Cuando un atacante entra en una red utilizando un nombre de usuario y contraseña legítimos parece, a primera vista, que no hay nada que pueda detenerlo: el tráfico y las acciones se mezclan con las de un usuario autorizado. Esa realidad transforma la gestión de credenciales en una cuestión de resiliencia operativa, no solo de seguridad informática; y en la Unión Europea, desde la entrada en vigor de DORA, también es una cuestión regulatoria vinculante. Las credenciales ya no son solo un vector de riesgo técnico: son un control de riesgo financiero sujeto a auditoría.
Los datos del sector muestran por qué: el robo de credenciales sigue siendo una de las principales vías de acceso inicial a entornos corporativos, con consecuencias que se cuentan en meses de actividad oculta y millones en costes por incidente. Informes públicos como el de IBM sobre coste de las brechas y el de Verizon sobre investigaciones de brechas documentan tanto la frecuencia como el impacto económico de estos ataques (IBM Cost of a Data Breach Report, Verizon DBIR). Esa combinación de probabilidad y daño es precisamente lo que DORA pretende mitigar.
En términos operativos, DORA exige que las entidades financieras implementen controles que reduzcan la probabilidad de acceso no autorizado y, crucialmente, que permitan demostrar esa implementación. Artículo 9 coloca en primera línea el principio de mínimo privilegio y la obligación de mecanismos de autenticación robustos y basados en estándares. En la práctica esto implica migrar de factores vulnerables como SMS o códigos TOTP susceptibles de ataques AiTM hacia soluciones resistentes al phishing, como FIDO2/WebAuthn y passkeys.
No basta con decir que existe una política: los reguladores esperan evidencia operativa. Un control técnico sin registro no prueba nada ante un supervisor. Por eso la combinación de tecnologías —autenticadores phishing-resistant, un gestor de credenciales corporativo que genere registros inmutables, y una solución de gestión de acceso privilegiado (PAM) con provisión just-in-time y auditoría de sesiones— es la que cierra el círculo entre práctica y cumplimiento.
El riesgo no termina en los perímetros propios: DORA extiende obligaciones a la cadena de suministro. Las consecuencias de brechas originadas en proveedores muestran que las credenciales de terceros son, en la práctica, tus credenciales. Eso obliga a contratos que exijan niveles equivalentes de MFA, a auditorías programadas y a mecanismos contractuales para comprobar y remediar incumplimientos del proveedor.
Desde la perspectiva técnica y de detección, reducir el tiempo medio que un intruso permanece en la red es la medida más eficaz para limitar daños y la exposición regulatoria. Aquí entran en juego herramientas y prácticas como detección de anomalías de identidad (ITDR/UEBA), integración de logs en SIEM, segmentación de red para contener movimientos laterales, y respuesta automatizada a patrones de acceso anómalos. La combinación de prevención resistente y detección temprana acorta la ventana de explotación.
En el capítulo de acciones concretas y priorizadas, las organizaciones deberían comenzar por auditar su postura de identidad: inventario completo de cuentas privilegiadas y de servicio, comprobación de MFA resistente en todas las rutas de acceso, eliminación de privilegios permanentes mediante JIT y revisión automatizada de offboarding. Paralelamente, implantar un repositorio cifrado de credenciales con control de accesos basado en roles y registros inmutables facilita tanto la operación segura como la respuesta a requerimientos regulatorios.
La evidencia importa tanto como la tecnología. Tener registros exportables, sellados y correlacionables con otros sistemas —directorios corporativos, PAM, soluciones de endpoint y red— transforma una inspección regulatoria en una demostración de control en lugar de en una lista de carencias. Preparar ejercicios de notificación y respuestas a incidentes que incluyan la producción de esa evidencia ayuda a cumplir los plazos exigidos por DORA y a contener sanciones y costes reputacionales.
Para los responsables que deben priorizar inversiones, el mensaje es claro: la resiliencia operativa empieza por controlar la identidad. Adoptar autenticación phishing-resistant, aplicar mínimo privilegio con provisión temporal de accesos, vaulting cifrado de credenciales y monitorización continua no son sólo buenas prácticas: son elementos centrales de cumplimiento bajo DORA. Quienes esperen a la auditoría para actuar asumen un riesgo regulatorio y operativo innecesario.
Si busca recursos adicionales para profundizar en requisitos regulatorios y técnicas concretas, la documentación oficial de la normativa DORA es un punto de partida esencial (Digital Operational Resilience Act (DORA) — EIOPA), y los informes sectoriales ayudan a priorizar amenazas y controles con datos actualizados (IBM Cost of a Data Breach Report, Verizon DBIR). Actuar ahora, documentar con rigor y cerrar los huecos en la gestión de credenciales es la estrategia que reduce exposición, costes y sanciones en un entorno regulatorio que ya no perdona la falta de evidencia.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...