Replantearse el riesgo de autenticación: lecciones para los líderes de seguridad actuales

9 de junio de 2025|Frederic Rivain

Hace un par de semanas tuve el honor de hablar en la Conferencia ISACA 2025 de Norteamérica en Orlando.

Representé a Dashlane frente a más de 200 profesionales de TI y la seguridad y compartí ideas sobre el panorama de amenazas en evolución para la autenticación y cómo nosotros, como sector, debemos responder.

En Dashlane, creemos profundamente en el poder de aprender de los compañeros. Los eventos de la industria como ISACA no solo intentan mostrar herramientas o políticas. En ellos se trata de intercambiar lecciones, éxitos y errores del mundo real que nos ayudan a todos a mejorar en lo que hacemos.

El ritmo del cambio en la ciberseguridad es implacable, y mantenerse por delante significa aprender constantemente de las prácticas recomendadas de los demás.

Permítame guiarle a través de lo que compartí durante la sesión, comenzando con una historia que ilustra vívidamente lo que puede salir mal cuando se rompe la seguridad de las credenciales.

¿Reconoce el nombre de Matthew Van Andel? Es un exempleado de Disney que se convirtió en punto de entrada involuntario de una violación importante de los sistemas corporativos de Disney en 2024, particularmente su entorno de Slack.

Esto es lo que sucedió:

Van Andel descargó una herramienta de IA aparentemente inocua desde GitHub en su computadora personal. Ese paquete era malicioso e incluía un registrador de pulsaciones.

El malware del registrador de pulsaciones supervisó silenciosamente su actividad, extrayendo finalmente el contenido de su caja fuerte de credenciales. Como Van Andel también tenía acceso al Slack de Disney desde esa computadora personal, el atacante usó sus credenciales para introducirse en los sistemas internos de Disney.

Es un ejemplo perfecto de cómo el acceso a los dispositivos personales, el aislamiento deficiente y la falta de controles en los puntos de conexión pueden combinarse para crear un riesgo significativo.

¿Qué se debería haber hecho de forma diferente? No hay una solución fácil, pero se pueden destacar algunos aspectos fundamentales:

Al final del día, la seguridad se trata de reducir el riesgo y minimizar el radio de impacto. Ese es nuestro trabajo como profesionales de TI y seguridad.

Ninguna discusión sobre los riesgos de seguridad modernos está completa sin mencionar la IA.

La IA ha sobrealimentado el phishing. Hoy en día, los atacantes pueden crear correos electrónicos de phishing altamente convincentes y personalizados a escala. Según nuestro Informe de estado de la seguridad de credenciales de Dashlane de 2025:

El último Informe de investigación de violaciones de datos de Verizon muestra una tendencia similar. La IA está remodelando el kit de herramientas de los atacantes y lo hace con rapidez.

Porcentaje de correos electrónicos maliciosos asistidos por IA a lo largo del tiempo, como se muestra en el Informe de investigación de violaciones de datos de Verizon 2025

Pero ese no es el único riesgo de la IA. La IA en la sombra, el uso no autorizado de herramientas de IA en el lugar de trabajo, es otra amenaza creciente. Un informe de Cyberhaven de 2024 descubrió que la mayoría significativa del uso de la IA empresarial se producía a través de cuentas personales. Eso significa que las consultas, los datos y las credenciales potencialmente confidenciales se están enviando a modelos de IA de consumo sin ninguna supervisión organizativa.

En los propios datos agregados de Dashlane, DeepSeek, una herramienta de IA con algunas implicaciones preocupantes en cuanto a licencias y seguridad, se ha convertido en la segunda aplicación de IA generativa más usada entre nuestros clientes. La velocidad de adopción está superando la política, y eso es peligroso.

Los entornos de trabajo híbridos pospandémicos complican aún más la seguridad de las credenciales. Los empleados ahora mezclan rutinariamente la vida personal y la profesional en dispositivos y ubicaciones. La TI en la sombra está desenfrenada. La administración de dispositivos es inconsistente. Los controles de acceso a menudo van por detrás de la realidad.

Esto crea brechas de visibilidad que hacen casi imposible que los equipos de TI y seguridad detecten comportamientos arriesgados, hasta que es demasiado tarde.

La supervisión de los patrones de autenticación, especialmente en los servicios que no utilizan SSO, es esencial. Los sistemas proactivos que muestran el uso inusual de credenciales pueden ayudarle a detectar amenazas antes de que se conviertan en violaciones.

Aunque la MFA y el SSO son valiosos, no son integrales. Nuestra investigación muestra que el 37 % de las aplicaciones corporativas aún no están protegidas por el SSO. Eso no incluye las TI en la sombra ni los servicios al consumidor que los empleados usan para trabajar.

Incluso los administradores de contraseñas, aunque esenciales, no pueden resolver el problema por sí solos.

La seguridad de las credenciales sigue en el centro de la mayoría de las violaciones. Y la situación no está mejorando, con la IA, el trabajo remoto y la fatiga de los empleados que agravan el problema.

El costo promedio de una violación y el volumen de incidentes de seguridad han tenido una tendencia al alza desde 2015, según los datos de IBM y Verizon.

El primer paso para resolver este problema es obtener visibilidad. No se puede arreglar lo que no se puede ver. La TI en la sombra, la IA en la sombra y los comportamientos de credenciales no administradas deben sacarse a la luz, no solo para remediarlos, sino para justificar los recursos y la inversión.

Uno de nuestros clientes descubrió recientemente, a través de la detección de riesgos de credenciales de Dashlane, que su propio director ejecutivo estaba usando credenciales hackeadas en sitios web personales. Ese fue el momento en que el liderazgo realmente se comprometió. Los datos reales impulsan la acción.

La detección de riesgos de credenciales de Dashlane ofrece a las organizaciones visibilidad en tiempo real de las contraseñas débiles y comprometidas en todos los empleados, incluso si no están usando Dashlane, así como información práctica.

Además, los empleados deben recibir alertas automatizadas en su flujo de trabajo diario que les informen sobre sus contraseñas comprometidas, débiles y reutilizadas y cómo tomar medidas. Esto es posible con la función Nudges de Dashlane.

Nudges ha mostrado un impacto real: el 75 % de las empresas que los usan han visto una mejora en la higiene de las contraseñas y una reducción del riesgo de credenciales.

Internamente, hemos visto lo mismo. Los empleados de Dashlane, a pesar de trabajar para una empresa de seguridad, también tenían algunas credenciales débiles o reutilizadas. A lo largo del año pasado, hemos usado activamente nuestros propios Nudges, así como la Detección de riesgo de credenciales, para mejorar dramáticamente la higiene interna, y continuamos haciendo un seguimiento del progreso.

No estoy convencido de que la IA sea la solución mágica para los desafíos de autenticación. En todo caso, los sistemas de IA agencial emergentes pueden ampliar aún más la superficie de ataque.

¿La solución real? Eliminar el enlace más débil: las contraseñas.

Pasar a soluciones sin contraseñas y resistentes al phishing es el único camino viable hacia el futuro. Nos encantó ver que Microsoft anunciaba que las cuentas nuevas no tendrán contraseñas de forma predeterminada.

Como miembro de la junta directiva de la Alianza FIDO, Dashlane apoya firmemente la adopción de claves de acceso: credenciales seguras y sin contraseñas resistentes al phishing y el relleno de credenciales. Y no estamos solos: el 76 % de los líderes de TI dice que la alta dirección de sus empresas está presionando activamente para la adopción de claves de acceso.

 Si no ha comenzado a implementar claves de acceso, ahora es el momento. Incluso puede unirse a nosotros firmando el compromiso de claves de acceso FIDO.

Las soluciones de identidad sólidas no son suficientes. Necesitamos sistemas que sean privados y seguros de forma predeterminada.

Eso significa encriptar los datos confidenciales no solo en reposo y en tránsito, sino también en uso. En Dashlane, usamos informática confidencial y enclaves seguros en la nube para asegurarnos de no tener nunca acceso a los datos de los clientes, incluso mientras los procesamos.

Esto no solo es una buena práctica, sino que es una ventaja competitiva. La privacidad desde el diseño reduce la responsabilidad y ayuda a cumplir con las expectativas de cumplimiento y regulatorias.

La seguridad, mientras tanto, significa construir guardarraíles que impidan los errores antes de que ocurran, con tácticas como:

En otras palabras: no confíe en que los empleados sigan todas las prácticas recomendadas de seguridad por su cuenta, además de la capacitación en seguridad ocasional. Integre la seguridad en sus sistemas.

La seguridad no es solo un problema tecnológico, es un problema cultural. No se puede poner un parche a la apatía del usuario ni a la negligencia accidental.

La educación sigue siendo importante, pero también lo es la narración. En Dashlane discutimos abiertamente el pirateo de Disney para mostrarles a los empleados lo que está en juego. La lección: las buenas intenciones no te protegen de las consecuencias.

Las organizaciones más efectivas crean culturas en las que la seguridad es trabajo de todos. Donde los intentos de phishing se detectan temprano. Donde el equipo de finanzas no cae en las estafas de los CEO. Donde los líderes dan ejemplo.

Para concluir, aquí están las acciones clave que animé a la audiencia de ISACA a tomar, y les animo a hacer lo mismo:

No hay una solución mágica, pero hay prácticas probadas. Sigamos aprendiendo mutuamente, subamos el listón y creemos sistemas diseñados para ser seguros de forma predeterminada.

Frederic Rivain

Frederic Rivain has been Dashlane’s passionate Chief Technology Officer since 2015. He is eager to learn, innovate, and have fun with the engineering team to ensure it efficiently supports Dashlane and offers the best service to all Dashlane users.

Leer más