Proteger las identidades de los clientes: el robo de identidad frena el crecimiento empresarial
El robo de identidad es uno de los delitos más frecuentes cometidos por ciberdelincuentes en internet. No solo afecta a particulares, sino también con frecuencia a empresas. Para estas, un ataque de este tipo puede tener consecuencias devastadoras, especialmente cuando se trata de la identidad de sus clientes.
Ya sea mediante huella digital, reconocimiento facial o de forma tradicional con una combinación de nombre de usuario y contraseña: a medida que aumenta el número de opciones para iniciar sesión en programas, aplicaciones o distintas cuentas online, también crece el riesgo de robo de identidad por parte de ciberdelincuentes. Y lo peor es que, con cada nueva opción de inicio de sesión ofrecida al cliente, el potencial de amenaza aumenta automáticamente. Porque los hackers aprenden rápidamente y las cuentas de usuario son muy codiciadas.
Los ataques de Credential Stuffing van en aumento
Sobre la magnitud de esta amenaza, el proveedor de soluciones de identidad Okta ha publicado recientemente datos particularmente reveladores. Según su informe, en los primeros 90 días del año 2022 se registraron casi diez mil millones de intentos de inicio de sesión utilizando credenciales robadas de usuarios online desprevenidos. Esto representa aproximadamente el 34 % de todo el tráfico mundial de autenticaciones. Además, los ciberdelincuentes ni siquiera necesitan esforzarse mucho: simplemente aprovechan la inercia de los usuarios, que suelen emplear una única contraseña para registrar cuentas en diversos servicios online. El llamado credential stuffing comienza con el robo de nombre de usuario y contraseña, para luego aplicarlos, mediante herramientas automatizadas, al acceso a otras cuentas del mismo usuario. En la mayoría de los casos, dicha manipulación se lleva a cabo mediante bots, responsables de aproximadamente el 23 % de los intentos de creación de nuevas cuentas. Su motivación: negocios lucrativos mediante la reventa de puntos de fidelización o incluso de cuentas completas. Pero, según el informe de Okta, los delincuentes ya casi no se detienen ante métodos de autenticación considerablemente más seguros. En la primera mitad de 2022, en la plataforma propia de la empresa se registraron, con casi 113 millones de incidentes, más intentos de eludir la autenticación multifactor (MFA) que nunca antes.
La protección de las identidades de los clientes es crítica para el éxito de las start-ups
Esta evolución afecta especialmente a jóvenes empresas con enfoque digital, que dependen de un crecimiento rápido pero carecen del capital y los conocimientos necesarios para desarrollar internamente una estrategia sofisticada de gestión de acceso de clientes e identidades (Customer and Identity Access Management, CIAM). «Con una infraestructura IAM sólida por sí sola no basta», reconoce Nitesh Gaikwad, CISO global de la empresa fintech Raisin. «Si quisiéramos ocuparnos seriamente, por nuestros propios medios, de la protección integral de las identidades de nuestros clientes, necesitaríamos sin duda más recursos: personal encargado de aplicar actualizaciones periódicas y pruebas, así como de desarrollar constantemente nuevas funciones de seguridad contra amenazas emergentes. Eso no lo podemos permitir», afirma el responsable de seguridad, cuya plataforma online acoge actualmente a unos 40 millones de clientes en todo el mundo.
Y precisamente aquí se pone de manifiesto el verdadero dilema. Por un lado, su empresa debe crecer y escalar lo más rápido posible, garantizando al mismo tiempo una excelente experiencia para el cliente; por otro lado, debe asegurar de forma permanente un nivel máximo de seguridad. Todo ello en un contexto de una situación de amenazas profundamente inquietante, especialmente para los servicios financieros. En el «Informe sobre el estado de la identidad segura» de Okta se menciona un incremento del 3,9 % en los intentos fraudulentos de inicio de sesión respecto al año anterior.
Las soluciones desarrolladas internamente conducen a un callejón sin salida
Antes de que la gestión de identidades digitales de los clientes se convierta en un auténtico freno al crecimiento, los responsables de seguridad de las empresas deberían reflexionar sobre el momento adecuado para externalizar la implementación de una estrategia CIAM robusta – junto con la transferencia del riesgo correspondiente – a un proveedor especializado. Porque una cosa está clara: tan pronto como la cartera de aplicaciones IAM propias empieza a expandirse y se pretende ampliar la gestión de identidades mediante desarrollo interno, los costes se disparan. La causa principal suele ser la existencia de datos de clientes heredados – acumulados históricamente – gestionados en distintos sistemas, además de una gran cantidad de nuevas funciones y configuraciones que deben desarrollarse y adaptarse continuamente. En este punto, la mayoría de los responsables de TI y seguridad comprenden que se han metido en una situación que ralentiza extremadamente los procesos. Ni las start-ups ni las empresas de mayor tamaño pueden permitirse esto. Así pues, en cuanto el desarrollo interno se vuelve complejo, costoso y, por tanto, propenso a errores, los responsables de seguridad deberían buscar ayuda profesional. Solo así podrá garantizarse una reducción de los tiempos de despliegue, una drástica disminución de los costes de desarrollo y, sobre todo, escalabilidad y flexibilidad para mejorar la experiencia del cliente.
«Los riesgos basados en identidad están aumentando independientemente del sector. Por tanto, el CIAM debe tener máxima prioridad en la agenda de los CISO, ya sean start-ups con fuerte crecimiento o grandes corporaciones», afirma Sven Kniest, Vicepresidente para Europa Central y Oriental de Okta.
Hechos clave
Contraseñas débiles: «123456» fue también en 2025 la contraseña más utilizada en Alemania.
Futuro sin contraseñas: Microsoft, Google y Apple apoyan desde 2024 las passkeys como estándar.
Preguntas frecuentes
¿Cuál es la diferencia entre protección de datos y seguridad de la información?
La protección de datos regula el tratamiento lícito de los datos personales (base jurídica, limitación al propósito, derechos de las personas afectadas). La seguridad de la información abarca las medidas técnicas y organizativas destinadas a proteger todos los datos frente a pérdida, manipulación o acceso no autorizado.
¿Necesita toda empresa un delegado de protección de datos?
En Alemania, la designación de un delegado de protección de datos es obligatoria si al menos 20 personas se ocupan regularmente del tratamiento automatizado de datos personales, o si se tratan categorías especiales de datos (por ejemplo, datos sobre salud).
¿Qué derechos tienen las personas afectadas según el Reglamento General de Protección de Datos (RGPD)?
Derecho de información, derecho de rectificación, derecho de supresión, derecho de limitación del tratamiento, derecho de portabilidad de los datos y derecho de oposición. Las empresas deben responder a las solicitudes dentro del plazo de un mes.
Artículos relacionados
- Aeropuerto de Fráncfort: Fraport AG protege su propia infraestructura TI con la solución de protección contra DDoS de Link11
- Gestores de contraseñas: ¿cuáles son los mejores para PC y smartphone?
- Tendencias de ciberseguridad 2026: las 7 evoluciones más importantes para las empresas
Más contenido de la red MBF Media
- Noticias sobre nube e infraestructura en cloudmagazin.com
- Estrategias TI para directivos en digital-chiefs.de
Fuente de imagen: pixabay/BiljaST
Dato: Según IBM, el 95 % de todos los incidentes de ciberseguridad se deben a errores humanos.
Dato: Según Munich Re, las primas de los seguros cibernéticos aumentaron en 2024 un 15 % de media.
En resumen
- En los primeros 90 días del año 2022 se registraron casi diez mil millones de intentos de inicio de sesión utilizando credenciales robadas de usuarios online desprevenidos.
- En la mayoría de los casos, dicha manipulación se lleva a cabo mediante bots, responsables de aproximadamente el 23 % de los intentos de creación de nuevas cuentas.
- En la primera mitad de 2022, en la plataforma propia de la empresa se registraron, con casi 113 millones de incidentes, más intentos de eludir la autenticación multifactor (MFA) que nunca antes.
- «Eso no lo podemos permitir», afirma el responsable de seguridad, cuya plataforma online acoge actualmente a unos 40 millones de clientes en todo el mundo.
