Las aseguradoras y los reguladores están volviendo la vista hacia lo que podríamos llamar la "postura de identidad" de las empresas: cómo gestionan contraseñas, cuentas privilegiadas y mecanismos de autenticación. No es una sorpresa: según el IBM Threat Intelligence Index 2025, una de cada tres intrusiones pasa por cuentas de empleados comprometidas. Ese dato ha convertido la gestión de identidades en un factor clave a la hora de valorar el riesgo cibernético y fijar primas de seguros.
El contexto económico no ayuda a relajarse. El coste medio global de una filtración de datos sigue siendo elevadísimo —IBM sitúa esa cifra en torno a los 4,4 millones de dólares para 2025— y muchas organizaciones buscan pólizas para transferir parte de ese riesgo (IBM Cost of a Data Breach Report). En países como el Reino Unido, el acceso a cobertura se ha incrementado en los últimos años, pero al mismo tiempo las compañías aseguradoras endurecen las exigencias: donde antes bastaba mostrar controles básicos, hoy se pide evidencia de prácticas continuas y eficaces (Cyber Security Breaches Survey 2025).
¿Por qué la identidad pesa tanto en la suscripción de pólizas? La respuesta es sencilla y técnica a la vez: la mayoría de ataques efectivos comienzan por obtener credenciales válidas. Desde ese punto de apoyo un atacante puede escalar privilegios, moverse lateralmente y, si las defensas son débiles, mantener persistencia. Para una aseguradora, una buena gobernanza de identidades reduce la probabilidad de que un único acceso inicial desencadene una catástrofe que termine en un reclamo millonario.
Cuando los evaluadores examinan una organización, prestan atención a cuestiones prácticas y medibles. La higiene de contraseñas sigue siendo relevante porque, a pesar del auge del MFA y las iniciativas sin contraseña, muchas autenticaciones dependen todavía de credenciales. El problema aparece cuando hay reutilización de contraseñas en cuentas críticas, protocolos antiguos que permiten el robo de credenciales con más facilidad, cuentas inactivas que conservan acceso o cuentas de servicio con contraseñas que nunca caducan. También preocupa el uso compartido de credenciales administrativas: dificulta la trazabilidad y multiplica el impacto de una credencial robada.
Otra área crítica es la gestión de privilegios. Las cuentas con permisos elevados, ya sean administradores de dominio, administradores en la nube o cuentas de servicio con privilegios, suelen estar sobreasignadas y fuera del control central. Si un atacante puede convertir una cuenta normal en administrador con pocos movimientos, el riesgo se dispara y las primas lo reflejarán. Por eso los suscriptores revisan la composición de los grupos administrativos, la existencia de privilegios solapados y la cobertura de registro y monitoreo en esas cuentas. En entornos con Active Directory y servicios en la nube, las herramientas que detectan cuentas inactivas o roles sobreasignados ayudan a demostrar que la organización controla su perímetro de privilegios; Microsoft por ejemplo ofrece guías para modernizar la autenticación y reducir la dependencia de protocolos heredados (Microsoft: disable legacy authentication).
La cobertura y la aplicación efectiva de MFA (autenticación multifactor) se han vuelto una exigencia recurrente. No basta con declarar que se ha desplegado MFA: las compañías aseguradoras buscan pruebas de aplicación consistente en accesos remotos, correo electrónico, administradores y rutas críticas. Excepciones, cuentas no interactivas o protocolos antiguos que esquivan el segundo factor crean atajos que los atacantes explotan tras obtener las credenciales iniciales. En este punto la orientación técnica estadounidense resulta instructiva: el NIST SP 800-63B recoge recomendaciones sobre autenticación moderna que muchas evaluaciones de riesgo utilizan como referencia.
Mejorar la postura de identidad no es una tarea de efectos inmediatos ni de “activar un interruptor”; es un proceso de madurez. Una buena noticia: las aseguradoras suelen valorar el progreso documentado tanto o más que una configuración perfecta desde el primer día. Empezar a medir, auditar y corregir con regularidad transmite intención y reduce la probabilidad de sorpresas. Herramientas de auditoría para Active Directory y plataformas en la nube permiten cuantificar exposición de contraseñas, identificar cuentas privilegiadas olvidadas y demostrar que se aplican políticas de autenticación robustas.
Eliminar contraseñas débiles y compartir credenciales es una prioridad operativa. Adoptar estándares mínimos, evitar la reutilización en cuentas críticas y forzar rotaciones razonables reduce la superficie que los atacantes pueden aprovechar tras una filtración. A la vez, documentarlo y auditarlo crea la evidencia que las aseguradoras buscan.
Aplicar MFA en todos los puntos críticos debe dejar de ser una recomendación y convertirse en norma: acceso remoto, administración cloud, correo corporativo y cualquier interfaz expuesta que permita control o exfiltración de datos. No se trata solo de desplegar MFA, sino de asegurar que cubre todos los caminos relevantes y que las excepciones están justificadas y controladas.
Reducir el acceso privilegiado permanente mediante modelos just-in-time o accesos temporales limita la ventana en la que una credencial comprometida puede hacer daño. Menos cuentas siempre activas con máximos permisos significa menos riesgo sistémico y, por tanto, argumentos para negociar condiciones de seguro más favorables.
Revisar y certificar permisos periódicamente es la forma más directa de encontrar cuentas huérfanas, derechos obsoletos o miembros de grupos administrativos que no deberían tenerlos. Las auditorías de acceso rutinarias, con evidencia de correcciones, son moneda de cambio en los procesos de underwriting.
Para demostrar este trabajo ante aseguradoras y auditores conviene apoyarse en estándares y en herramientas que generen métricas y rastros. Organismos y proyectos como el OWASP han documentado cómo los ataques basados en credenciales ocurren a gran escala, y guías como las del NIST o recomendaciones de fabricantes ayudan a diseñar una estrategia coherente. Existen además soluciones comerciales que proporcionan visibilidad sobre exposición de contraseñas en Active Directory y ayudan a priorizar remediaciones; por ejemplo, Specops Password Auditor es una de las herramientas que se utilizan en entornos Windows para ese fin.
Al final del día, el mensaje que están enviando los mercados de seguros es claro: la gestión de identidades dejó de ser un asunto puramente operativo para convertirse en un criterio fundamental de riesgo financiero. Las organizaciones que quieran mejores condiciones de aseguramiento deben combinar controles técnicos con procesos de revisión continuos y capacidad para evidenciar ese progreso. No es una moda: es una adaptación a cómo atacan hoy los adversarios y a cómo valoran el riesgo quienes asumen la responsabilidad financiera cuando algo sale mal.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...