Ir al contenido principal
Dashlane Logo

Replantearse el riesgo de autenticación: lecciones para los líderes de seguridad actuales

|Frederic Rivain
Rethinking Authentication Risk: Lessons for Today’s Security Leaders

Hace un par de semanas tuve el honor de hablar en la Conferencia ISACA 2025 de Norteamérica en Orlando.

Representé a Dashlane frente a más de 200 profesionales de TI y la seguridad y compartí ideas sobre el panorama de amenazas en evolución para la autenticación y cómo nosotros, como sector, debemos responder.

Dashlane CTO Frederic Rivain speaks to a packed room of IT and security professionals at the ISACA 2025 North America Conference in Orlando in May 2025. His talk covered the future of authentication and the evolving threat landscape.

En Dashlane, creemos profundamente en el poder de aprender de los compañeros. Los eventos de la industria como ISACA no solo intentan mostrar herramientas o políticas. En ellos se trata de intercambiar lecciones, éxitos y errores del mundo real que nos ayudan a todos a mejorar en lo que hacemos.

El ritmo del cambio en la ciberseguridad es implacable, y mantenerse por delante significa aprender constantemente de las prácticas recomendadas de los demás.

Permítame guiarle a través de lo que compartí durante la sesión, comenzando con una historia que ilustra vívidamente lo que puede salir mal cuando se rompe la seguridad de las credenciales.

El pirateo de Disney: una llamada de atención

¿Reconoce el nombre de Matthew Van Andel? Es un exempleado de Disney que se convirtió en punto de entrada involuntario de una violación importante de los sistemas corporativos de Disney en 2024, particularmente su entorno de Slack.

Esto es lo que sucedió:

A diagram shows the five steps that an attacker took to hack Disney. First, Disney employee Matthew Van Andel downloaded a compromised AI tool on GitHub, then the attacker put a keylogger on his personal computer. Next, the attacker got access to Van Andel’s credential vault, which wasn’t protected by 2FA. After that, the attacker got access to Disney’s Slack on Van Andel’s personal computer and hacked Disney.

Van Andel descargó una herramienta de IA aparentemente inocua desde GitHub en su computadora personal. Ese paquete era malicioso e incluía un registrador de pulsaciones.

El malware del registrador de pulsaciones supervisó silenciosamente su actividad, extrayendo finalmente el contenido de su caja fuerte de credenciales. Como Van Andel también tenía acceso al Slack de Disney desde esa computadora personal, el atacante usó sus credenciales para introducirse en los sistemas internos de Disney.

Es un ejemplo perfecto de cómo el acceso a los dispositivos personales, el aislamiento deficiente y la falta de controles en los puntos de conexión pueden combinarse para crear un riesgo significativo.

¿Qué se debería haber hecho de forma diferente? No hay una solución fácil, pero se pueden destacar algunos aspectos fundamentales:

  • Supervisar y controlar las aplicaciones y los paquetes instalados en dispositivos de trabajo
  • Implementar protección para los puntos de conexión capaz de detectar malware y comportamientos sospechosos
  • Aplicar MFA, especialmente en herramientas confidenciales como los administradores de credenciales
  • Restringir el acceso a los sistemas corporativos confidenciales desde dispositivos personales no administrados

Al final del día, la seguridad se trata de reducir el riesgo y minimizar el radio de impacto. Ese es nuestro trabajo como profesionales de TI y seguridad.

El panorama de amenazas en expansión: la autenticación en la era de la IA

Ninguna discusión sobre los riesgos de seguridad modernos está completa sin mencionar la IA.

La IA ha sobrealimentado el phishing. Hoy en día, los atacantes pueden crear correos electrónicos de phishing altamente convincentes y personalizados a escala. Según nuestro Informe de estado de la seguridad de credenciales de Dashlane de 2025:

  • El 74 % de los líderes de TI dice que la IA ha aumentado las amenazas a la seguridad de las credenciales
  • El 88 % de los empleados informa de un aumento en los intentos de phishing
  • El 84 % de los líderes de TI informa de un aumento en el volumen de phishing, su sofisticación o en ambos

El último Informe de investigación de violaciones de datos de Verizon muestra una tendencia similar. La IA está remodelando el kit de herramientas de los atacantes y lo hace con rapidez.

A graph shows that the percentage of AI-assisted malicious emails has risen steadily, going from around 5% in 2022 to around 10% in 2025. This data is according to the 2025 Verizon Data Breach Investigations Report.
Porcentaje de correos electrónicos maliciosos asistidos por IA a lo largo del tiempo, como se muestra en el Informe de investigación de violaciones de datos de Verizon 2025

Pero ese no es el único riesgo de la IA. La IA en la sombra, el uso no autorizado de herramientas de IA en el lugar de trabajo, es otra amenaza creciente. Un informe de Cyberhaven de 2024 descubrió que la mayoría significativa del uso de la IA empresarial se producía a través de cuentas personales. Eso significa que las consultas, los datos y las credenciales potencialmente confidenciales se están enviando a modelos de IA de consumo sin ninguna supervisión organizativa.

En los propios datos agregados de Dashlane, DeepSeek, una herramienta de IA con algunas implicaciones preocupantes en cuanto a licencias y seguridad, se ha convertido en la segunda aplicación de IA generativa más usada entre nuestros clientes. La velocidad de adopción está superando la política, y eso es peligroso.

Los límites borrosos del trabajo híbrido

Los entornos de trabajo híbridos pospandémicos complican aún más la seguridad de las credenciales. Los empleados ahora mezclan rutinariamente la vida personal y la profesional en dispositivos y ubicaciones. La TI en la sombra está desenfrenada. La administración de dispositivos es inconsistente. Los controles de acceso a menudo van por detrás de la realidad.

Esto crea brechas de visibilidad que hacen casi imposible que los equipos de TI y seguridad detecten comportamientos arriesgados, hasta que es demasiado tarde.

La supervisión de los patrones de autenticación, especialmente en los servicios que no utilizan SSO, es esencial. Los sistemas proactivos que muestran el uso inusual de credenciales pueden ayudarle a detectar amenazas antes de que se conviertan en violaciones.

La seguridad de las credenciales sigue siendo el problema central

Aunque la MFA y el SSO son valiosos, no son integrales. Nuestra investigación muestra que el 37 % de las aplicaciones corporativas aún no están protegidas por el SSO. Eso no incluye las TI en la sombra ni los servicios al consumidor que los empleados usan para trabajar.

Incluso los administradores de contraseñas, aunque esenciales, no pueden resolver el problema por sí solos.

La seguridad de las credenciales sigue en el centro de la mayoría de las violaciones. Y la situación no está mejorando, con la IA, el trabajo remoto y la fatiga de los empleados que agravan el problema.

A blue bar graph shows how the average cost of a breach has increased from around 8,750,000 in 2015 to 12,500,000 in 2025, according to data from IBM. Overlaid on the blue bar graph is a red line graph showing that the breach volume has increased from around 3,000,000 in 2015 to around 12,000,000 in 2025, according to data from Verizon.
El costo promedio de una violación y el volumen de incidentes de seguridad han tenido una tendencia al alza desde 2015, según los datos de IBM y Verizon.

Primero la visibilidad y luego la acción

El primer paso para resolver este problema es obtener visibilidad. No se puede arreglar lo que no se puede ver. La TI en la sombra, la IA en la sombra y los comportamientos de credenciales no administradas deben sacarse a la luz, no solo para remediarlos, sino para justificar los recursos y la inversión.

Uno de nuestros clientes descubrió recientemente, a través de la detección de riesgos de credenciales de Dashlane, que su propio director ejecutivo estaba usando credenciales hackeadas en sitios web personales. Ese fue el momento en que el liderazgo realmente se comprometió. Los datos reales impulsan la acción.

A laptop screen shows Dashlane’s Credential Risk Detection and Insights. There are credential security statistics on the screen, including the amount of at-risk passwords at an organization.
La detección de riesgos de credenciales de Dashlane ofrece a las organizaciones visibilidad en tiempo real de las contraseñas débiles y comprometidas en todos los empleados, incluso si no están usando Dashlane, así como información práctica.

Además, los empleados deben recibir alertas automatizadas en su flujo de trabajo diario que les informen sobre sus contraseñas comprometidas, débiles y reutilizadas y cómo tomar medidas. Esto es posible con la función Nudges de Dashlane.

Nudges ha mostrado un impacto real: el 75 % de las empresas que los usan han visto una mejora en la higiene de las contraseñas y una reducción del riesgo de credenciales.

Internamente, hemos visto lo mismo. Los empleados de Dashlane, a pesar de trabajar para una empresa de seguridad, también tenían algunas credenciales débiles o reutilizadas. A lo largo del año pasado, hemos usado activamente nuestros propios Nudges, así como la Detección de riesgo de credenciales, para mejorar dramáticamente la higiene interna, y continuamos haciendo un seguimiento del progreso.

La IA no resolverá los riesgos de autenticación inducidos por la IA

No estoy convencido de que la IA sea la solución mágica para los desafíos de autenticación. En todo caso, los sistemas de IA agencial emergentes pueden ampliar aún más la superficie de ataque.

¿La solución real? Eliminar el enlace más débil: las contraseñas.

Pasar a soluciones sin contraseñas y resistentes al phishing es el único camino viable hacia el futuro. Nos encantó ver que Microsoft anunciaba que las cuentas nuevas no tendrán contraseñas de forma predeterminada.

Como miembro de la junta directiva de la Alianza FIDO, Dashlane apoya firmemente la adopción de claves de acceso: credenciales seguras y sin contraseñas resistentes al phishing y el relleno de credenciales. Y no estamos solos: el 76 % de los líderes de TI dice que la alta dirección de sus empresas está presionando activamente para la adopción de claves de acceso.

 Si no ha comenzado a implementar claves de acceso, ahora es el momento. Incluso puede unirse a nosotros firmando el compromiso de claves de acceso FIDO.

Privacidad y seguridad por diseño

Las soluciones de identidad sólidas no son suficientes. Necesitamos sistemas que sean privados y seguros de forma predeterminada.

Eso significa encriptar los datos confidenciales no solo en reposo y en tránsito, sino también en uso. En Dashlane, usamos informática confidencial y enclaves seguros en la nube para asegurarnos de no tener nunca acceso a los datos de los clientes, incluso mientras los procesamos.

Esto no solo es una buena práctica, sino que es una ventaja competitiva. La privacidad desde el diseño reduce la responsabilidad y ayuda a cumplir con las expectativas de cumplimiento y regulatorias.

La seguridad, mientras tanto, significa construir guardarraíles que impidan los errores antes de que ocurran, con tácticas como:

  • Acceso de mínimo privilegio
  • Autenticación segura (SSO + MFA + administración de contraseñas)
  • Flujos de trabajo de incorporación y salida
  • Políticas de dispositivos que separan el uso laboral del uso personal

En otras palabras: no confíe en que los empleados sigan todas las prácticas recomendadas de seguridad por su cuenta, además de la capacitación en seguridad ocasional. Integre la seguridad en sus sistemas.

La cultura es la capa final

La seguridad no es solo un problema tecnológico, es un problema cultural. No se puede poner un parche a la apatía del usuario ni a la negligencia accidental.

La educación sigue siendo importante, pero también lo es la narración. En Dashlane discutimos abiertamente el pirateo de Disney para mostrarles a los empleados lo que está en juego. La lección: las buenas intenciones no te protegen de las consecuencias.

Las organizaciones más efectivas crean culturas en las que la seguridad es trabajo de todos. Donde los intentos de phishing se detectan temprano. Donde el equipo de finanzas no cae en las estafas de los CEO. Donde los líderes dan ejemplo.

Conclusiones finales

Para concluir, aquí están las acciones clave que animé a la audiencia de ISACA a tomar, y les animo a hacer lo mismo:

  • Trate la seguridad de las credenciales como un riesgo organizativo de máximo nivel
  • Obtenga visibilidad completa del uso de credenciales, más allá del SSO
  • Corrija las causas raíz en lugar de conformarse con los parches reactivos
  • Cambie hacia la autenticación sin contraseñas y resistente al phishing
  • Incorpore la privacidad y la seguridad desde el principio, no después del hecho

No hay una solución mágica, pero hay prácticas probadas. Sigamos aprendiendo mutuamente, subamos el listón y creemos sistemas diseñados para ser seguros de forma predeterminada.

Regístrese para recibir noticias y actualizaciones acerca de Dashlane