En este momento estás viendo La recuperación de cuentas se convierte en una importante fuente de filtraciones de identidad de los empleados
Los sistemas de identidad diseñados para proteger las cuentas de los empleados aún pueden ser vulnerados cuando los atacantes explotan los flujos de trabajo de recuperación de cuentas, como el restablecimiento de contraseñas y la reinscripción en la autenticación multifactor (MFA).

La recuperación de cuentas se convierte en una importante fuente de filtraciones de identidad de los empleados

  • Autor de la entrada:
  • Categoría de la entrada:Análisis
  • Última modificación de la entrada:marzo 26, 2026

Algunas de las filtraciones de identidad más dañinas ocurren ahora después de iniciar sesión: durante el restablecimiento de contraseñas, la reinscripción a la autenticación multifactor (MFA) o las solicitudes rutinarias de recuperación al servicio de asistencia técnica. Muchas organizaciones han reforzado la seguridad de inicio de sesión con MFA y controles resistentes al phishing.

Estos flujos de trabajo rara vez se consideran eventos críticos para la seguridad. Los atacantes saben que las credenciales se pueden restablecer, la MFA se puede desactivar y los dispositivos se pueden reemplazar. No necesitan burlar la criptografía si logran convencer a un sistema o al servicio de asistencia técnica para que les permita el acceso.

Esta vulnerabilidad se ha explotado en la práctica. En una serie de incidentes ocurridos en 2025, importantes minoristas del Reino Unido, como Marks & Spencer, Harrods y Co-op Group, fueron blanco de atacantes que utilizaron ingeniería social para engañar al personal de asistencia técnica y lograr que restablecieran sus credenciales y eludieran las protecciones de MFA.

Las vías de recuperación existen porque las cosas fallan. Esto las convierte en el punto más vulnerable para explotar la confianza.

Cuando se analizan las brechas de seguridad a posteriori, la vulnerabilidad inicial suele rastrearse hasta una cuenta emitida legítimamente, protegida por autenticación multifactor (MFA) y que cumplía con las políticas. El fallo no se produjo al iniciar sesión, sino en cómo se restableció la identidad posteriormente.

¿Por qué los flujos de recuperación son estructuralmente débiles?.

La recuperación de cuentas está diseñada para ser rápida y sencilla, no para resistir amenazas. Como resultado, los flujos de recuperación suelen basarse en suposiciones que ya no son válidas:

  • La persona que solicita acceso actúa de buena fe.
  • La voz, el correo electrónico o el chat son canales fiables.
  • Las preguntas basadas en el conocimiento ofrecen una garantía significativa.
  • El personal de soporte técnico puede detectar el engaño con fiabilidad.

Estos mecanismos eran frágiles incluso antes de que los atacantes empezaran a usar IA. Hoy en día, representan una vulnerabilidad inminente.

La suplantación de identidad ya no requiere conjeturas. Los datos públicos, las credenciales comprometidas, las voces sintetizadas y los pretextos convincentes se pueden recopilar de forma rápida y económica. Las rutas de recuperación que dependen del juicio humano o de información estática son ahora la opción más fácil.

El servicio de asistencia técnica como autoridad de identidad.

Independientemente de si desean o no este rol, los equipos de asistencia técnica funcionan como autoridades de identidad de facto. Deciden quién recupera el acceso, qué autenticadores se restablecen y cuándo se conceden excepciones.

Esto coloca al personal de primera línea en una posición ingrata. Se les pide que verifiquen la identidad sin pruebas fiables, a menudo bajo presión de tiempo y utilizando canales que los atacantes pueden manipular fácilmente.

Incluso los equipos bien capacitados tienen dificultades. Los guiones y la capacitación ayudan a prevenir intentos poco sofisticados, pero no son suficientes contra la suplantación de identidad sofisticada. Cuando un atacante conoce la terminología interna, la estructura organizativa y la actividad reciente, la diferencia entre un empleado real y uno falso se vuelve prácticamente imposible de detectar sin pruebas más sólidas.

El restablecimiento de la autenticación multifactor (MFA) expone las brechas de seguridad de la identidad.

Si bien la MFA está ampliamente implementada en muchas organizaciones, su gestión durante la recuperación es mucho menos rigurosa. En muchos entornos, restablecer la MFA requiere poco más que responder preguntas, hacer clic en un enlace de correo electrónico o convencer a un agente de soporte. Una vez restablecida, los controles posteriores heredan esa confianza comprometida.

Por eso, las organizaciones sufren brechas de seguridad donde la autenticación multifactor (MFA) estaba habilitada pero resultaba ineficaz. El control existía, pero era más fácil sortearlo que superarlo. La autenticación robusta pierde su valor cuando los procesos de recuperación recrean la confianza desde cero en lugar de restablecerla.

¿Por qué la capacitación resulta insuficiente?.

Cuando se producen fallos en la recuperación, la respuesta instintiva es brindar más capacitación y procedimientos más estrictos. Estas medidas ayudan en cierta medida, pero no abordan el problema de raíz: la ausencia de evidencia de identidad verificable durante la recuperación.

Los humanos no son buenos detectando el engaño a gran escala, especialmente cuando los atacantes son pacientes, están preparados y son persistentes. La suplantación de identidad asistida por IA agrava aún más la situación, ya que la voz por sí sola ya no es prueba de identidad.

Mientras la recuperación dependa del juicio en lugar de la evidencia, seguirá siendo vulnerable.

Una identidad verificada debe ser reutilizable.

El fallo fundamental en la mayoría de los diseños de recuperación es que la verificación de identidad se trata como algo desechable. La identidad se verifica durante la incorporación, pero se descarta una vez que se emiten las credenciales.

Cuando se requiere recuperación, las organizaciones intentan reconstruir la confianza utilizando señales más débiles que las empleadas en el proceso de verificación original. Esta inversión carece de sentido. La recuperación no debe rebajar el nivel de exigencia; debe basarse en la evidencia de identidad más sólida disponible.

La garantía de identidad debe ser algo a lo que las organizaciones puedan recurrir de forma fiable, no algo que deba recrearse sobre la marcha bajo presión.

Esto no significa obligar a cada recuperación a una revisión manual ni añadir fricciones indiscriminadamente. Simplemente requiere diseñar sistemas en los que la identidad verificada pueda reafirmarse sin depender de la memoria, el secreto o la confianza en el canal.

Diseño de la recuperación para condiciones adversas.

Los flujos de trabajo de recuperación deben diseñarse partiendo de la base de que los atacantes los atacarán deliberadamente. Esto comienza por tratar los restablecimientos y las reinscripciones como eventos de alto riesgo, en lugar de rutinarios. Las acciones sensibles deben activar una verificación reforzada en función del contexto y el impacto, no de la conveniencia.

La recuperación de autoservicio puede seguir existiendo, pero debe preservar la garantía de identidad en lugar de debilitarla. De lo contrario, las organizaciones simplemente cambian el riesgo del servicio de asistencia técnica por el riesgo de la automatización. Igualmente importante, las acciones de recuperación deben ser auditables. Las organizaciones deben poder demostrar no solo que se restableció el acceso, sino también por qué y a quién.

Mientras la recuperación siga siendo el eslabón más débil, los atacantes continuarán eludiendo la autenticación robusta sin necesidad de atacarla directamente.

Etiquetas: , , , , , , , , , , ,