Cómo eliminamos prácticamente todas las credenciales de riesgo en Dashlane

En Dashlane, somos nuestros propios primeros usuarios. Todas las funciones que creamos pasan por fases de pruebas internas rigurosas, incluidas las pruebas de empleados amplias conocidas como «dogfooding». Este enfoque no solo garantiza la calidad, sino que también nos brinda información del mundo real sobre cómo funciona nuestro producto.

Durante el año pasado, hemos estado probando activamente las nuevas funciones de protección de credenciales que componen la plataforma Dashlane Omnix™ en nosotros mismos antes de lanzarlas a los clientes.

Podría asumir que una compañía de seguridad que construye un administrador de contraseñas ya tendría una configuración perfecta: un 100 % de higiene de contraseñas en todos los ámbitos. Pero la realidad es más matizada.

Mientras que nuestra Puntuación del Análisis de contraseñas, que tiene en cuenta las credenciales hackeadas, reutilizadas y hackeadas almacenadas en las cajas fuertes de los empleados, se mantiene constantemente por encima del 95 %, siempre hay espacio para mejorar.

El año pasado, lanzamos Detección de riesgos de credenciales, que supervisa y detecta continuamente la actividad de credenciales en riesgo en tiempo real en toda la fuerza de trabajo. Cuando comenzamos a implementar las primeras versiones de la solución internamente en el verano de 2024, nuestro equipo de seguridad descubrió algunos comportamientos sorprendentes.

A pesar de que todos los empleados usan Dashlane activamente internamente (lo implementamos el día 1 durante la incorporación de los empleados), encontramos un número significativo de credenciales «en la sombra» comprometidas: inicios de sesión usados por los empleados para acceder a varias aplicaciones, algunas corporativas y otras personales.

Estos no estaban almacenados en cajas fuertes de Dashlane, lo que significaba que no estaban supervisados ni protegidos adecuadamente. Aquí es donde los enfoques tradicionales para la administración de contraseñas no se adecuan: no pueden dar cuenta de las credenciales no guardadas en la caja fuerte, lo que deja a las empresas ciegas ante las TI en la sombra en su entorno.

Al mismo tiempo, lanzamos Nudges: recordatorios contextuales y en tiempo real entregados a través de plataformas como Slack para alertar a los empleados sobre contraseñas débiles, reutilizadas o comprometidas. Por ejemplo, si un empleado intenta iniciar sesión en un servicio con una credencial comprometida, se le alertará inmediatamente, lo que aumenta la probabilidad de que tome medidas.

También hicimos un seguimiento manual de las personas, no solo alentándolas a actualizar sus credenciales, sino también promoviendo mejores hábitos de seguridad en general.

Los resultados fueron sorprendentes. Como se muestra en la captura de pantalla redactada a continuación, nuestro uso interno de Dashlane Omnix condujo a una reducción del 75 % de las Credenciales hackeadas en uso en toda la organización en el primer mes de implementación.

En siete meses, prácticamente eliminamos todas las credenciales comprometidas, débiles y reutilizadas de nuestro entorno corporativo.

Esta iniciativa no solo mejoró la propia postura de seguridad de Dashlane; también nos ayudó a comprender mejor cómo hacer que Omnix sea aún más valioso para los equipos de TI y seguridad. 

Dado que Dashlane es de conocimiento cero, no tenemos acceso a paneles de control de clientes como el anterior, lo que convierte nuestro uso interno en un valioso campo de pruebas para dar forma al producto.

También hemos escuchado historias similares de clientes. Un cliente empresarial descubrió que su director ejecutivo estaba usando Credenciales hackeadas en sitios personales sin saberlo, un momento revelador que llevó a su liderazgo a tomar medidas rápidas. Una gran organización de salud descubrió que una cuarta parte de sus usuarios estaban usando contraseñas comprometidas y débiles para acceder a las aplicaciones corporativas después de implementar Dashlane para miles de empleados.

Estos son solo algunos ejemplos de cómo las organizaciones han reducido el riesgo de credencial con Dashlane, pero hay muchos más. Y estamos comenzando.

Estamos ampliando activamente el alcance de Omnix: aumentando los tipos de riesgos que detectamos, mejorando las opciones de autorremediación para los empleados y permitiendo que los equipos de TI y de seguridad orquesten respuestas automatizadas. También estamos invirtiendo fuertemente en IA para acelerar y escalar estas capacidades.

Si aún no ha explorado Dashlane Omnix, ahora es el momento. Pruébelo por usted mismo y manténgase al tanto. Tenemos una hoja de ruta emocionante por delante.