Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > La autenticación te da acceso. La gobernanza determina el alcance del daño.

La autenticación te da acceso. La gobernanza determina el alcance del daño.

by Patrick Spencer updated junio 1, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 7 minutes

Setenta y uno por ciento. Ese es el porcentaje de empresas que sufrieron una filtración relacionada con identidad en 2025, según una nueva investigación de Sophos. Más de dos tercios de las organizaciones vieron sus sistemas de identidad comprometidos en un solo año. El sesenta y siete por ciento de los ataques de ransomware del estudio comenzaron con un compromiso de identidad. Y cuando los investigadores analizaron las causas raíz, encontraron algo que merece más atención: las identidades no humanas — claves API, cuentas de servicio y tokens OAuth — fueron la causa raíz en el 41% de los incidentes.

A diferencia de las credenciales humanas, las identidades no humanas rara vez se revisan en los ciclos trimestrales de recertificación de acceso, casi nunca se rotan con regularidad y rara vez se revocan cuando cambia la relación o el flujo de trabajo para el que fueron creadas. Se multiplican a un ritmo que los programas de gestión de identidades humanas no están diseñados para manejar — cada integración de aplicaciones crea al menos una credencial, cada flujo de trabajo automatizado genera más. En un entorno multicloud maduro, una empresa puede tener miles de identidades no humanas, muchas invisibles para los programas de gobernanza de identidades que rastrean cuentas humanas.

El informe CrowdStrike Global Threat Report 2026 añade velocidad: el actor promedio de eCrime logra moverse lateralmente — desde el acceso inicial — en solo 29 minutos, con el caso más rápido registrado en 27 segundos. El tiempo de respuesta del equipo de seguridad ante una identidad no humana comprometida casi siempre se mide en horas o días, no en segundos.

5 conclusiones clave

1. Las filtraciones de identidad ahora son una suposición base, no un riesgo improbable.

La nueva investigación de Sophos muestra que el 71% de las empresas experimentaron una filtración relacionada con identidad en 2025, con el 67% de los ataques de ransomware comenzando por un compromiso de identidad. El costo promedio de una filtración fue de 1,64 millones de dólares — una cifra que refleja los costos de contención antes de calcular el alcance total del daño. La pregunta arquitectónica ya no es cómo evitar toda filtración, sino cómo se ve el entorno cuando ocurre una. La protección de datos de confianza cero es la respuesta.

2. Las identidades no humanas son la superficie de ataque menos protegida.

Las claves API, cuentas de servicio y tokens OAuth fueron la causa raíz en el 41% de los incidentes de filtración de identidad según los datos de Sophos. Las credenciales de máquina se multiplican más rápido que las humanas, rara vez se revisan en los ciclos de recertificación de acceso y, a menudo, se aprovisionan con más acceso del necesario. Las integraciones de API de terceros agravan esto — cada conexión genera credenciales que persisten mucho después de que la relación cambia.

3. La autenticación es una puerta, no un límite.

Una clave API comprometida otorga de inmediato a un atacante todos los derechos de acceso de la cuenta de servicio a la que pertenece — sin necesidad de explotación adicional. Una autenticación robusta reduce la probabilidad de robo de credenciales. No cambia lo que pueden hacer las credenciales robadas. El informe CrowdStrike Global Threat Report 2026 encontró que el tiempo promedio de movimiento lateral de eCrime es de 29 minutos — la ventana de respuesta que la mayoría de las organizaciones enfrenta tras comprometerse una identidad no humana es mucho más larga que eso.

4. La gobernanza del contenido determina el alcance del daño tras fallar la autenticación.

La gobernanza de contenido de confianza cero asegura que ni siquiera el acceso autenticado puede llegar a contenido sensible a menos que esté explícitamente permitido por política y registrado en un registro auditable. El alcance del daño de cualquier compromiso de identidad — humana o de máquina — depende directamente de la gobernanza de acceso, no de la fortaleza de la autenticación. El 55% de las empresas no puede aislar un proceso automatizado comprometido según el pronóstico Kiteworks 2026 — lo que significa que la mayoría no puede detener el daño una vez que se abusa de una credencial.

5. El costo promedio de 1,64 millones de dólares justifica la inversión en gobernanza.

Las organizaciones que contienen incidentes en menos de 30 días tienen un promedio de 14,2 millones de dólares en costos anuales por riesgo interno según DTEX; las que tardan más de 90 días promedian 21,9 millones — una diferencia de 7,7 millones que refleja directamente la madurez de la gobernanza. El cálculo no es si se puede evitar toda filtración. Es si se puede limitar a qué pueden acceder las identidades comprometidas cuando la autenticación inevitablemente falla.

Confías en que tu organización es segura. Pero ¿puedes comprobarlo?

Lee ahora

Por qué la autenticación es necesaria pero no suficiente

La autenticación te dice quién (o qué) está en la puerta. No controla lo que puede hacer una vez dentro. Una clave API comprometida da al atacante los derechos de acceso de la cuenta de servicio a la que pertenece — de forma total e inmediata, sin explotación adicional. Si esa cuenta de servicio puede leer registros financieros, el atacante puede leer registros financieros. Si puede acceder a contenido regulado, el atacante también puede hacerlo.

Una autenticación robusta — MFA, tokens de corta duración, identidad basada en certificados — dificulta obtener o falsificar credenciales. No cambia lo que puede hacer una credencial legítimamente obtenida. Un atacante que encuentra una clave API válida en un repositorio público no ha eludido la autenticación. Se ha autenticado. Y seguirá autenticándose, usando una credencial válida, hasta que esa credencial sea rotada o revocada.

Las cuentas de servicio suelen aprovisionarse con acceso amplio porque eso hace que los flujos de trabajo automatizados sean flexibles. Los tokens OAuth heredan los permisos del usuario que autoriza, que pueden ser mucho más amplios de lo que requiere la aplicación específica. El resultado es una población de credenciales — el 41% de las causas raíz de filtraciones de identidad en los datos de Sophos — que están poco gobernadas y tienen un alcance demasiado amplio.

Anatomía de una filtración de identidad no humana

Un atacante obtiene una clave API de una cuenta de servicio utilizada para integrar un sistema de gestión documental con una plataforma de automatización de flujos de trabajo. La clave se generó hace 18 meses, cuando se construyó la integración. Nunca se rotó porque hacerlo requiere coordinación entre dos equipos. La cuenta de servicio se aprovisionó con acceso de lectura a todo el sistema de gestión documental — no porque lo necesitara, sino porque limitarla a carpetas específicas habría requerido una implementación más compleja.

El atacante se autentica en el sistema de gestión documental. Tiene acceso de lectura a todos los documentos que contiene — contratos, informes financieros, datos regulados, información confidencial. Descarga lo que quiere. Los registros de autenticación muestran actividad normal desde una cuenta de servicio conocida. Nada en el patrón de actividad genera una alerta. La filtración no se detecta hasta semanas después, durante una respuesta a incidentes provocada por otro evento. Para entonces, los datos ya han sido exfiltrados y los costos de contención son elevados.

El pronóstico Kiteworks 2026 encontró que el 55% de las empresas no puede aislar un sistema de IA o proceso automatizado que empieza a comportarse de forma inesperada — una brecha de control que aplica directamente a escenarios de filtración de identidad no humana. Si no puedes aislar la credencial de cuenta de servicio que está siendo mal utilizada mientras investigas, el atacante sigue teniendo acceso durante toda tu respuesta.

¿Qué compra 1,64 millones de dólares en respuesta a incidentes?

El costo promedio de 1,64 millones de dólares de una filtración relacionada con identidad proporciona el marco financiero para la inversión en gobernanza. Esa cifra incluye la respuesta directa al incidente — forense, contención, recuperación, notificación — más la interrupción operativa y la exposición regulatoria. La investigación de DTEX cuantifica la dimensión de madurez de gobernanza con precisión: las organizaciones que contienen incidentes en menos de 30 días promedian 14,2 millones de dólares en costos anuales por riesgo interno; las que tardan más de 90 días promedian 21,9 millones. Una diferencia anual de 7,7 millones que refleja directamente la madurez de la gobernanza.

El cálculo de inversión en gobernanza no es «¿cuánto cuesta evitar toda filtración?» Es «¿cuánto cuesta reducir el alcance del daño para que una clave API comprometida resulte en un incidente contenido y no en una catástrofe?» La gobernanza de contenido en la capa de acceso — definiendo a qué puede llegar cada credencial, registrando cada acceso en un registro auditable y permitiendo aislar rápidamente una credencial con comportamiento anómalo — cambia por completo la economía de las filtraciones de identidad.

Gobernanza en la capa de contenido

El modelo de confianza cero aborda directamente la brecha entre autenticación y gobernanza. Confianza cero significa que la autenticación es necesaria pero no suficiente — cada solicitud, de toda identidad (humana o de máquina), debe evaluarse contra una política explícita antes de conceder acceso.

La gobernanza en la capa de contenido implica que ni siquiera una clave API totalmente autenticada puede acceder a un archivo sensible, iniciar una transferencia de archivos regulada o enviar datos fuera de un límite aprobado a menos que ese acceso esté explícitamente permitido por política, registrado en un registro auditable y sujeto a revocación. No porque la autenticación haya fallado — sino porque la autenticación por sí sola no es la última barrera.

La Red de Contenido Privado de Kiteworks implementa gobernanza en la capa de contenido en toda la pila de comunicaciones de contenido confidencial — transferencia de archivos gestionada, correo electrónico seguro, uso compartido seguro de archivos, SFTP y la capa API que utilizan los procesos automatizados y sistemas de IA para acceder a contenido de forma programática. Cada solicitud de acceso — de un usuario humano o una credencial de máquina — se evalúa contra una política explícita antes de conceder acceso. Cada credencial puede aislarse rápidamente si comienza a comportarse de forma anómala, sin interrumpir el sistema en general. El cifrado validado FIPS 140-3 protege los datos en reposo y en tránsito. Los registros de auditoría a prueba de manipulaciones se transmiten en tiempo real al SIEM con plena atribución al autorizador humano detrás de cualquier solicitud de máquina.

Para agentes de IA y flujos de trabajo automatizados que acceden a contenido regulado a través de Kiteworks Secure MCP Server y la puerta de enlace de datos IA, se aplica la misma gobernanza: cada solicitud autenticada, autorizada mediante controles de acceso basados en atributos, con propósito limitado y registrada. Una clave API comprometida se autentica — y solo accede a lo que se le permitió explícitamente.

El modelo de contenido de confianza cero para entornos con identidades comprometidas

El hallazgo del 71% de Sophos significa que el compromiso de identidad es una suposición base, no un riesgo improbable. La pregunta arquitectónica no es «¿cómo evitamos todo compromiso de identidad?» sino «¿cómo es nuestro entorno cuando una identidad está comprometida?»

En un entorno de contenido de confianza cero, la respuesta es: la credencial comprometida se autentica y solo accede a lo que se le permitió explícitamente. El acceso se registra con suficiente granularidad para detectar anomalías. La credencial puede revocarse o aislarse en cuanto se detecta la anomalía, sin interrumpir los flujos de trabajo legítimos que dependen de otras credenciales.

El fortalecimiento de la identidad — MFA más robusta, credenciales de vida útil más corta, mejor gestión de secretos — reduce la probabilidad de compromiso de credenciales. La gobernanza de contenido en la capa de acceso reduce el impacto cuando ocurre el compromiso. Ambas inversiones son necesarias. Dado el 71% de tasa base, la inversión en reducción de impacto merece al menos tanta atención como la de reducción de probabilidad.

La autenticación te da acceso. La gobernanza determina el daño.

Para saber más sobre cómo proteger tu información confidencial más allá de la autenticación, agenda una demo personalizada hoy.

Preguntas frecuentes

Una identidad no humana es una credencial utilizada por un sistema automatizado, una aplicación o un agente de IA para autenticarse en otro sistema — claves API, credenciales de cuentas de servicio, tokens OAuth, certificados. Las identidades no humanas se multiplican más rápido, rara vez están cubiertas por recertificación de acceso, suelen estar sobreaprovisionadas y rara vez se revocan cuando cambia la relación para la que fueron creadas. La puerta de enlace de datos IA y Secure MCP Server de Kiteworks aplican gobernanza en la capa de contenido tanto al acceso de identidad humana como de máquina.

La gobernanza de confianza cero reduce el alcance del daño asegurando que el acceso autenticado no se traduzca automáticamente en acceso a contenido sensible. Una clave API comprometida puede autenticarse pero no puede acceder a contenido fuera de su alcance definido explícitamente, no puede iniciar transferencias de archivos a destinos no aprobados y cada acceso se registra para detección de anomalías. La Red de Contenido Privado de Kiteworks implementa esto en MFT, uso compartido seguro de archivos, correo electrónico seguro y la capa API — un solo motor de políticas, un solo registro de auditoría.

Cuatro requisitos: alcance de acceso explícito (las credenciales acceden solo a lo que requiere su flujo de trabajo específico), registro de auditoría obligatorio con la misma granularidad que el acceso humano, políticas de rotación con cumplimiento y capacidad de revocación rápida. El 55% de las empresas no puede aislar un proceso automatizado comprometido según el pronóstico Kiteworks 2026 — la capacidad de revocación y aislamiento es la brecha que la mayoría debe cerrar primero.

El costo de la filtración es el techo de lo que evita la inversión en gobernanza — pero la investigación de DTEX refina el cálculo: las organizaciones que contienen incidentes en menos de 30 días promedian 14,2 millones de dólares en costos anuales por riesgo interno frente a 21,9 millones para quienes tardan más de 90 días. Esa diferencia de 7,7 millones es una medida directa de la madurez de la gobernanza. Alcance restringido de credenciales, detección de anomalías y aislamiento rápido son los controles específicos que reducen el tiempo de contención.

Las industrias donde el contenido sensible se accede de forma programática enfrentan mayor exposición: contratistas de defensa donde sistemas automatizados acceden a CUI, organizaciones de salud donde los flujos de datos acceden a PHI y servicios financieros donde procesos automatizados acceden a datos financieros de clientes. El cifrado validado FIPS 140-3, la aplicación de ABAC y los registros de auditoría a prueba de manipulaciones cumplen simultáneamente con los requisitos de HIPAA, CMMC y PCI DSS tanto para acceso de máquina como humano.

Recursos adicionales

  • Artículo del Blog Cómo proteger los datos de ensayos clínicos en investigaciones internacionales
  • Artículo del Blog La CLOUD Act y la protección de datos en el Reino Unido: por qué la jurisdicción importa
  • Artículo del Blog Protección de datos de confianza cero: estrategias de implementación para una seguridad mejorada
  • Artículo del Blog Protección de datos desde el diseño: cómo incorporar controles GDPR en tu programa MFT
  • Artículo del Blog Cómo prevenir filtraciones de datos con uso compartido seguro de archivos entre fronteras

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks