.fi	64	—	1
SupplyLink Partners	supplylink.eu	81	—	—
Vantage IT Oy	vantage-it.fi	97	—	—

Su propio entorno

acme-manufacturing.fi

Último escaneo: 31 mar 2026

78/100

Puntuación de seguridad

Mediosecurity.txt ausente (NIS2 Art. 23)Art. 23

No se encontró ningún archivo security.txt en /.well-known/security.txt. NIS2 Art. 23 exige un canal de divulgación de vulnerabilidades accesible.

Remediación: Cree un security.txt en /.well-known/security.txt con una dirección de contacto de seguridad y URL de política.

MedioDNSSEC no habilitadoArt. 21(2)(h)

DNSSEC no está configurado para su dominio. Las respuestas DNS no pueden autenticarse criptográficamente.

Remediación: Habilite DNSSEC en su registrador de dominio para autenticar las respuestas DNS frente a manipulaciones.

Su propio dominio recibe las mismas 100+ comprobaciones automatizadas que sus proveedores — OSINT pasivo y comprobaciones de seguridad HTTP diariamente. El módulo Full Scan (si está activado) añade una evaluación de seguridad externa mensual en este dominio.

Autoevaluaciones de proveedores (SAQ)

Los proveedores completan una autoevaluación NIS2 de 28 preguntas. Las respuestas se puntúan automáticamente y son visibles aquí junto a los hallazgos automatizados — dos capas de evidencia de cumplimiento en un informe.

Proveedor	Puntuación SAQ	Status
Acme Logistics Oy	—	Pendiente de respuesta
Nordic Cloud Services	61/100	Enviado · 20 mar 2026
DataBridge Finland	74/100	Enviado · 8 mar 2026
SupplyLink Partners	—	No enviado
Vantage IT Oy	91/100	Enviado · 5 mar 2026

Nordic Cloud Services

[email protected] · 20 mar 2026

61/100

Puntuación SAQ

Desglose por sección

Gobernanza y políticas de seguridad

Art. 21(2)(a)

Control de acceso y autenticación

Art. 21(2)(i)(j)

Respuesta a incidentes y divulgación

Art. 21(2)(b), Art. 23

Protección de datos y criptografía

Art. 21(2)(h)

Continuidad del negocio

Art. 21(2)(c)

Cadena de suministro y terceros

Art. 21(2)(d)

Gestión de vulnerabilidades

Art. 21(2)(e)(g)

Nota del analista: El SAQ revela que MFA no está aplicado en todas las cuentas y que no existe un plan de respuesta a incidentes probado — coherente con la fuga de credenciales de la dark web detectada en el monitoreo automatizado.

Metodología de monitorización

Más de 100 comprobaciones automatizadas se ejecutan a diario en todos los dominios monitorizados, con monitorización de ransomware y dark web cada 6 horas. Las comprobaciones cubren: listas de víctimas de ransomware (múltiples fuentes de inteligencia de amenazas), fugas de credenciales infostealer de la dark web, salud y vencimiento de TLS/certificados, integridad DNS (SPF, DMARC, DKIM, DNSSEC), cadena de validación DNSSEC, estado de lista negra DNS de servidores MX, postura de seguridad del correo electrónico y puntuación de suplantación (TLS-RPT, MTA-STS, BIMI, riesgo BEC compuesto), flags de seguridad de cookies (Secure, HttpOnly, SameSite), exposición de rutas sensibles en robots.txt y sitemap, geolocalización IP y detección de países de alto riesgo, exposición a vulnerabilidades conocidas (CVE/EPSS), detección de infraestructura de phishing AiTM mediante registros de Certificate Transparency, validación RPKI/BGP, estado del registro mercantil y LEI (PRH, GLEIF), detección de CNAME y MX huérfanos, detección de referencias SBOM/CSAF, presencia de security.txt, cabeceras de seguridad, verificación de redirección HTTPS y detección de cambios en el sitio web.

Nuevo en 2026

detección de preparación TLS post-cuántica (suites híbridas NIST FIPS 203 ML-KEM), detección de exposición de endpoints Model Context Protocol (MCP), escaneo de secretos en bundles JavaScript (claves API, tokens), inventario de proveedores de IA para las obligaciones del responsable del despliegue del Art. 26 del Reglamento UE de IA, comprobaciones de introspección GraphQL y exposición OpenAPI, y exportación DORA Register of Information (Anexo III B_02.03 + B_05.01). Todos los hallazgos se mapean automáticamente a artículos NIS2.

Los escaneos se ejecutan diariamente. Último escaneo: 7 de mayo de 2026 00:00 UTC.

Obtenga este informe para su red de proveedores

Los nuevos proveedores se ponen en cola para escaneo inmediatamente. Los informes mensuales de cumplimiento NIS2 se generan automáticamente después de cada ciclo de escaneo — con resumen ejecutivo de IA. Sin agentes que instalar.

Ver precios →