El exceso de accesos de invitados sin controlar vulnera la seguridad en la nube de las empresas medianas
728 x 90 px
De cada diez cuentas registradas en las herramientas de software como servicio (SaaS) que emplean las organizaciones modernas, aproximadamente siete corresponden a accesos de invitados externos que no poseen una licencia corporativa formal. Esta es una de las principales conclusiones cuantitativas que arroja el Reporte de Seguridad SaaS 2026 elaborado por la firma Kaseya, un análisis de infraestructura digital que sitúa a la confianza desmedida y a la falta de depuración de credenciales inactivas como los principales vectores de explotación utilizados por los ciberdelincuentes para vulnerar bases de datos corporativas.
Para el tejido empresarial en Colombia y la región de América Latina, este comportamiento operativo representa una advertencia crítica. Durante los procesos de digitalización acelerada, los equipos de trabajo locales han integrado de forma masiva plataformas de almacenamiento y mensajería para colaborar con proveedores externos, consultores independientes o agencias de publicidad. Sin embargo, este dinamismo operativo suele descuidar la gobernanza de las identidades digitales, dejando canales de acceso permanentes que los atacantes pueden explotar de forma remota sin necesidad de romper las defensas perimetrales tradicionales de la organización.
La proliferación de accesos no gestionados en entornos corporativos
Al observar el funcionamiento diario de las pequeñas y medianas empresas en el entorno local, es común ver que las gerencias autorizan la creación rápida de usuarios temporales para agilizar la entrega de proyectos de consultoría o contabilidad. No es raro encontrar carpetas compartidas en servidores remotos cuyos enlaces de descarga siguen activos meses después de que la relación comercial con el proveedor haya concluido. Suele ocurrir que las organizaciones no dispongan de un inventario unificado de quiénes tienen autorización para leer o modificar su información confidencial, lo que debilita significativamente la seguridad en la nube de toda la cadena de valor.
(Automático aquí)
El estudio de Kaseya basó sus métricas en el seguimiento de más de 27.600 millones de eventos de seguridad registrados en las aplicaciones SaaS de 50.000 organizaciones configuradas como pymes. La muestra abarcó el comportamiento de 6,2 millones de cuentas de usuarios finales administradas por unos 5.400 socios de servicios de TI gestionados (MSP). El hallazgo más relevante apunta a que las cuentas de invitados no reguladas equivalen al 69% del universo monitoreado, sumando 4,3 millones de perfiles frente a solo 1,9 millones de usuarios con licencia activa y plenamente identificados por los administradores de sistemas.
Automatización con inteligencia artificial e identidades de máquina
La evolución de las amenazas informáticas se apoya actualmente en el uso de la automatización para rastrear puertos abiertos y cuentas huérfanas en la red. Los ciberdelincuentes emplean sistemas automatizados para localizar de manera instantánea aquellos perfiles de invitados que han quedado inactivos o cuyas contraseñas no han sido actualizadas en años. Una vez detectados, estos puntos de acceso olvidados se convierten en vías de entrada rápidas que superan la velocidad de respuesta de las auditorías manuales que realizan los equipos de soporte técnico internos.
A este factor se suma la proliferación de integraciones de aplicaciones mediante el protocolo de autorización abierta OAuth. Al conectar herramientas complementarias de productividad basadas en inteligencia artificial, el sistema genera tokens de acceso persistentes en lugar de solicitar credenciales convencionales. Esto permite que una aplicación externa conserve el permiso de lectura de correos o archivos de forma indefinida, incluso si el usuario original cambia su contraseña de acceso. De acuerdo con los registros del reporte de Kaseya, el inicio de sesión de estas entidades de servicio o identidades no humanas ya representa el 20% de las alertas de seguridad de nivel crítico notificadas a los administradores.
El bypass de las defensas tradicionales de geolocalización
Las medidas de protección convencionales, como restringir el inicio de sesión a direcciones IP provenientes de un país o región específica, han perdido efectividad ante la sofisticación de las técnicas de suplantación de identidad. Los atacantes evaden estas reglas de geolocalización redirigiendo su tráfico de datos a través de servidores virtuales privados (VPN) y centros de datos de confianza que simulan estar ubicados en zonas autorizadas por la empresa.
Fuera de la región de América del Norte, el 44% de los accesos sospechosos no autorizados se originó desde infraestructuras corporativas legítimas y centros de servicios de soporte ubicados en países como India (14%), Filipinas (10%), Alemania (7%), Reino Unido (7%) y Países Bajos (6%). Este camuflaje digital permite que los intrusos realicen descargas masivas de información confundiéndose con el tráfico ordinario de los empleados.
La vulnerabilidad se acentúa por la debilidad en la configuración de las medidas de doble factor de autenticación. Los datos consolidados revelan que el 56% de las cuentas examinadas carecía de una verificación de identidad multifactor activa y solo el 27% de las pequeñas y medianas empresas exigía el uso obligatorio de este protocolo de seguridad a nivel general para todo su personal.
Fuga de información en suites de oficina y saturación de notificaciones
La exposición de datos sensibles sigue siendo alta en las suites de productividad más utilizadas en el entorno corporativo. En plataformas como Microsoft 365, casi la mitad (45%) de todos los documentos y carpetas que los empleados comparten se envían a remitentes o plataformas externas a la organización original, lo que dificulta el rastreo de fugas de información confidencial o secretos industriales una vez que el archivo sale del dominio de la compañía.
Por último, los responsables de la seguridad informática de las empresas deben lidiar con una saturación constante de notificaciones que entorpece las labores de respuesta oportuna. Aunque el 98,9% de los eventos de seguridad detectados por las herramientas de monitoreo SaaS Alerts durante el periodo analizado correspondieron a incidencias de baja gravedad, las organizaciones tuvieron que procesar y descartar más de 278 millones de alertas catalogadas con niveles de severidad media y crítica.
Para corregir estas brechas operativas en la infraestructura, se aconseja a las áreas de TI migrar desde las defensas de red estáticas hacia políticas de gobernanza activa de identidades. Esto implica auditar periódicamente los permisos otorgados a terceros, revocar los tokens persistentes de herramientas que ya no se utilicen y establecer sistemas de monitoreo conductual capaces de detectar descargas anómalas de archivos dentro de cuentas que formalmente gozan de plena confianza en la organización.
