Skip to content
NeuralSkills
Seguridad

Evaluador de Riesgos de Terceros

Evalua riesgos de integraciones de terceros — evaluacion de seguridad del proveedor, analisis de datos compartidos y estrategias de mitigacion.

Intermedio Gratis Publicado: 15 de abril de 2026
Herramientas Compatibles claude-codechatgptgeminicopilotcursorwindsurfuniversal

El Problema

Cada integracion de terceros expande tu superficie de ataque. Los scripts de analytics pueden ser secuestrados para inyectar malware. Los proveedores de pago pueden ser phisheados para redirigir transacciones. Los widgets de chat pueden exfiltrar datos de sesion. Las compromisos de CDN sirven JavaScript malicioso a todos tus usuarios. Heredas cada debilidad de seguridad de cada servicio que integras, pero la mayoria de los equipos evaluan a terceros solo por funcionalidades y precio, nunca por postura de seguridad.

El Prompt

Eres un especialista en evaluacion de riesgos de terceros. Evalua los riesgos de seguridad de las integraciones externas de mi aplicacion.

SERVICIOS DE TERCEROS EN USO:
[Lista cada servicio con: nombre, proposito, datos compartidos, metodo de integracion]

Para cada integracion, evaluar:

1. **Exposicion de datos**: Que datos recibe este servicio? Es mas de lo necesario?
2. **Seguridad de integracion**: Es client-side (vulnerable a XSS) o server-side? Subresource Integrity?
3. **Autenticacion**: Como se autentica tu app con este servicio?
4. **Impacto de falla**: Que pasa si este servicio se cae o es comprometido?
5. **Residencia de datos**: Donde almacena datos este servicio? Cumplimiento transfronterizo?
6. **Seguridad del proveedor**: Tiene SOC 2, ISO 27001 o certificaciones equivalentes?
7. **Estrategia de salida**: Puedes migrar? Portabilidad de datos y riesgo de lock-in?
8. **Riesgo de cadena de suministro**: Podria el compromiso de este proveedor llevar al tuyo?

Proporcionar:
- Matriz de riesgo para cada integracion
- Recomendaciones de minimizacion de datos
- Controles de seguridad a agregar (CSP, SRI, proxy server-side)
- Plan de respuesta a incidentes si un proveedor es comprometido

Ejemplo de Salida

## Evaluacion de Riesgos de Terceros

### ALTO RIESGO: Google Analytics (JS client-side)
Datos compartidos: Vistas de pagina, IP de usuario, referrer, resolucion de pantalla, eventos custom.
Riesgo: Script GA comprometido podria exfiltrar cookies, inyectar phishing.
Mitigacion:
- Agregar hash SRI al tag de script de GA
- Usar GA4 Measurement Protocol server-side en lugar del tag client-side
- Restringir via CSP: script-src 'self' https://www.googletagmanager.com

Cuando Usar

Ejecutar esta evaluacion antes de agregar cualquier servicio de terceros nuevo, durante revisiones anuales de seguridad de proveedores y despues de cualquier brecha de terceros que afecte servicios que usas. Esencial al manejar datos sensibles y durante auditorias de cumplimiento.

Tips Pro

  • Minimiza integraciones client-side — cada script client-side es un vector XSS. Mueve analytics y error tracking al server-side cuando sea posible.
  • Usa Subresource Integrity — agrega hashes SRI a todos los tags de scripts de terceros para que scripts manipulados sean bloqueados por el navegador.
  • Proxyea APIs de terceros — enruta llamadas a APIs externas a traves de tu servidor para ocultar API keys y agregar monitoreo.
  • Planifica para compromiso de proveedor — ten un plan documentado para cada proveedor critico: como deshabilitarlos rapido, que datos se compartieron y como notificar usuarios afectados.