Replantearse el riesgo de autenticación: lecciones para los líderes de seguridad actuales

Hace un par de semanas tuve el honor de hablar en la Conferencia ISACA 2025 de Norteamérica en Orlando.
Representé a Dashlane frente a más de 200 profesionales de TI y la seguridad y compartí ideas sobre el panorama de amenazas en evolución para la autenticación y cómo nosotros, como sector, debemos responder.

En Dashlane, creemos profundamente en el poder de aprender de los compañeros. Los eventos de la industria como ISACA no solo intentan mostrar herramientas o políticas. En ellos se trata de intercambiar lecciones, éxitos y errores del mundo real que nos ayudan a todos a mejorar en lo que hacemos.
El ritmo del cambio en la ciberseguridad es implacable, y mantenerse por delante significa aprender constantemente de las prácticas recomendadas de los demás.
Permítame guiarle a través de lo que compartí durante la sesión, comenzando con una historia que ilustra vívidamente lo que puede salir mal cuando se rompe la seguridad de las credenciales.
El pirateo de Disney: una llamada de atención
¿Reconoce el nombre de Matthew Van Andel? Es un exempleado de Disney que se convirtió en punto de entrada involuntario de una violación importante de los sistemas corporativos de Disney en 2024, particularmente su entorno de Slack.
Esto es lo que sucedió:

Van Andel descargó una herramienta de IA aparentemente inocua desde GitHub en su computadora personal. Ese paquete era malicioso e incluía un registrador de pulsaciones.
El malware del registrador de pulsaciones supervisó silenciosamente su actividad, extrayendo finalmente el contenido de su caja fuerte de credenciales. Como Van Andel también tenía acceso al Slack de Disney desde esa computadora personal, el atacante usó sus credenciales para introducirse en los sistemas internos de Disney.
Es un ejemplo perfecto de cómo el acceso a los dispositivos personales, el aislamiento deficiente y la falta de controles en los puntos de conexión pueden combinarse para crear un riesgo significativo.
¿Qué se debería haber hecho de forma diferente? No hay una solución fácil, pero se pueden destacar algunos aspectos fundamentales:
- Supervisar y controlar las aplicaciones y los paquetes instalados en dispositivos de trabajo
- Implementar protección para los puntos de conexión capaz de detectar malware y comportamientos sospechosos
- Aplicar MFA, especialmente en herramientas confidenciales como los administradores de credenciales
- Restringir el acceso a los sistemas corporativos confidenciales desde dispositivos personales no administrados
Al final del día, la seguridad se trata de reducir el riesgo y minimizar el radio de impacto. Ese es nuestro trabajo como profesionales de TI y seguridad.
El panorama de amenazas en expansión: la autenticación en la era de la IA
Ninguna discusión sobre los riesgos de seguridad modernos está completa sin mencionar la IA.
La IA ha sobrealimentado el phishing. Hoy en día, los atacantes pueden crear correos electrónicos de phishing altamente convincentes y personalizados a escala. Según nuestro Informe de estado de la seguridad de credenciales de Dashlane de 2025:
- El 74 % de los líderes de TI dice que la IA ha aumentado las amenazas a la seguridad de las credenciales
- El 88 % de los empleados informa de un aumento en los intentos de phishing
- El 84 % de los líderes de TI informa de un aumento en el volumen de phishing, su sofisticación o en ambos
El último Informe de investigación de violaciones de datos de Verizon muestra una tendencia similar. La IA está remodelando el kit de herramientas de los atacantes y lo hace con rapidez.

Pero ese no es el único riesgo de la IA. La IA en la sombra, el uso no autorizado de herramientas de IA en el lugar de trabajo, es otra amenaza creciente. Un informe de Cyberhaven de 2024 descubrió que la mayoría significativa del uso de la IA empresarial se producía a través de cuentas personales. Eso significa que las consultas, los datos y las credenciales potencialmente confidenciales se están enviando a modelos de IA de consumo sin ninguna supervisión organizativa.
En los propios datos agregados de Dashlane, DeepSeek, una herramienta de IA con algunas implicaciones preocupantes en cuanto a licencias y seguridad, se ha convertido en la segunda aplicación de IA generativa más usada entre nuestros clientes. La velocidad de adopción está superando la política, y eso es peligroso.
Los límites borrosos del trabajo híbrido
Los entornos de trabajo híbridos pospandémicos complican aún más la seguridad de las credenciales. Los empleados ahora mezclan rutinariamente la vida personal y la profesional en dispositivos y ubicaciones. La TI en la sombra está desenfrenada. La administración de dispositivos es inconsistente. Los controles de acceso a menudo van por detrás de la realidad.
Esto crea brechas de visibilidad que hacen casi imposible que los equipos de TI y seguridad detecten comportamientos arriesgados, hasta que es demasiado tarde.
La supervisión de los patrones de autenticación, especialmente en los servicios que no utilizan SSO, es esencial. Los sistemas proactivos que muestran el uso inusual de credenciales pueden ayudarle a detectar amenazas antes de que se conviertan en violaciones.
La seguridad de las credenciales sigue siendo el problema central
Aunque la MFA y el SSO son valiosos, no son integrales. Nuestra investigación muestra que el 37 % de las aplicaciones corporativas aún no están protegidas por el SSO. Eso no incluye las TI en la sombra ni los servicios al consumidor que los empleados usan para trabajar.
Incluso los administradores de contraseñas, aunque esenciales, no pueden resolver el problema por sí solos.
La seguridad de las credenciales sigue en el centro de la mayoría de las violaciones. Y la situación no está mejorando, con la IA, el trabajo remoto y la fatiga de los empleados que agravan el problema.

Primero la visibilidad y luego la acción
El primer paso para resolver este problema es obtener visibilidad. No se puede arreglar lo que no se puede ver. La TI en la sombra, la IA en la sombra y los comportamientos de credenciales no administradas deben sacarse a la luz, no solo para remediarlos, sino para justificar los recursos y la inversión.
Uno de nuestros clientes descubrió recientemente, a través de la detección de riesgos de credenciales de Dashlane, que su propio director ejecutivo estaba usando credenciales hackeadas en sitios web personales. Ese fue el momento en que el liderazgo realmente se comprometió. Los datos reales impulsan la acción.

Además, los empleados deben recibir alertas automatizadas en su flujo de trabajo diario que les informen sobre sus contraseñas comprometidas, débiles y reutilizadas y cómo tomar medidas. Esto es posible con la función Nudges de Dashlane.
Nudges ha mostrado un impacto real: el 75 % de las empresas que los usan han visto una mejora en la higiene de las contraseñas y una reducción del riesgo de credenciales.
Internamente, hemos visto lo mismo. Los empleados de Dashlane, a pesar de trabajar para una empresa de seguridad, también tenían algunas credenciales débiles o reutilizadas. A lo largo del año pasado, hemos usado activamente nuestros propios Nudges, así como la Detección de riesgo de credenciales, para mejorar dramáticamente la higiene interna, y continuamos haciendo un seguimiento del progreso.
La IA no resolverá los riesgos de autenticación inducidos por la IA
No estoy convencido de que la IA sea la solución mágica para los desafíos de autenticación. En todo caso, los sistemas de IA agencial emergentes pueden ampliar aún más la superficie de ataque.
¿La solución real? Eliminar el enlace más débil: las contraseñas.
Pasar a soluciones sin contraseñas y resistentes al phishing es el único camino viable hacia el futuro. Nos encantó ver que Microsoft anunciaba que las cuentas nuevas no tendrán contraseñas de forma predeterminada.
Como miembro de la junta directiva de la Alianza FIDO, Dashlane apoya firmemente la adopción de claves de acceso: credenciales seguras y sin contraseñas resistentes al phishing y el relleno de credenciales. Y no estamos solos: el 76 % de los líderes de TI dice que la alta dirección de sus empresas está presionando activamente para la adopción de claves de acceso.
Si no ha comenzado a implementar claves de acceso, ahora es el momento. Incluso puede unirse a nosotros firmando el compromiso de claves de acceso FIDO.
Privacidad y seguridad por diseño
Las soluciones de identidad sólidas no son suficientes. Necesitamos sistemas que sean privados y seguros de forma predeterminada.
Eso significa encriptar los datos confidenciales no solo en reposo y en tránsito, sino también en uso. En Dashlane, usamos informática confidencial y enclaves seguros en la nube para asegurarnos de no tener nunca acceso a los datos de los clientes, incluso mientras los procesamos.
Esto no solo es una buena práctica, sino que es una ventaja competitiva. La privacidad desde el diseño reduce la responsabilidad y ayuda a cumplir con las expectativas de cumplimiento y regulatorias.
La seguridad, mientras tanto, significa construir guardarraíles que impidan los errores antes de que ocurran, con tácticas como:
- Acceso de mínimo privilegio
- Autenticación segura (SSO + MFA + administración de contraseñas)
- Flujos de trabajo de incorporación y salida
- Políticas de dispositivos que separan el uso laboral del uso personal
En otras palabras: no confíe en que los empleados sigan todas las prácticas recomendadas de seguridad por su cuenta, además de la capacitación en seguridad ocasional. Integre la seguridad en sus sistemas.
La cultura es la capa final
La seguridad no es solo un problema tecnológico, es un problema cultural. No se puede poner un parche a la apatía del usuario ni a la negligencia accidental.
La educación sigue siendo importante, pero también lo es la narración. En Dashlane discutimos abiertamente el pirateo de Disney para mostrarles a los empleados lo que está en juego. La lección: las buenas intenciones no te protegen de las consecuencias.
Las organizaciones más efectivas crean culturas en las que la seguridad es trabajo de todos. Donde los intentos de phishing se detectan temprano. Donde el equipo de finanzas no cae en las estafas de los CEO. Donde los líderes dan ejemplo.
Conclusiones finales
Para concluir, aquí están las acciones clave que animé a la audiencia de ISACA a tomar, y les animo a hacer lo mismo:
- Trate la seguridad de las credenciales como un riesgo organizativo de máximo nivel
- Obtenga visibilidad completa del uso de credenciales, más allá del SSO
- Corrija las causas raíz en lugar de conformarse con los parches reactivos
- Cambie hacia la autenticación sin contraseñas y resistente al phishing
- Incorpore la privacidad y la seguridad desde el principio, no después del hecho
No hay una solución mágica, pero hay prácticas probadas. Sigamos aprendiendo mutuamente, subamos el listón y creemos sistemas diseñados para ser seguros de forma predeterminada.
Regístrese para recibir noticias y actualizaciones acerca de Dashlane