A pesar de los riesgos conocidos en materia de contraseñas, el 57% de las organizaciones continúa usándolas como su método principal de autenticación. Al mismo tiempo, un 90% reportó tener desafíos para avanzar hacia la autenticación sin contraseña (passwordless). Los principales obstáculos son las preocupaciones de seguridad (57%), la experiencia del usuario (56%) y la falta de soporte completo de la plataforma (52%). Estas cifras son el resultado de un estudio realizado por RSA: «2026 RSA ID IQ Report».
Consultado sobre el tema de las contraseñas y, sobre todo, acerca de los primeros pasos para mejorar las políticas relacionadas, Christian Ramos, Identity Senior System Engineer para las regiones MCLA & SOLA de RSA, dijo: “Una política determinada (y bien definida) para las contraseñas hace que las contraseñas en sí mismas no sean el riesgo. El problema no es quebrar o descifrar las contraseñas, el problema es que las usamos nosotros, que podemos compartirlas, que nos pueden engañar y que estas mismas políticas nos invitan a reusarlas o repetirlas en otros sitios que también pueden ser vulnerados. Es en estos puntos donde aparece su vulnerabilidad y si logramos sacarlas de la ecuación, nos ahorramos muchos dolores de cabeza”.
Hilando más en concreto, Ramos observó: “Siempre depende mucho de hasta dónde quieren llegar los clientes y cuáles son las capacidades del partner. Tenemos partners, por ejemplo, que pueden hacer un assesment completo y entregar información respecto a donde están yendo a parar sus claves o cuan vulnerables están en estos temas, y otros donde complementan con herramientas de concientización. Es importante lograr estar todos en una misma página y entender que, por nuestro lado, estamos disponibles para conversar casos de uso desde los más simples hasta los más complejos”.
Para el experto, los primeros pasos a dar deben incluir:
- La identificación de la infraestructura, aplicaciones y repositorios de información sensible (Recursos de TI).
- Clasificación de estos Recursos por su criticidad y riesgo.
- Garantía de que las personas autorizadas sean realmente quienes tengan acceso, uso y operación de los Recursos. Esto solo es posible entendiendo el Riesgo de la Identidad, y la aplicación de políticas, procesos y tecnologías en el flujo.
“La identificación de la infraestructura, aplicaciones y repositorios de información sensible debe ser nuestro punto de inicio, seguido de la clasificación de estos recursos de acuerdo con donde se encuentran funcionando (on-premises, cloud, nube híbrida) junto con identificar los mecanismos que se tienen a mano para integrarlas con soluciones passwordless (SAML 2.0, OIDC, OAuth 2.0, FIDO2, LDAP, Kerberos). De esta manera se puede tener una implementación simple y completa de los recursos”, definió el experto.
Por otro lado, agregó, “es importante ofrecer alternativas de passwordless dependiendo de las necesidades de cada usuario, aprovechando los dispositivos móviles como autenticadores passwordless o también los autenticadores físicos (FIDO2 por ejemplo). Sin excluir las aplicaciones desarrolladas en casa donde debemos simplificar la adopción de estas soluciones, como por ejemplo el uso de APIs”.
«Tenemos partners, por ejemplo, que pueden hacer un assesment completo y entregar información respecto a donde están yendo a parar sus claves o cuan vulnerables están en estos temas, y otros donde complementan con herramientas de concientización».
“Una buena experiencia de usuario pasa por hacerles la vida más fácil a esos usuarios, pero no por eso menos segura. Hoy los mismos passwords y políticas de recambio y construcción hacen que tampoco sea una experiencia del todo armónica. En muchas ocasiones para el usuario recordar nuevos y complejos passwords todo el tiempo puede ser un desafío, impactando también en la operación del help-desk en un porcentaje no menor. Passwordless puede tener un periodo de ramp-up pero al evitar la componente de “algo que se” esto se vuelve más simple para el usuario, si agregamos a eso nuestro Risk-AI, que aprende del comportamiento del usuario y permite de esta forma pedirle un factor más exigente o adicional cuando sale de su línea de comportamiento habitual por ejemplo”, explicó Ramos.
El riesgo en la Mesa de Ayuda
Otro punto sensible es la mitigación del riesgo en la Mesa de Ayuda. Dado que el 65% de las organizaciones teme fallar ante ataques de ingeniería social en el help desk, cabe preguntarse: ¿Cuáles son las tres acciones de política, proceso y tecnología más efectivas que un consultor debe ayudar a su cliente a implementar de inmediato para proteger este punto de ataque crítico?
“Se vuelve necesario implementar una política que realice la verificación constante de la identidad de cualquier usuario que solicite acceso a nuestra infraestructura y aplicaciones, además de visibilidad en acciones sensibles como cambio de contraseñas, cambio de acceso/permisos y acceso a datos sensibles”. Respecto del proceso, explicó Ramos, “es importante un programa de capacitación regular en concienciación sobre seguridad y realizar simulaciones periódicas de ataques de ingeniería social, phishing y llamadas de prueba, esto permitirá estar siempre verificando brechas que pudieran no haberse abordado previamente o que han surgido debido a nuevas amenazas”.
Ramos recomienda implementar solución de autenticación multifactor (MFA) tanto para los usuarios internos (empleados) como los externos (clientes), que abarque desde la puerta de entrada hacia el interior, al menos en aplicaciones críticas o sensibles.
Nuevas capacidades
tecnologías como la IA Agéntica y la Gestión de la Postura de Seguridad de Identidad (ISPM) se están volviendo muy relevantes. Cabe preguntarse entonces: ¿Qué tipo de proyectos piloto o casos de uso acotados se pueden impulsar en los clientes para demostrar el valor inmediato?
“La IA Agéntica como la próxima fase evolutiva de la Inteligencia Artificial, está permitiendo un accionar autónomo y resolución de problemas complejos —dijo Ramos—. Para demostrar el valor que puede generar en las organizaciones es crucial definir casos de uso que permitan medir mejoras, reducción de tiempo, ahorro de costos, aumentos de productividad, satisfacción de los usuarios sin olvidar la gobernanza y seguridad”.
Como casos de uso podemos sugerir:
- Automatizar la respuesta a incidentes: Analizar y clasificar alertas de seguridad como fallo de inicio de sesión y/o escaneo de puerto. La IA puede bloquear IP o desactivar cuentas. De esta manera se pueden reducir los tiempos de detección y respuesta.
- Localizar permisos ocultos: Escanear todos los permisos de los usuarios en todas las aplicaciones de toda la infraestructura sea nube o local, así como identificar permisos excesivos o innecesarios. Esto habilita una visibilidad completa de los riesgos de identidad más críticos. Además, hay que reducir la superficie de ataque al remediar de forma proactiva los permisos excesivos.
Gobernanza de Identidad y Riesgo
El informe subraya que las organizaciones que monitorean identidades de máquinas y otros tipos de cuentas (humanas, de servicio, etc.) todavía sufren brechas. ¿Qué metodología o enfoque de gobernanza debe aplicar un consultor para ayudar a sus clientes a superar esas brechas? Para Ramos, “una de las miradas más asentadas hoy en día es la metodología o enfoque del modelo Zero Trust, particularmente en su principio de menor privilegio por ejemplo”.
«La IA Agéntica como la próxima fase evolutiva de la Inteligencia Artificial, está permitiendo un accionar autónomo y resolución de problemas complejos. Para demostrar el valor que puede generar en las organizaciones es crucial definir casos de uso que permitan medir mejoras, reducción de tiempo, ahorro de costos, aumentos de productividad, satisfacción de los usuarios sin olvidar la gobernanza y seguridad».
“Para esto —indicó— es necesario tener un claro control y visibilidad de la gestión del ciclo de vida de la identidad mediante la provisión, acceso y revocación de acceso (o Alta, Baja y Modificación de usuarios – ABM o JML como también se conoce), automatizar los procesos de estas tareas, realizando revisiones y certificaciones periódicas de los accesos, de esta manera tendremos un monitoreo y detección continua de actividades sospechosas, una adecuada clasificación de riesgos, clasificando las identidades en función de su nivel de riesgo y permitiendo adoptar procesos de auditoría y garantizando el cumplimiento de normas y políticas de seguridad”.
Accede al informe «2026 RSA ID IQ Report»
Autor
