He aquí dos cifras que deberían molestar a todo el mundo: 92% de las organizaciones están implantando el uso sin contraseña. Sólo 7% se han quedado sin contraseña.
Esa brecha no es un problema tecnológico. Las herramientas existen. Las normas están maduras. La intención está ahí. El argumento comercial es claro: menos vulnerabilidades, menos costes, mejor experiencia del usuario. Y, sin embargo, la mayoría de las organizaciones siguen tecleando contraseñas todos los días.
¿A qué se debe este desfase?
Tal vez la paradoja de la adopción exista porque las organizaciones piensan que no disponen de datos suficientes para comprender nuestros complejos entornos: sistemas heredados, usuarios diversos y condiciones del mundo real incoherentes.
Las plataformas de identidad ya generan grandes cantidades de telemetría cada día: eventos de autenticación, patrones de acceso, tasas de fallos, señales de comportamiento. La mayoría de los equipos de seguridad consumen esos datos. Muy pocos los interrogan.
En la práctica, la telemetría de identidades suele utilizarse para auditorías e informes de cumplimiento, y ahí se queda. Lo que deja sin respuesta algunas de las preguntas más importantes, como por qué una organización se esfuerza por prescindir de las contraseñas:
- ¿Dónde tienen realmente dificultades los usuarios y por qué?
- ¿Dónde se rompe la confianza en la práctica?
- ¿Qué controles mejoran realmente los resultados?
En el último año me he dado cuenta de que los datos de identidad no son valiosos por sí solos. Sólo importan cuando conducen a la acción. Y son las preguntas adecuadas las que hacen aflorar las señales correctas que las organizaciones necesitan para impulsar esa acción.
Tomemos como ejemplo la adopción sin contraseña. Se reduce a tres preguntas:
La primera: ¿está disponible para todo el mundo el sistema sin contraseña?
No en teoría, en la práctica. La brecha entre lo que se despliega y lo que los usuarios pueden utilizar realmente suele ser mucho mayor de lo que sugieren los cuadros de mando. Las señales de esa brecha suelen aparecer donde los equipos no están buscando activamente.
La segunda: ¿pueden los usuarios acceder sin contraseña a todas partes?
¿Pueden los usuarios acceder a la ruta segura siempre que lo necesiten? Un único flujo de trabajo, sistema o excepción que obligue a buscar una solución puede paralizar la adopción del acceso sin contraseña. Los usuarios no piensan en sistemas, sino en experiencias.
La tercera: ¿funciona siempre la ausencia de contraseña?
No en la oficina, ni en un buen día, sino en todo momento, en todos los entornos en los que operan realmente sus usuarios. Los usuarios no recurren a las contraseñas porque las prefieran. Se retiran porque el camino seguro les falló cuando más importaba.
En Identiverse, explicaré cómo hacer preguntas de este tipo puede cambiar lo que se mide, dónde las señales engañan a los equipos y cómo remodelan lo que se construye.
En RSA, hemos puesto a prueba esta hipótesis. Implantamos el uso sin contraseña en todos los empleados, en todos los inicios de sesión y en todos los casos de uso. La empresa se convirtió en el banco de pruebas.
El objetivo era sencillo: 100% sin contraseña. Y creíamos que habíamos acertado.
Luego miramos la telemetría.
Los usuarios seguían tecleando contraseñas. Todos los días. A pesar del despliegue, la formación y la política.
Eso obligaba a plantearse una pregunta difícil: ¿por qué?
La única respuesta honesta era dejar de adivinar y empezar a seguir los datos.
Lo que sucedió a continuación modificó nuestras decisiones, políticas y diseño de productos y, finalmente, nos llevó a donde necesitábamos estar: sin contraseñas para nuestra plantilla global en diversos entornos. La Alianza FIDO documentó el viaje en un estudio monográfico, explicando las tecnologías, los retos y las lecciones aprendidas a lo largo del camino.
Aquí es donde cambia la historia. En 12 meses hemos alcanzado la adopción de 94% sin contraseña en toda nuestra plantilla mundial.
Al principio, parecía que lo difícil ya estaba hecho.
Pero la mayoría de las infracciones modernas no implican descifrar la autenticación. Implican eludirla. Ataques de fatiga de MFA, ingeniería social del servicio de asistencia y phishing selectivo impulsado por IA que se dirige a los procesos humanos en lugar de a los sistemas. En muchos incidentes recientes, los atacantes nunca tocaron la autenticación. La eludieron.
Filtraciones de datos en Caesars Entertainment Group, MGM Resorts, Marks & Spencer, y otras organizaciones nos obligaron a replantearnos dónde se rompe realmente la confianza en el viaje de la identidad.
Unas credenciales sólidas son necesarias, pero no suficientes.
Así que ampliamos nuestra telemetría más allá de la autenticación para abarcar todo el ciclo de vida de las credenciales, especialmente los flujos de trabajo de recuperación y acceso a cuentas.
Y una pregunta se convirtió en crítica:
¿Es más fácil la recuperación que el inicio de sesión?
Compartiré las señales que empezamos a rastrear a través de la recuperación, lo que revelaron y cómo el cierre de esa brecha cambió nuestra visión de la confianza continua.
En Identiverse, profundizaré en estas ideas. El uso de contraseñas fue nuestro campo de pruebas, pero hacer las preguntas correctas a la telemetría de identidad no tiene nada que ver con el uso de contraseñas, o no tiene nada que ver con el uso de contraseñas. sólo sin contraseña. Se aplica igualmente a la fatiga de la AMF, a las brechas de Confianza Cero o a cualquier iniciativa de seguridad que estés tratando de impulsar.
Únete a mi sesión el jueves 18 de junio a las 10.15 horas.
Entonces pásate por RSA en Stand Identiverse #1001 para ver cómo RSA ofrece la ausencia de contraseñas para todos los usuarios, en todos los entornos, para todos los casos de uso y para demostrar cómo RSA Live Verify ayuda a cerrar la brecha de recuperación de la que hemos estado hablando.
