Una de las principales fuentes de problemas en la ciberseguridad es la mala administración de credenciales. El informe CrowdStrike 2025 Global Threat Report señala que, en 2024, el 52% de los ciberataques involucraron un robo de credenciales. De hecho, en tres de cada cuatro de dichos ataques, los hackers ni siquiera necesitaron malware. Les bastó con usar ingeniería social —con el phishing potenciado por inteligencia artificial (IA) a la cabeza— para hacerse de las identidades necesarias.
Ahora bien, es común recurrir a soluciones IAM (Identity and Access Management) para la administración de credenciales. Sin embargo, suelen verse derrotadas por políticas de seguridad deficientes. A ello se suma que no es raro que se mantengan activas cuentas innecesarias con permisos excesivos.
Dado que no es posible evitar por completo los engaños de la ingeniería social —o los descuidos de los usuarios—, la mejor solución es implementar una estricta administración de credenciales. Esto pasa por fortalecer la gobernanza de datos en las organizaciones de salud.
Esto se vuelve urgente porque en muchas instituciones, en un momento dado, están activas numerosas cuentas. Aunque la mayoría está en uso, casi invariablemente existen otras olvidadas. Y pueden permanecer así durante mucho tiempo, lo cual implica un riesgo importante para la ciberseguridad. Evitar que eso suceda pasa por gobernarlas adecuadamente con una sólida administración de credenciales.
Por supuesto, no todas las cuentas son creadas iguales. Mientras más privilegios tengan, mayor es el peligro en caso de que se vean comprometidas. Por ello, es necesario establecer perfiles básicos con privilegios mínimos a los que deberá sujetarse cada cuenta nueva. Eso debe incluir un parámetro que limite su vigencia para atajar la posibilidad de que permanezcan activas las cuentas abandonadas.
El valor de la administración de credenciales
Una buena manera de comenzar a poner orden en la administración de credenciales pasa por localizar todas las cuentas que tienen acceso a la administración de los recursos de TIC. Se debe identificar quiénes son los usuarios y los privilegios que tienen.
El resto de las cuentas deben catalogarse en grupos de usuarios y asignarles un perfil con privilegios mínimos. Por supuesto, una tarea así implica la creación de roles bien definidos y asignarles permisos de manera conservadora.
Evidentemente, cada usuario puede requerir accesos muy específicos; sin embargo, para obtenerlos debe gestionarlos con los responsables de llevar el control adecuado para no perderles la pista. Dado que es imposible que una sola persona conozca al detalle todos los roles posibles, deben establecerse criterios muy claros para usarlos como guía.
Lograrlo demanda la colaboración de todos los departamentos de la organización, es complicado y consume mucho tiempo. Sin embargo, al final el equipo de TIC podrá contar con una lista completa de reglas para regular los permisos adicionales, ya sean temporales o permanentes.
Aunque el otorgamiento de permisos extra puede automatizarse, no conviene dejar de lado la supervisión humana. De hecho, deben realizarse inspecciones regulares para asegurar que las reglas se apliquen correctamente.
Ahora bien, lograr una buena administración de credenciales suele ser agobiante cuando se trata de cuentas ya existentes. Incluso puede ser necesario que las organizaciones grandes deban contratar servicios externos, pues el personal de TIC simplemente no se daría abasto para la tarea. Sin embargo, el costo de hacerlo suele ser mucho menor que el de sufrir un ciberataque que puede resultar devastador.
