El costo oculto de los incidentes recurrentes de credenciales

-

Cuando se habla de seguridad de credenciales, la conversación suele centrarse en evitar brechas. Sin embargo, el impacto real también aparece en los incidentes repetidos del día a día: bloqueos de cuenta, restablecimientos de contraseña, tickets al service desk y pérdida de productividad. Este costo operativo, aunque menos visible, puede ser constante y significativo para TI y para el negocio.


La seguridad de credenciales suele evaluarse desde la óptica de la prevención de brechas. Tiene sentido: el informe Cost of a Data Breach 2025 de IBM sitúa el costo promedio de una brecha en 4,4 millones de dólares. Evitar un incidente mayor ya justifica buena parte de las inversiones en seguridad. Pero esa cifra no refleja otro problema más persistente: los incidentes recurrentes relacionados con credenciales.

Los bloqueos de cuenta y las credenciales comprometidas no suelen aparecer en los titulares, pero sí en los tickets repetidos al service desk, en flujos de trabajo interrumpidos y en tiempo desviado de tareas de mayor valor. Cada evento, por separado, parece menor; en conjunto, generan una carga constante para los equipos de TI y para toda la organización.

El costo real no está solo en la brecha que se intenta evitar, sino en la fricción operativa que ya se está absorbiendo cada día.

Cuando una organización enfrenta ataques basados en credenciales o compromisos repetidos de cuentas, la respuesta habitual es endurecer las políticas de contraseñas. Sin embargo, muchas empresas tienen dificultades para equilibrar seguridad y usabilidad. Y cuando algo no funciona, el usuario termina llamando al service desk.

Forrester estima que los restablecimientos de contraseña representan hasta el 30% de todos los tickets de soporte, con un costo de alrededor de 70 dólares por cada uno al considerar tiempo del personal y pérdida de productividad. Para una organización mediana, eso se traduce en un costo operativo sostenido y directamente asociado a incidentes de credenciales.

Este tipo de interrupciones se acumula rápidamente: los equipos de TI pasan buena parte de su tiempo resolviendo problemas urgentes, mientras los usuarios pierden continuidad en su trabajo. La organización absorbe el impacto en formas que no siempre son evidentes, pero que resultan difíciles de eliminar.

Cuando los usuarios reciben mensajes de error vagos, como “no cumple con los requisitos de complejidad”, quedan adivinando qué falló exactamente. Tras varios intentos, la mayoría deja de intentar entender la política y busca simplemente la forma más rápida de avanzar.

Eso suele traducirse en reutilización de contraseñas antiguas con cambios mínimos o en almacenamiento inseguro de credenciales para evitar repetir el proceso. No hay intención maliciosa, pero sí un aumento en la probabilidad de incidentes recurrentes: desde bloqueos hasta compromisos de cuenta.

Sin una verificación de contraseñas filtradas, las organizaciones dependen de cambios por tiempo para gestionar el riesgo. Pero una contraseña no se vuelve insegura por ser antigua; se vuelve insegura cuando ha sido expuesta.

Incluso con períodos de expiración cortos, los usuarios pueden seguir iniciando sesión con credenciales que ya aparecieron en filtraciones. Esas cuentas quedan expuestas a explotación, y sin visibilidad sobre ese riesgo la respuesta termina siendo una apuesta.

Mientras tanto, los equipos de TI siguen enfrentando el impacto operativo de restablecimientos innecesarios sin atacar la causa raíz. Sin capacidad para detectar credenciales expuestas, la organización termina gestionando síntomas en lugar del problema de fondo, y el ciclo de incidentes continúa.

En ese contexto, herramientas como Specops Password Policy aportan una capa de control más efectiva. Su función Breached Password Protection analiza continuamente las cuentas de usuario contra una base de datos de más de 5.800 millones de contraseñas comprometidas. Si una contraseña aparece en esa base, se pueden activar alertas personalizables para que el usuario la cambie, reduciendo la ventana de oportunidad para que un atacante abuse de esas credenciales.

Durante años, los restablecimientos forzados de contraseñas se consideraron una medida estándar de seguridad. En la práctica, suelen generar más problemas de los que resuelven.

Cuando se obliga a cambiar contraseñas cada 60 o 90 días, el comportamiento del usuario se vuelve predecible. Las personas hacen pequeñas modificaciones sobre la contraseña anterior o eligen una opción fácil de recordar bajo presión. El resultado no son credenciales más fuertes, sino contraseñas más vulnerables.

Además de debilitar los secretos, estos plazos fijos introducen interrupciones regulares en la jornada laboral. Cada restablecimiento es un posible bloqueo adicional y una entrada más en la cola de tickets que consume recursos sin mejorar realmente la postura de seguridad.

Por eso, guías como las de NIST han dejado de recomendar cambios periódicos obligatorios y se orientan a restablecer contraseñas solo cuando existe evidencia de compromiso. Aunque eliminar por completo los cambios de contraseña requiere evaluación cuidadosa, esta evolución normativa invita a replantear las fechas de expiración arbitrarias.

A veces se trata a las contraseñas como un problema heredado que debería reducirse al avanzar hacia autenticación sin contraseña. Sin embargo, siguen siendo una base de la seguridad de identidad. Si esa base es débil, el impacto se extiende a toda la organización.

Las contraseñas comprometidas o demasiado simples introducen riesgo en la capa de identidad, donde un atacante puede obtener acceso legítimo y moverse lateralmente sin activar alarmas inmediatas.

Al imponer requisitos sólidos y fáciles de usar, y al identificar credenciales expuestas con anticipación, se reducen los puntos de entrada débiles en el entorno. Esto es especialmente importante a medida que las organizaciones evolucionan sus estrategias de autenticación.

La autenticación sin contraseña también depende de una base de credenciales robusta. Sin un piso sólido, los problemas existentes pueden trasladarse a nuevos sistemas.

Menos cuentas comprometidas significan menos incidentes, menos tiempo de remediación y menos interrupciones en la operación diaria.

Los controles fuertes de contraseñas ayudan a reducir el riesgo, pero el verdadero retorno operativo está en disminuir el tiempo y los recursos dedicados a resolver un flujo constante de incidentes en toda la organización.

Si se consideran menos bloqueos, menos solicitudes de restablecimiento y menos tiempo invertido en credenciales comprometidas, el impacto se traduce en menos fricción diaria tanto para los equipos de TI como para los usuarios finales.

Si los incidentes recurrentes de credenciales ya son parte habitual de tu entorno, conviene revisarlo con más detalle.

Fuente:
https://thehackernews.com/2026/04/the-hidden-cost-of-recurring-credential.html

Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó un LLM, al ser una traducción automática puede contener errores gramaticales o de otro tipo, me pueden enviar un mensaje.

Comentarios

Publicar un comentario

Entradas más populares de este blog

Falsos sitios de DocuSign y Gitcode propagan NetSupport RAT mediante ataque PowerShell en múltiples etapas

-
Imagen
Cazadores de amenazas están alertando sobre una nueva campaña que utiliza sitios web falsos para engañar a usuarios desprevenidos y hacer que ejecuten scripts maliciosos de PowerShell en sus máquinas, infectándolas con el malware NetSupport RAT. El equipo de Investigaciones de DomainTools (DTI) informó que identificó “scripts PowerShell maliciosos en múltiples etapas” alojados en sitios trampa que se hacen pasar por Gitcode y DocuSign. “Estos sitios intentan engañar a los usuarios para que copien y ejecuten un script inicial de PowerShell desde el comando ‘Ejecutar’ de Windows”, indicó la empresa en un informe técnico compartido con The Hacker News. “Al hacerlo, el script de PowerShell descarga otro script que actúa como descargador y lo ejecuta en el sistema, lo que a su vez recupera cargas útiles adicionales y las ejecuta, instalando finalmente NetSupport RAT en las máquinas infectadas.” Ciberseguridad Se cree que estos sitios falsos se propagan mediante tácticas de ingeniería so...
Leer más

El FBI advierte sobre suplantación de correo electrónico por parte del actor de amenazas norcoreano Kimsuky

-
Imagen
El actor de amenazas norcoreano Kimsuky está aprovechando nuevas tácticas de suplantación de correo electrónico en sus recientes campañas de spearphishing, advirtieron conjuntamente el Buró Federal de Investigaciones (FBI), el Departamento de Estado de EE. UU. y la Agencia de Seguridad Nacional (NSA) el jueves en un aviso conjunto . Kimsuky, también conocido como Emerald Sleet o APT43, es una subunidad de la Oficina General de Reconocimiento (RGB) del ejército norcoreano y es conocido por sus campañas de spearphishing destinadas a recopilar inteligencia sobre asuntos que afectan los intereses norcoreanos. Esto incluye información sobre eventos geopolíticos y las estrategias de política exterior de los adversarios de Corea del Norte. El modus operandi del grupo es hacerse pasar por periodistas legítimos, grupos de expertos, académicos y otros expertos en asuntos del este asiático, convenciendo a las víctimas de abrir enlaces o documentos maliciosos bajo el pretexto de ofrecer una entrev...
Leer más

Resumen de los Principales Acontecimientos en Ciberseguridad de 2024

-
Imagen
El año 2024 ha sido testigo de eventos significativos en el ámbito de la ciberseguridad, marcados por avances tecnológicos, amenazas emergentes y respuestas regulatorias. Aumento de los Ataques de Ransomware  The Verge El ransomware continuó siendo una amenaza predominante. Grupos como LockBit llevaron a cabo ataques a gran escala, afectando a más de 2,500 entidades en al menos 120 países, incluyendo 1,800 en los Estados Unidos. Estos ataques resultaron en pérdidas financieras significativas y comprometieron datos sensibles de diversas organizaciones. Avances en la Regulación y Responsabilidad de las Empresas Tecnológicas  The Verge La propuesta de la Ley de Seguridad en Línea para Niños (KOSA) en los Estados Unidos buscó aumentar la responsabilidad de las empresas de redes sociales en la protección de los menores en línea. Aunque enfrentó desafíos legislativos, reflejó una tendencia global hacia una mayor regulación de las plataformas digitales para salvaguardar a los usuario...
Leer más