El ataque que detuvo a Europa. Aeropuertos claves como Bruselas, Berlín y Heathrow se vieron sumidos en el caos. La causa no fue una tormenta ni una huelga, sino un ciberataque al software MUSE de Collins Aerospace, propiedad de RTX. Este sistema, esencial para el check-in y la gestión de equipajes, permite que distintas aerolíneas utilicen los mismos mostradores y puertas de embarque. Su caída paralizó procesos básicos, obligando a pasar a operaciones manuales y dejando a miles de pasajeros varados.

Un dato clave: mientras la mayoría de aerolíneas se vieron afectadas, British Airways pudo operar con normalidad gracias a un sistema de respaldo. Esta diferencia subraya que las buenas prácticas de backup y continuidad no son un lujo, sino la diferencia entre resiliencia y crisis. Donde unos siguieron funcionando, otros aeropuertos tuvieron que desplegar personal extra para contener el caos y volver a procesos manuales.

El eslabón invisible de la cadena de suministro

Este incidente es la prueba viva de que la cadena de suministro digital es hoy el talón de Aquiles de la infraestructura crítica. No hizo falta atacar directamente a los aeropuertos: bastó con comprometer un proveedor clave. Un fallo en un eslabón invisible puede escalar en horas a una disrupción continental.

Y lo más delicado no es solo el caos logístico: el daño reputacional se amplifica de manera inmediata. Titulares internacionales, pasajeros indignados en redes sociales y la percepción de inseguridad golpean la confianza en aerolíneas, aeropuertos y proveedores tecnológicos por igual. La reputación, en el mercado global, es un activo que tarda años en construirse y segundos en perderse.

Aquí entra en juego la Directiva NIS2 de la Unión Europea. Este marco normativo es claro: el riesgo de terceros se considera como propio. No basta con decir “fue mi proveedor”. Los directivos y juntas son responsables de supervisar la gestión de ciberseguridad y podrían enfrentar sanciones si no cumplen. Las multas pueden llegar hasta el 2% de la facturación global, pero el verdadero impacto va más allá: pérdida de contratos, clientes y credibilidad.

En otras palabras, Europa ya no admite excusas. La obligación es mapear la cadena de suministro, exigir pruebas de ciberhigiene a proveedores y garantizar continuidad.

Lecciones sobre resiliencia operacional

El ciberataque a MUSE no es solo una historia sobre vuelos retrasados. Es un recordatorio poderoso de que la resiliencia operacional depende del eslabón más débil, casi siempre un proveedor tercero.

Este caso refleja lecciones que también aplican al sector financiero, industrial y de servicios críticos:

  • El riesgo de terceros es una prioridad absoluta: la debida diligencia continua y rigurosa sobre todos los proveedores es innegociable.
  • Los planes de contingencia manual son un salvavidas: British Airways demostró que los respaldos probados son la diferencia entre continuidad y colapso.
  • La comunicación es vital: un plan de crisis claro y proactivo es esencial para preservar la confianza de clientes y usuarios.
  • Las amenazas sistémicas son reales: un ataque que empieza en un proveedor puede escalar hasta comprometer la estabilidad de un sector entero.

El impacto no se limita a la UE. Una empresa latinoamericana que provea software, cloud o servicios tecnológicos a un cliente europeo entra automáticamente en el radar de NIS2. Si su servicio causa una disrupción como la vivida en los aeropuertos, será evaluada y podrá ser sancionada, incluso sus directivos. Esto quiere decir que la resiliencia digital ya es un requisito para jugar en la economía global.

Consejos estratégicos:

  1. Evalúa y audita a tus proveedores críticos, no solo se trata de firmar contratos.
  2. Establece planes de continuidad que contemplen fallas de terceros.
  3. Educa a la alta dirección: NIS2 exige conciencia y supervisión desde arriba.
  4. No subestimes el impacto reputacional: prepara protocolos de comunicación de crisis.
  5. Complementa con ciberseguros: no reemplazan la prevención, pero cubren costos de respuesta, reputación y continuidad.

El ataque a MUSE nos recuerda que la confianza digital se construye en capas: tecnología robusta, proveedores vigilados, directivos comprometidos y estrategias de transferencia de riesgo. Y el contraste entre quienes tenían un plan de respaldo y quienes no lo tenían es contundente: la resiliencia no se improvisa, es un imperativo estratégico. Con NIS2, el mensaje es claro: ya no hay excusas.

Por Andrea García Beltrán, directora de Riesgo Cibernético en Europa, Nirvana Insurance| host cibervoces podcast | Founder y ChairWomen CyberSpecsTM