Con uno de cada tres ciberataques que ahora involucra cuentas de empleados comprometidas, las aseguradoras y los reguladores están haciendo mucho más hincapié en la postura de identidad al evaluar el riesgo cibernético.

Sin embargo, para muchas organizaciones, estas evaluaciones siguen siendo en gran medida opacas. Elementos como la higiene de las contraseñas, la gestión del acceso privilegiado y el alcance de la cobertura de la autenticación multifactor (MFA) influyen cada vez más en la forma en que el ciberriesgo y costos de seguro se evalúan.

Comprender los factores centrados en la identidad detrás de estas evaluaciones es fundamental para las organizaciones que buscan demostrar una menor exposición al riesgo y garantizar condiciones de seguro más favorables.

Por qué la postura de identidad ahora impulsa la suscripción

Con el costo promedio global de una violación de datos que alcanzó los 4,4 millones de dólares en 2025, cada vez más organizaciones recurren al seguro cibernético para gestionar la exposición financiera. En el Reino Unido, la cobertura ha aumentado desde 37% en 2023 a 45% en 2025, pero el aumento del volumen de siniestros está obligando a las aseguradoras a endurecer los requisitos de suscripción.

El compromiso de las credenciales sigue siendo una de las formas más confiables para que los atacantes obtengan acceso, aumentar los privilegios , y persisten en un entorno. Para las aseguradoras, fuerte controles de identidad reducen la probabilidad de que una sola cuenta comprometida pueda provocar interrupciones generalizadas o pérdidas de datos, lo que contribuye a tomar decisiones de suscripción más sostenibles.

Qué quieren ver las aseguradoras en materia de seguridad de identidad

Higiene de contraseñas y exposición de credenciales

A pesar del creciente uso de la autenticación multifactorial y iniciativas sin contraseña , las contraseñas siguen desempeñando un papel clave en la autenticación. Las organizaciones deben prestar especial atención a los comportamientos y los problemas que aumentan el riesgo de robo y abuso de credenciales, entre ellos:

  • Reutilización de contraseñas en todas las identidades , en particular entre los organismos administrativos o cuentas de servicio , aumenta la probabilidad de que una credencial robada conduzca a un acceso más amplio.
  • Protocolos de autenticación antiguos siguen siendo comunes en las redes y con frecuencia se abusa de ellos para obtener credenciales. El NTLM persiste en muchos entornos a pesar de haber sido reemplazado funcionalmente por Kerberos en Windows 2000.
  • Cuentas inactivas con credenciales válidas, que actúan como puntos de entrada no supervisados y, a menudo, retienen el acceso innecesario.
  • Cuentas de servicio con contraseñas que nunca caducan , creando rutas de ataque duraderas y de baja visibilidad.
  • Credenciales administrativas compartidas , reducen la rendición de cuentas y amplifican el impacto del compromiso.

Desde la perspectiva de la suscripción, la evidencia de que una organización comprende y gestiona activamente estos riesgos suele ser más importante que la presencia de controles técnicos individuales. Auditorías periódicas de la higiene de las contraseñas y la exposición de credenciales ayudan a demostrar la madurez y la intención de reducir el riesgo impulsado por la identidad.

Administración de acceso privilegiado

Administración de acceso privilegiado es una medida fundamental de la capacidad de una organización para prevenir y mitigar las infracciones. Las cuentas privilegiadas pueden tener un acceso de alto nivel a los sistemas y los datos, pero con frecuencia tienen permisos excesivos. Como resultado, las aseguradoras prestan mucha atención a la forma en que se administran estas cuentas.

Las cuentas de servicio, los administradores de la nube y los privilegios delegados fuera de la supervisión central aumentan significativamente el riesgo. Esto es especialmente cierto cuando operan sin MFA o registro .

El número excesivo de miembros en funciones de administrador de dominio o administrador global y la superposición de ámbitos administrativos sugieren que la escalada de privilegios sería rápida y difícil de contener.

El acceso privilegiado desconocido o mal gobernado generalmente se considera un riesgo mayor que el de un número reducido de administradores estrictamente controlados. Los equipos de seguridad pueden usar herramientas como Auditor de contraseñas Specops para identificar cuentas administrativas obsoletas, inactivas o con privilegios excesivos y priorizar la corrección antes de que se abuse de esas credenciales.

Auditor de contraseñas Specops - Panel de control

A la hora de determinar la probabilidad de que se produzca una infracción perjudicial, la pregunta es sencilla: si un atacante compromete una sola cuenta , ¿con qué rapidez pueden convertirse en administradores? Cuando la respuesta es «inmediatamente» o «con un esfuerzo mínimo», las primas tienden a reflejar esa exposición.

Cobertura de MFA

La mayoría de las organizaciones pueden afirmar de manera creíble que Se ha implementado la MFA. Sin embargo, la MFA solo reduce significativamente el riesgo cuando se aplica de manera consistente en todos los sistemas y cuentas críticos. En un caso documentado, el Ciudad de Hamilton se le negó el pago de un seguro cibernético de 18 millones de dólares tras un ataque de ransomware porque la MFA no se había implementado completamente en todos los sistemas afectados.

Mientras La MFA no es infalible , los ataques de fatiga primero requieren credenciales de cuenta válidas y, después, dependen de que un usuario apruebe una solicitud de autenticación desconocida, un resultado que dista mucho de estar garantizado.

Mientras tanto, las cuentas que se autentican mediante protocolos antiguos, cuentas de servicios no interactivos o funciones privilegiadas exentas por conveniencia ofrecen rutas de desvío viables una vez que se logra el acceso inicial.

Por eso, las aseguradoras exigen cada vez más la MFA para todas las cuentas privilegiadas, así como para el correo electrónico y el acceso remoto. Las organizaciones que la descuiden pueden enfrentarse a primas más altas.

Cuatro pasos para mejorar la puntuación cibernética de su identidad

Hay muchas maneras en las que las organizaciones pueden mejorar la seguridad de la identidad, pero las aseguradoras buscan pruebas de progreso en algunas áreas clave:

  1. Elimine las contraseñas débiles y compartidas: Haga cumplir los estándares mínimos de contraseñas y reducir la reutilización de contraseñas , en particular para las cuentas administrativas y de servicios. La estricta higiene de las contraseñas limita el impacto del robo de credenciales y reduce el riesgo de que se produzcan movimientos laterales tras el acceso inicial.
  2. Aplique la MFA en todas las rutas de acceso críticas: Asegúrese de que se aplique la MFA en acceso remoto, aplicaciones en la nube, VPN y todas las cuentas privilegiadas. Las aseguradoras esperan cada vez más que la cobertura de la MFA sea integral y no que se aplique de forma selectiva.
  3. Reduzca el acceso privilegiado permanente: Limitar los derechos administrativos permanentes siempre que sea práctico, y adopte el acceso justo a tiempo o con plazos limitados para las tareas más exigentes. Un menor número de cuentas privilegiadas que estén siempre activas reduce directamente el impacto de comprometer las credenciales.
  4. Revise y certifique periódicamente el acceso: Realice revisiones rutinarias de los permisos de usuario y privilegiados para garantizar que se ajusten a las funciones actuales. Acceso obsoleto y las cuentas huérfanas son señales de alerta comunes en las evaluaciones de los seguros.

Las aseguradoras esperan cada vez más que las organizaciones demuestren no solo que existen controles de identidad, sino que se supervisan activamente y mejoran con el tiempo.

Auditor de contraseñas Specops respalda esto al proporcionar una visibilidad clara de la exposición de contraseñas en Active Directory y al aplicar controles que reducen el riesgo basado en las credenciales.

Para comprender cómo se pueden aplicar estos controles en su entorno y cómo se pueden alinear con las expectativas de la aseguradora, hable con un experto de Specops o solicita una demostración en vivo.

¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.