Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Reduciendo la brecha entre acceso y confianza en la seguridad moderna

Reduciendo la brecha entre acceso y confianza en la seguridad moderna

by Tim Freestone updated noviembre 5, 2025 Gestión de Riesgos de Ciberseguridad
Reading Time: 10 minutes

El entorno laboral moderno opera a una velocidad para la que la infraestructura de seguridad tradicional nunca fue diseñada. Los empleados alternan entre docenas de aplicaciones en la nube, introducen datos de la empresa en herramientas de IA y acceden a sistemas corporativos desde dispositivos personales, muchas veces antes de que los equipos de seguridad sepan siquiera que estas herramientas existen. Esta desconexión ha generado lo que los investigadores llaman ahora la «brecha de acceso y confianza»: la distancia creciente entre lo que las organizaciones creen que controlan y cómo realmente se realiza el trabajo.

Dos estudios recientes muestran un panorama preocupante de este desafío. Una investigación de 1Password revela que las herramientas de seguridad tradicionales como el inicio de sesión único, la gestión de dispositivos móviles y la gestión de identidades ya no se alinean con la forma en que empleados y agentes de IA acceden a los datos. Por otro lado, una encuesta de Anaconda a más de 300 profesionales de IA muestra que incluso las organizaciones con marcos formales de gobernanza de datos de IA enfrentan problemas de seguridad, monitoreo inconsistente y cadenas de herramientas fragmentadas. En conjunto, estos hallazgos exponen una doble crisis: las empresas enfrentan una adopción acelerada de IA que supera la supervisión y problemas fundamentales de control de acceso que convierten cada nueva herramienta en una posible vulnerabilidad.

Conclusiones clave

  1. La IA en la sombra es generalizada y casi no se monitorea. El 73% de los empleados ya utiliza herramientas de IA en el trabajo, pero el 27% ha usado aplicaciones no aprobadas que sus empresas desconocen. Estas herramientas gratuitas basadas en navegador generan brechas de visibilidad cuando los trabajadores introducen datos sensibles en sistemas no verificados.
  2. Los controles de acceso tradicionales no alcanzan el ritmo de adopción de SaaS. Solo dos tercios de las aplicaciones empresariales están protegidas por inicio de sesión único, dejando una gran parte del software sin gestionar. Más de la mitad de los empleados reconoce descargar herramientas de trabajo sin la aprobación de TI porque las opciones autorizadas son demasiado lentas o no tienen las funciones necesarias.
  3. El robo de credenciales sigue siendo una causa principal de brechas. Dos tercios de los empleados incurren en prácticas de contraseñas riesgosas, como reutilizarlas o compartirlas por correo electrónico, y las credenciales robadas son la segunda causa más común de brechas materiales. El 89% de los líderes de seguridad ahora fomenta el uso de passkeys para reducir la dependencia de contraseñas tradicionales.
  4. La gobernanza de modelos de IA sufre por cadenas de herramientas fragmentadas. Solo el 26% de las organizaciones cuenta con entornos de desarrollo de IA altamente unificados, mientras que el 30% carece de monitoreo formal para detectar desviaciones de modelos en producción. Las preocupaciones de seguridad retrasan la implementación de IA en casi dos tercios de las organizaciones, cuyos equipos dedican mucho tiempo a resolver problemas de dependencias y vulnerabilidades.
  5. Ex empleados siguen accediendo a sistemas de la empresa. El 38% de los empleados informa haber accedido a cuentas o datos de un antiguo empleador tras dejar la empresa, lo que revela serias brechas en el proceso de baja. Procesos inconsistentes de revocación de acceso y sistemas fragmentados de gestión de identidades permiten que estos fallos de seguridad persistan en cientos de aplicaciones en la nube.

Entendiendo la brecha de acceso y confianza

La brecha de acceso y confianza describe un desajuste fundamental en la seguridad empresarial moderna. Las organizaciones han construido sus defensas en torno a herramientas diseñadas para otra era: una en la que los empleados trabajaban desde dispositivos propiedad de la empresa, accedían a un conjunto limitado de aplicaciones aprobadas y se conectaban a través de redes gestionadas. Ese mundo ya no existe.

El entorno laboral actual es fluido y distribuido. Los empleados alternan entre portátiles corporativos y teléfonos personales. Adoptan servicios en la nube que nunca pasan por la infraestructura gestionada por TI. Colaboran en plataformas que los equipos de seguridad quizá ni siquiera conocen. Los controles tradicionales como SSO asumen que todas las aplicaciones importantes estarán catalogadas e integradas, pero esta suposición se rompe cuando los empleados pueden activar nuevas herramientas con una tarjeta de crédito y una dirección de correo electrónico.

La investigación de 1Password identifica cuatro áreas críticas donde esta brecha se amplía: gobernanza de IA, SaaS y TI en la sombra, credenciales y seguridad de endpoints. Cada área muestra el mismo patrón: adopción rápida de nuevas herramientas y prácticas seguida de una supervisión limitada o rezagada. Las consecuencias van desde ineficiencias menores hasta brechas de seguridad materiales, y el problema se acelera a medida que la IA añade otra capa de complejidad a un modelo de seguridad ya sobrecargado.

Desafío de gobernanza de IA: dos caras de la misma moneda

La IA se ha integrado en las rutinas laborales diarias más rápido que casi cualquier tecnología reciente. Según el estudio de 1Password, el 73% de los empleados ya usa IA en al menos parte de su trabajo. Sin embargo, más de un tercio admite que no siempre sigue las reglas de la empresa sobre el uso de IA, y algunos ni siquiera saben cuáles son esas reglas. Esta desconexión entre adopción y gobernanza genera un riesgo inmediato.

El problema va más allá de simplemente saltarse reglas. Aproximadamente el 27% de los empleados ha utilizado herramientas de IA nunca aprobadas por su empresa. Estas herramientas de IA en la sombra suelen ser gratuitas y basadas en navegador, lo que facilita su adopción pero hace casi imposible que los equipos de TI las detecten. Cuando los trabajadores introducen datos sensibles en sistemas no verificados—ya sea para generar contenido, analizar información o automatizar tareas—crean puntos de exposición que eluden todos los controles de seguridad implementados por la organización.

El problema se agrava por una falla de comunicación. Aunque pocos equipos de seguridad creen que su empresa carece de una política de IA, muchos más empleados afirman no haber visto nunca una. Esto sugiere que las políticas existen en papel pero no llegan a quienes deben cumplirlas, generando una peligrosa brecha entre la intención y la práctica.

El aspecto técnico de la gobernanza de IA enfrenta retos igual de serios. La encuesta de Anaconda reveló que la seguridad sigue siendo el riesgo más común en el desarrollo de IA, citado por el 39% de los encuestados. Casi dos tercios de las organizaciones han experimentado retrasos en la implementación de IA debido a preocupaciones de seguridad. Muchos equipos informan que el tiempo dedicado a resolver problemas de dependencias—especialmente en paquetes de Python de código abierto—afecta directamente la productividad.

Aunque existen procesos para validar paquetes en cuanto a seguridad y cumplimiento, los enfoques actuales no logran seguir el ritmo de la escala y complejidad de los proyectos de IA. Las organizaciones emplean una combinación de escaneos automatizados de vulnerabilidades, registros internos de paquetes y revisiones manuales, pero la frecuencia de incidentes de seguridad sugiere que estos métodos no son suficientes. El problema no es la falta de conciencia o esfuerzo; es que la superficie de ataque ha crecido más rápido que las herramientas diseñadas para protegerla.

El panorama del monitoreo es igualmente desigual. Si bien el 83% de las organizaciones documenta el origen de los modelos base y el 81% mantiene registros de dependencias de modelos, no toda la documentación es integral. Casi uno de cada cinco encuestados no tiene documentación formal alguna. El monitoreo del rendimiento muestra una brecha similar: el 70% cuenta con mecanismos para detectar desviaciones de modelos o comportamientos inesperados, pero el 30% carece de monitoreo formal en entornos de producción.

Estos puntos ciegos importan. Sin monitoreo consistente, las organizaciones no pueden detectar cuándo los modelos se degradan, se comportan de forma inesperada o exponen información sensible. A medida que la IA se integra más en sistemas de producción—tomando decisiones sobre atención al cliente, transacciones financieras o procesos operativos—la incapacidad de rastrear el comportamiento de los modelos se convierte en una falla crítica de gobernanza.

El problema de fragmentación también afecta a las cadenas de herramientas. Solo el 26% de las organizaciones afirma tener una cadena de herramientas de desarrollo de IA altamente unificada. La mayoría trabaja con entornos parcialmente unificados o fragmentados, y algunos describen sus entornos como altamente fragmentados. Esta fragmentación genera brechas de visibilidad, duplica esfuerzos e introduce controles de seguridad inconsistentes entre equipos y proyectos.

Factores culturales añaden otra capa de dificultad. Una cuarta parte de los encuestados identificó la resistencia de los equipos de ciencia de datos a las medidas de seguridad como un reto clave. Cuando los procesos de gobernanza se añaden a sistemas dispares, se vuelven lentos y engorrosos, lo que incentiva a los equipos a buscar atajos. El resultado es más TI en la sombra, más herramientas no aprobadas y una brecha aún mayor entre política y práctica.

Proliferación de SaaS y la realidad de la TI en la sombra

La explosión de aplicaciones en la nube ha cambiado radicalmente la forma en que operan las empresas. Ahora dependen de cientos de apps en la nube, pero la mayoría escapa a la visibilidad y control de TI. La investigación de 1Password encontró que más de la mitad de los empleados reconoce haber descargado herramientas de trabajo sin permiso, generalmente porque las opciones aprobadas son más lentas o carecen de funciones necesarias.

Este comportamiento impulsa lo que los profesionales de seguridad llaman proliferación de SaaS: la expansión incontrolada de aplicaciones de software como servicio en la organización. Las cifras son preocupantes. El 70% de los profesionales de seguridad afirma que las herramientas SSO no son una solución completa para proteger identidades. En promedio, solo dos tercios de las apps empresariales están detrás de SSO, dejando una parte sustancial del panorama de aplicaciones sin gestionar y, a menudo, desconocida.

Las razones de este comportamiento son claras. Los empleados enfrentan problemas reales de flujo de trabajo y necesitan herramientas para resolverlos. Cuando el proceso de compra autorizado tarda semanas y la alternativa no aprobada solo minutos, muchos eligen la conveniencia sobre el cumplimiento. Si la herramienta autorizada es más lenta, menos intuitiva o carece de funciones clave, los trabajadores buscan alternativas. No es un comportamiento malicioso, es gente intentando hacer su trabajo de forma eficiente.

La brecha en el proceso de baja revela la profundidad del problema. El 38% de los empleados afirma haber accedido a cuentas o datos de un antiguo empleador tras dejar la empresa. Esta estadística debería alertar a cualquier líder de seguridad. Indica que los procesos de revocación de acceso son inconsistentes, que muchas cuentas y herramientas quedan fuera del flujo de baja y que la organización carece de un inventario completo de dónde los ex empleados pueden conservar acceso.

Los sistemas de acceso fragmentados hacen que estas omisiones sean comunes en lugar de excepcionales. Cuando las empresas usan docenas o cientos de servicios en la nube, cada uno con su propia gestión de acceso, garantizar una baja completa se vuelve extremadamente difícil. Una sola aplicación olvidada puede dejar una puerta abierta durante meses o años después de que un empleado se va.

Credenciales: el eslabón débil persistente

A pesar de años de formación en concienciación sobre seguridad y tecnologías de autenticación cada vez más sofisticadas, la seguridad de las contraseñas sigue siendo un problema fundamental. El estudio de 1Password encontró que dos tercios de los empleados admiten prácticas inseguras como reutilizar contraseñas en varios sitios, compartir credenciales con colegas, usar contraseñas predeterminadas o enviar credenciales por correo electrónico o apps de mensajería.

Estas conductas no se limitan al personal menos técnico. Los propios profesionales de seguridad incurren en estos mismos riesgos, lo que sugiere que el problema no es tanto de conciencia como de la fricción inherente a la gestión segura de credenciales. Cuando las personas deben gestionar docenas o cientos de cuentas, cada una con una contraseña única y compleja, muchos recurren a atajos que debilitan la seguridad.

Las consecuencias son claras y graves. Casi la mitad de los encuestados identifica el uso de contraseñas débiles o comprometidas por parte de empleados como su principal reto de seguridad. Entre las organizaciones que sufrieron una brecha material en los últimos tres años, las credenciales robadas fueron la segunda causa más común, solo superadas por vulnerabilidades de software.

El patrón es evidente: las credenciales siguen siendo un vector de ataque atractivo y efectivo porque son valiosas y relativamente fáciles de comprometer. Los ataques de phishing, el relleno de credenciales y la ingeniería social apuntan siempre al eslabón más débil de la cadena de seguridad: el usuario y la contraseña.

Las organizaciones están respondiendo con la adopción de passkeys y otros métodos de autenticación sin contraseña. El 89% de los líderes de seguridad afirma que sus empresas están promoviendo o planean promover el uso de passkeys. Estas reemplazan las contraseñas tradicionales por autenticación biométrica o basada en dispositivos, lo que resiste el phishing, reduce la fricción para el usuario y ayuda a cumplir con estándares regulatorios.

«No me sorprende el entusiasmo por las passkeys, porque las empresas que las impulsan lo hacen muy fácil: un clic y listo», comenta Brian Morris, CISO de Gray Media, destacando el atractivo práctico de estos nuevos enfoques de autenticación.

Sin embargo, la transición no será inmediata. Las contraseñas coexistirán con los nuevos sistemas de autenticación durante años, mientras las organizaciones gestionan sistemas heredados, integraciones con terceros y la migración gradual de usuarios. El objetivo realista no es eliminar las contraseñas por completo a corto plazo, sino reducir la frecuencia con la que los usuarios manejan credenciales sin protección y añadir capas de protección adicionales a las que permanezcan.

Gestión de dispositivos en la era del trabajo híbrido

El cambio hacia el trabajo híbrido y remoto ha hecho que la gestión de dispositivos sea mucho más compleja. Casi tres cuartas partes de los empleados usan dispositivos personales para trabajar al menos ocasionalmente, y más de la mitad lo hace cada semana. Esto representa un cambio fundamental en cómo las personas se conectan a los recursos corporativos, pero las herramientas de seguridad diseñadas para gestionar ese acceso no han evolucionado al mismo ritmo.

La gestión de dispositivos móviles sigue siendo el mecanismo de control por defecto para el hardware de la empresa, pero los líderes de seguridad reconocen cada vez más sus limitaciones. Las herramientas MDM se crearon para un entorno donde las empresas poseían los dispositivos, controlaban el sistema operativo y podían aplicar políticas integrales. No fueron diseñadas para situaciones en las que los empleados alternan entre dispositivos personales y corporativos, accediendo a servicios en la nube fuera del perímetro tradicional de la red.

Las limitaciones se hacen evidentes en la práctica. Los líderes de seguridad informan que MDM no protege adecuadamente los dispositivos gestionados ni garantiza el cumplimiento, especialmente en entornos híbridos. Los dispositivos personales carecen de las protecciones de las máquinas corporativas: sin protección de endpoint empresarial, sin cifrado gestionado centralmente, sin gestión de parches garantizada. Aun así, los empleados usan estos dispositivos para acceder al correo, editar documentos, unirse a videollamadas e interactuar con aplicaciones empresariales.

Incluso cuando las empresas prohíben el uso de dispositivos personales, la aplicación de la norma es, en el mejor de los casos, irregular. Los empleados siguen accediendo a datos corporativos desde sus teléfonos durante los desplazamientos o desde portátiles personales cuando trabajan desde casa. La elección suele ser bloquear el acceso por completo—lo que reduce la productividad y frustra a los trabajadores—o permitir el acceso y aceptar el riesgo.

Soluciones y recomendaciones prácticas

La brecha de acceso y confianza y los retos de gobernanza de IA exigen que las organizaciones replanteen su enfoque de seguridad. Las prohibiciones generales y los controles rígidos ya no funcionan cuando los empleados pueden adoptar nuevas herramientas al instante y trabajar desde cualquier dispositivo o lugar. El camino a seguir requiere visibilidad, orientación y controles integrados, no barreras ni restricciones.

  • Gobernanza de IA

    • Pasa de bloquear la IA a monitorear y guiar su uso.
    • Implementa mecanismos de descubrimiento continuo para identificar tanto herramientas aprobadas como no aprobadas en uso.
    • Comunica las políticas de IA de forma clara a todos los empleados.
    • Integra la gobernanza directamente en los flujos de trabajo de desarrollo para reducir la resistencia y alinear la innovación con la supervisión.
    • Invierte en mayor visibilidad de los componentes de los modelos, capacitación integral y monitoreo automatizado para detectar desviaciones y anomalías.

  • Proliferación de SaaS y TI en la sombra

    • Automatiza la gobernanza para rastrear el acceso a lo largo del tiempo en todas las herramientas, no solo las conectadas a SSO.
    • Utiliza segmentación de red, herramientas de visibilidad de endpoints y procesos regulares de descubrimiento para identificar TI en la sombra.
    • Enfócate en una baja integral: crea listas de verificación, automatiza la revocación de acceso y realiza revisiones periódicas de accesos.

  • Seguridad de credenciales

    • Implementa passkeys y autenticación sin contraseña primero en aplicaciones de alto riesgo y expande gradualmente.
    • Haz obligatorio el uso de gestores de contraseñas y amplía la cobertura de SSO.
    • Reduce la frecuencia con la que los usuarios manejan credenciales sin protección.

  • Seguridad de dispositivos y endpoints

    • Acepta la realidad híbrida y diseña controles en consecuencia.
    • Implementa una arquitectura de confianza cero que verifique cada solicitud de acceso.
    • Proporciona dispositivos propiedad de la empresa a quienes acceden a datos sensibles o usa políticas de acceso condicional según el estado del dispositivo y el comportamiento del usuario.

En todos estos esfuerzos, el equilibrio es clave. Los controles de seguridad que dificultan en exceso el trabajo de los empleados serán ignorados. Las medidas más efectivas son las que se alinean con la forma en que la gente trabaja, ofreciendo protección sin generar fricción innecesaria.

La seguridad debe ir al ritmo del trabajo

La brecha de acceso y confianza y los retos de gobernanza de IA no son problemas temporales que se resolverán a medida que maduren las tecnologías. Representan un cambio fundamental en la forma de trabajar: hacia flujos de trabajo distribuidos, flexibles y potenciados por IA que las herramientas de seguridad tradicionales nunca estuvieron diseñadas para gestionar.

Las organizaciones que cierren estas brechas obtendrán ventaja competitiva gracias a una mejor seguridad y una innovación más rápida. Las que las ignoren enfrentarán riesgos crecientes a medida que la distancia entre política y práctica siga ampliándose. La solución requiere enfoques adaptativos centrados en la visibilidad, que brinden supervisión sin frenar el progreso.

Los equipos de seguridad deben evolucionar de guardianes a facilitadores, de un enfoque centrado en el control a uno centrado en la visibilidad, y de reactivos a proactivos. El entorno laboral ha cambiado para siempre, y las prácticas de seguridad deben cambiar con él.

Preguntas frecuentes

La brecha de acceso y confianza describe la distancia creciente entre lo que las organizaciones creen que controlan y cómo los empleados acceden a los datos de la empresa. Las herramientas de seguridad tradicionales como SSO, MDM e IAM se diseñaron para entornos donde los empleados usaban dispositivos y aplicaciones aprobadas por la empresa, pero hoy los trabajadores adoptan servicios en la nube, herramientas de IA y dispositivos personales más rápido de lo que los equipos de seguridad pueden rastrearlos o gestionarlos.

El 27% de los empleados ha utilizado herramientas de IA no aprobadas por su empresa, según una investigación reciente de 1Password. Aunque el 73% de los empleados usa IA en al menos parte de su trabajo, más de un tercio admite que no siempre sigue las reglas de la empresa y muchos ni siquiera saben cuáles son. Estas herramientas no aprobadas suelen ser gratuitas y basadas en navegador, lo que facilita su adopción pero las hace casi invisibles para los departamentos de TI.

Más de la mitad de los empleados descarga herramientas de trabajo sin permiso de TI porque las opciones aprobadas son más lentas, tardan semanas en conseguirse o carecen de funciones necesarias para trabajar de forma eficiente. Este comportamiento impulsa la proliferación de SaaS, con organizaciones que ahora gestionan cientos de aplicaciones en la nube, la mayoría fuera de la visibilidad de TI. En promedio, solo dos tercios de las apps empresariales están protegidas por SSO, dejando una parte sustancial del panorama de aplicaciones sin gestionar.

Las preocupaciones de seguridad encabezan la lista, con el 39% de los profesionales de IA citándolas como su principal riesgo y casi dos tercios de las organizaciones enfrentando retrasos en la implementación por problemas de seguridad. Otros retos incluyen cadenas de herramientas fragmentadas (solo el 26% tiene entornos altamente unificados), monitoreo inconsistente de modelos (el 30% carece de monitoreo formal en producción) y resistencia cultural de los equipos de ciencia de datos, que ven las medidas de seguridad como obstáculos en lugar de facilitadores.

Las herramientas MDM muestran limitaciones significativas en entornos de trabajo híbrido, según líderes de seguridad encuestados. Casi el 75% de los empleados usa dispositivos personales para trabajar al menos ocasionalmente, pero MDM se diseñó para hardware propiedad de la empresa, no para entornos donde las personas alternan entre dispositivos personales y corporativos. Los dispositivos personales carecen de protección de endpoint empresarial, cifrado gestionado centralmente y gestión de parches garantizada, aunque los empleados los usan para acceder a correo, documentos y aplicaciones empresariales.

El 38% de los empleados informa haber accedido a cuentas o datos de un antiguo empleador tras dejar la empresa, lo que revela fallos generalizados en el proceso de baja. Esto ocurre porque los procesos de revocación de acceso son inconsistentes, muchas aplicaciones en la nube quedan fuera de los flujos de baja estándar y las organizaciones carecen de inventarios completos de dónde los ex empleados pueden conservar acceso. Cuando las empresas usan cientos de servicios en la nube con sistemas de gestión de accesos separados, garantizar una baja completa se vuelve extremadamente difícil.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks