Ciberseguridad: Un partido de ajedrez en empresas argentinas digitalizadas.
La ciberseguridad es, sin exagerar, una partida de ajedrez con apuestas altísimas para las empresas argentinas. Cada movimiento cuenta, y un solo error puede poner en jaque no solo la continuidad de un negocio, sino también su reputación, sus finanzas y la confianza de sus clientes.
Hace unos años, la autenticación era como un simple peón en este tablero: usuario, contraseña y listo. Era una formalidad que muchos subestimábamos. Hoy, es el rey del tablero, y la verdad es que un error en este frente significa la derrota total.
¿Sabés qué me voló la cabeza cuando empecé a investigar este tema? Que el 71% de los ciberataques arrancan con credenciales robadas. Y acá va el dato que te va a hacer replantear todo: de media, una brecha de seguridad puede costarte 4.62 millones de dólares. Sí, leíste bien. Por eso digo que la autenticación ya no es un simple paso más en el proceso, es literalmente una cuestión de supervivencia empresarial.
El documento “Authentication Secure by Design” se convirtió en mi biblia para entender esta guerra digital. No es uno de esos manuales técnicos aburridos que te duermen de parado, sino una hoja de ruta que explora diez frentes clave de la autenticación moderna. Va desde la visión utópica de un mundo sin contraseñas hasta la gestión de los accesos más sensibles que tenés en tu empresa.
Lo que más me gustó de este enfoque es que te enseña algo fundamental: la seguridad no es un parche que ponés al final cuando ya está todo hecho, sino que tiene que ser el cimiento de cualquier operación digital que te tomes en serio.
Adiós a las contraseñas: FIDO2 y la magia de tener algo en vez de recordar algo
¿Te imaginás no tener que memorizar nunca más una contraseña? Olvídate de esas combinaciones raras con símbolos que después no te acordás ni dónde los pusiste. Ese es el futuro que propone el estándar FIDO2/WebAuthn, y te aseguro que cuando lo entendés, se te vuela la peluca.
Esta tecnología cambia el juego por completo. Pasa del clásico “¿cuál era mi contraseña de la tarjeta de crédito?” al más simple “tengo algo acá que prueba que soy yo”.
En lugar de una clave que podés olvidar (y que seguramente vas a olvidar) o que te pueden afanar, usás una clave criptográfica que está guardada en algo físico y personal tuyo: tu celular, tu computadora o uno de esos tokens de seguridad que parecen sacados de una película de James Bond.
El sistema funciona con una lógica bastante elegante de desafío y respuesta. El servidor de la empresa, que los técnicos llaman Relying Party Server (pero pensalo como el portero digital de tu oficina), te lanza un desafío matemático. Tu dispositivo, que puede tener un lector de huellas digitales o un chip de seguridad TPM, responde firmando ese desafío sin revelar jamás su clave secreta.
Es como si alguien te pidiera que firmes un papel, pero en lugar de mostrar tu firma verdadera, usaras una firma especial que solo vos podés hacer y que cambia cada vez. El servidor después comprueba que esa firma es válida usando el Metadata Service de FIDO, que es como un servicio de certificación que te confirma que el dispositivo es legítimo y no una chancha.
Pero ojo, porque acá es donde la cosa se pone turbia. Los hackers no se quedaron de brazos cruzados viendo cómo les arruinábamos la fiesta. Hay un ataque sofisticado que se llama PoisonSeed que es como un ninja digital: se mete entre vos y el servidor, intercepta el desafío y lo manipula para que, sin que te des cuenta, te autentiques de una forma más débil. Si caés en la trampa (y es fácil caer porque es súper sutil), el atacante se queda con tu sesión y tiene control total de tu cuenta.
¿Cómo te defendés de esta movida? Primero, y esto es clave, asegurándote de que tu servidor sea un ortiva y solo acepte dispositivos que estén verificados a través del Metadata Service.
Segundo, implementando algo que suena técnico pero es genial: la autenticación continua. Esto es como tener un guardia de seguridad que te está mirando todo el tiempo, pero de manera inteligente. El sistema analiza cómo te comportás: cómo escribís, cómo movés el mouse, si de repente te conectás desde un dispositivo que nunca antes habías usado. Si algo le huele raro, te pide que te vuelvas a autenticar o directamente te echa del sistema.
MFA: Tu escudo contra el phishing (pero no cualquier MFA)
La autenticación multifactor ya es tan fundamental como ponerse el cinturón de seguridad cuando subís al auto: todos sabemos que hay que usarla, pero no todos entienden que no todos los MFA son iguales.
Acá viene la parte que me hizo dar cuenta de que venía haciendo las cosas mal. Los códigos que te llegan por SMS o esas aplicaciones que generan contraseñas de un solo uso (TOTP) están buenos, pero son vulnerables a ataques de phishing súper avanzados. Hay uno que se llama Evilginx3 que literalmente copia tus credenciales y tokens en tiempo real mientras vos creés que estás entrando al sitio verdadero.
Y después está esta técnica nueva que es pura guerra psicológica: el bombardeo de notificaciones. Los hackers te llenan el celular de alertas de autenticación hasta que, podrido o por error, terminás apretando “Aceptar”. No te rías, porque este ataque tiene una tasa de éxito del 87% cuando no tenés las defensas correctas. Es como cuando tu hermano chico te insiste tanto con algo que al final le decís que sí para que se calle.
La solución no es un MFA cualquiera, sino uno que sea inteligente y vincule criptográficamente el token a una sesión específica y al sitio web correcto.
Así, si un hacker te roba un token en una página falsa, no le va a servir para nada en el sitio web verdadero. También podés usar algo que se llama autenticación adaptativa, que es como tener un detective digital trabajando las 24 horas.
Este sistema analiza desde dónde te conectás, qué dispositivo estás usando, y si algo no cuadra (ponele que de repente aparecés conectándote desde Rusia con un celular que nunca había visto), te pide un paso extra, como tu huella digital o una pregunta de seguridad.
SSO: La comodidad que puede costarte cara
El Inicio de Sesión Único (SSO) con protocolos como SAML es genial en teoría: te autenticás una vez y accedés a todo.
Es el sueño de cualquier empleado que se cansó de tener 47 contraseñas diferentes. Pero acá hay una trampa que me costó entender al principio: es como darle a alguien una llave maestra de tu casa. Si la pierde o se la roban, los chorros pueden entrar por todas las puertas.
Hay un ataque particularmente muy, pero muy turro que se llama XML Signature Wrapping (XSW). Funciona así: un hacker intercepta una respuesta SAML legítima (que es como el pase que te da el sistema para entrar), le mete una orden falsa escondida (tipo “dame permisos de administrador de todo”) y la “envuelve” dentro del paquete original.
Si el servidor no es estricto con las validaciones, se la cree y le da al atacante control total del sistema. Es como si alguien falsificara tu documento de identidad metiéndole datos truchos pero manteniendo la foto y el sello oficial.
Para evitar que te pase esto, necesitás un validador de SAML que sea un portero rompepelotas: tiene que chequear que la firma cubra toda la respuesta, no puede aceptar paquetes que tengan más de una orden, y tiene que verificar que el token sea específicamente para el servicio correcto.
En las empresas argentinas, donde la eficiencia es clave para poder competir (porque la realidad es que no sobra la plata para andar perdiendo tiempo), el SSO es una herramienta valiosa, pero tiene que implementarse con un nivel de seguridad que no dé lugar a dudas.
Certificados Digitales: El DNI de tus dispositivos
La Autenticación Basada en Certificados (CBA) es como darle un DNI digital a cada uno de tus dispositivos. En lugar de andar con contraseñas que se pueden olvidar o adivinar, tu dispositivo tiene una identidad criptográfica sólida como una roca, emitida por una Autoridad de Certificación que funciona como el Registro Civil digital.
Pero como todo en este mundo de la ciberseguridad, no es infalible. Me topé con casos de clonación de certificados que te hielan la sangre: si un hacker logra copiar tu “credencial digital”, puede hacerse pasar por vos en una transacción crítica sin que nadie se dé cuenta.
Peor todavía, si logran atacar a la Autoridad de Certificación, es como si un delincuente se infiltrara en el Registro Civil para empezar a emitir documentos falsos. Si eso pasa, la confianza en toda la cadena se va al carajo.
Para que no te pase esto, no alcanza con instalar certificados y listo. Tenés que verificar toda la cadena de confianza, desde el certificado intermedio hasta la raíz. Cada eslabón tiene que ser revisado para confirmar que la firma digital es válida y que no se metió ningún certificado trucho en el medio. Además, necesitás mecanismos de chequeo en tiempo real, como OCSP o CRL, que te dicen si un certificado fue revocado porque algo salió mal.
Otra práctica que me parece fundamental es el device binding, que ata el certificado a un dispositivo específico. Si un atacante te roba el archivo del certificado, no va a poder usarlo en otra computadora porque el sistema se va a dar cuenta de que algo no coincide. Para las empresas argentinas, en un contexto donde la digitalización se aceleró (pensá en la banca en línea, los portales de compras estatales, los trámites digitales), adoptar la CBA no es una opción, es una necesidad urgente.
PAM: Cuidando las joyas de la corona digital
Las cuentas con privilegios son literalmente las joyas de la corona de tu empresa, y los hackers las persiguen como Gollum perseguía el anillo.
Estamos hablando de accesos que te permiten entrar al corazón de la organización: servidores críticos, bases de datos con información sensible de clientes, la infraestructura en la nube donde está todo tu negocio.
Si un atacante logra apoderarse de una de estas cuentas, puede moverse por toda tu red como Pedro por su casa y causar daños que te van a doler en el alma y en el bolsillo.
Las soluciones tradicionales de Privileged Access Management (PAM) guardan las contraseñas en lo que llaman “bóvedas seguras”. Suena bien en teoría, pero me di cuenta de que esta estrategia se volvió insuficiente: si los atacantes logran encontrar esa bóveda (y créeme que lo intentan con ganas), obtienen todas las credenciales centralizadas en un solo lugar.
Es como tener un cofre del tesoro que, en lugar de protegerte, se convierte en el blanco perfecto para los piratas digitales.
Acá es donde entra algo que me cambió la forma de ver la seguridad: el enfoque Zero Trust PAM. Este modelo rompe completamente con el paradigma de las contraseñas fijas que duran meses o años.
En lugar de almacenar credenciales largas y permanentes que después todos usan y comparten, este sistema genera credenciales dinámicas y temporales que duran exactamente lo que necesitás para hacer una tarea específica.
Cuando terminás, la clave desaparece como si nunca hubiera existido. Incluso si un atacante logra interceptarla, para cuando se quiere conectar, ya no le sirve más.
Este sistema también tiene algo que me parece genial: graba absolutamente todo lo que hace el usuario con privilegios. Cada comando que ejecuta, cada archivo que abre, cada movimiento que hace queda registrado para auditorías y cumplimiento de normativas.
La inteligencia artificial también juega un papel clave acá, detectando patrones raros en tiempo real. Si un administrador se conecta desde un país donde la empresa no opera, o si de repente empieza a ejecutar comandos que nunca había usado antes, el sistema no solo te manda una alerta, sino que corta la sesión al toque.
Para las empresas argentinas, que lamentablemente muchas todavía dependen de contraseñas compartidas que andan circulando por WhatsApp, migrar a este modelo es un cambio cultural importante. Pero también es la única forma real de blindarse contra las ciberamenazas que cada día se vuelven más sofisticadas.
ZTNA: La nueva realidad del teletrabajo seguro
Con todo el tema del teletrabajo que explotó después de la pandemia, el concepto de “oficina segura” se desvaneció como el humo. Antes, la seguridad se construía como un castillo medieval: tenías un foso alrededor y murallas altas, y los firewalls y las VPN tradicionales eran las barreras que mantenían a los intrusos afuera.
Pero la pandemia y la digitalización acelerada nos demostraron que ese modelo quedó más obsoleto que un celular con antena.
Ahora la fuerza laboral es híbrida y trabaja desde las casas, los cafés, los coworkings y con dispositivos personales (el famoso BYOD – Bring Your Own Device, que en criollo sería “traé tu propio quilombo”).
Una VPN tradicional crea un túnel seguro, está perfecto, pero no hace distinción: si lográs entrar al túnel, tenés acceso a buena parte de los sistemas internos de la empresa. Un dispositivo personal que no tiene los parches de seguridad al día puede convertirse en un caballo de Troya para toda la red corporativa.
Acá es donde entra el Zero Trust Network Access (ZTNA), que me parece una de las mejores evoluciones en seguridad que he visto.
En lugar de darte acceso total una vez que estás “adentro” del perímetro, ZTNA funciona como un guardia de seguridad súper meticuloso que revisa tu identidad y el estado de tu dispositivo cada vez que querés acceder a algo. No solo te pregunta quién sos, sino también si tu equipo está en condiciones seguras para conectarse.
¿Tenés un antivirus vencido hace tres meses? ¿Te falta una actualización crítica de seguridad? ¿Tu sistema operativo no se actualiza desde la época de Menem? Si algo no está en orden, directamente no te deja pasar.
Lo que más me gusta de ZTNA es que la seguridad es granular: en lugar de darte acceso a toda la red (como hacían las VPN tradicionales), te habilita solo y exclusivamente lo que necesitás para hacer tu trabajo específico. Esto reduce drásticamente la superficie de ataque.
Para las empresas argentinas – desde los bancos y las energéticas hasta las pymes que se digitalizaron de apuro durante la pandemia – esto es crucial para proteger la información y la reputación en un mundo donde el trabajo remoto ya no es una excepción, sino la norma.
El futuro que ya está acá
Multi-Tenant: Cada uno en su departamento
Los entornos multi-tenant, donde varias empresas comparten la misma infraestructura tecnológica, son súper eficientes desde el punto de vista económico.
Pero si no los gestionás bien, es como vivir en un edificio donde no hay paredes entre los departamentos: tu vecino se puede meter en tu casa cuando se le cante.
El riesgo más grande, y el que me quita el sueño cuando trabajo con estos entornos, es la falta de aislamiento entre inquilinos. Un error en la configuración y de repente la empresa A puede ver los datos de la empresa B.
La clave está en verificar estrictamente cada pedido para asegurarte de que el usuario está accediendo al “departamento” correcto. Los tokens de acceso tienen que estar limitados específicamente al inquilino, como un pase magnético que solo abre tu puerta y ninguna otra del edificio.
IAG: El administrador que mantiene todo en orden
La Gobernanza de Identidad y Acceso (IAG) es como el administrador del edificio digital que se encarga de mantener todo funcionando: la seguridad, el cumplimiento de las leyes (como GDPR o PCI DSS) y la eficiencia operativa. Si la IAG falla, es un quilombo bárbaro porque alguien se puede colar en el sistema y escalar privilegios hasta convertirse en administrador.
La solución que me funcionó mejor es automatizar completamente la gestión de identidades y hacer auditorías constantes para que todo esté siempre en regla. Nada de procesos manuales que dependen de que alguien se acuerde de hacer algo un viernes a las 6 de la tarde.
DID: El futuro descentralizado (pero con cuidado)
Las Identidades Descentralizadas (DID), que están basadas en tecnología blockchain, suenan como la panacea: es como tener tu propia billetera digital de identidad sin depender de Google, Microsoft o cualquier gran proveedor que te puede dejar colgado.
Suenan geniales en teoría, pero en el contexto empresarial hay que manejarlas con mucho cuidado. El problema principal es que si te roban las claves privadas, cagaste. No hay un “botón de recuperar contraseña” como estamos acostumbrados.
Necesitás una gobernanza sólida como una roca y un sistema de protección de llaves que no falle ni por casualidad.
La conclusión que cambia todo
En definitiva, me di cuenta de que la autenticación ya no es simplemente poner un usuario y contraseña como hacíamos en los 2000. Se convirtió en una disciplina completa, como armar una fortaleza digital que tiene que resistir ataques cada vez más sofisticados.
Las empresas argentinas que quieran sobrevivir en un mundo donde la confianza digital es más escasa que conseguir dólares al oficial, tienen que construir su seguridad desde cero, con cabeza fría y estrategia clara. No es algo que podés hacer a medias o “cuando tengamos tiempo”.
Es una inversión que hacés hoy para no tener que explicarle mañana a tus clientes por qué sus datos aparecieron en la dark web. Y créeme, esa conversación no la querés tener nunca.
Por Marcelo Lozano – General Publisher IT CONNECT LATAM
Lea más sobre Ciberseguridad en:
Campo de Batalla Algorítmico: La guerra superior 2025
Red Team 2025: cuando pensar como el enemigo, es seguridad
Zero Trust: Evaluando las Brechas de Seguridad 2025
PFA, GNA, PNA y otras policías en riesgo impactante en 2025
DEF CON 33: la AI da vida al hábil controlador fantasma
Empresas Argentinas, Empresas Argentinas, Empresas Argentinas, Empresas Argentinas, Empresas Argentinas, Empresas Argentinas, Empresas Argentinas, Empresas Argentinas, Empresas Argentinas, Empresas Argentinas, Empresas Argentinas, Empresas Argentinas, Empresas Argentinas, Empresas Argentinas, Empresas Argentinas, Empresas Argentinas, Empresas Argentinas, Empresas Argentinas, Empresas Argentinas, Empresas Argentinas, Empresas Argentinas, Empresas Argentinas, Empresas Argentinas, Empresas Argentinas, Empresas Argentinas, Empresas Argentinas, Empresas Argentinas,