El 48% de las aplicaciones empresariales almacena credenciales en texto claro

En el mundo actual de la ciberseguridad, la gestión de identidad y acceso (IAM) es uno de los pilares fundamentales para proteger la infraestructura de cualquier organización. Sin embargo, a pesar de la inversión en directorios, SSO, proveedores de identidad corporativos (IdP) y autenticación multifactor (MFA), siguen existiendo serias brechas que pueden pasar desapercibidas.

Más allá del IdP: el reto de la “materia oscura” de la identidad

Muchos responsables de seguridad confían en que, con los controles correctos sobre el IdP y MFA, su organización está a salvo. Sin embargo, la realidad es que existen riesgos inherentes en el propio entorno de aplicaciones empresariales. Existen prácticas como almacenar secretos hardcoded en archivos de configuración o código, el uso de identidades locales o flujos de autenticación que eluden los sistemas centralizados, y la existencia de aplicaciones huérfanas fuera de la gestión del directorio.

Estos elementos forman la llamada “materia oscura” de la identidad y representan vectores de ataque que los adversarios están explotando activamente.

Un estudio revela la magnitud de la brecha de seguridad

Un informe publicado recientemente por la firma independiente Orchid Security analizó la telemetría y el comportamiento de aplicaciones en organizaciones Fortune 500, abarcando diferentes industrias y regiones. El estudio revela datos preocupantes sobre el estado real de la seguridad de identidad en el entorno empresarial:

El 48% de las aplicaciones analizadas almacena credenciales hardcoded en texto claro, y un porcentaje aún mayor utiliza técnicas de hashing inseguras.
El 44% de las aplicaciones dispone de rutas de autenticación que eluden totalmente el proveedor de identidad corporativo (IdP).
Cerca del 40% carece de controles básicos como limitación de intentos, bloqueo de cuentas y políticas de complejidad de contraseñas.
El 37% hace uso de protocolos de autenticación obsoletos o propietarios, lo que dificulta su monitorización y defensa.
Otro 37% no aplica controles de acceso internos adecuados, debilitando el principio de privilegio mínimo tras el acceso inicial.

Consecuencias reales

Este tipo de brechas no son meramente teóricas. Fallos similares fueron explotados en incidentes recientes que afectaron a organizaciones tan diversas como PowerSchool o Jaguar Land Rover, donde bastó la filtración de un conjunto de credenciales para facilitar un acceso lateral grave.

Reflexión y recomendaciones

La lección principal es sencilla: los controles centralizados de identidad siguen siendo vitales, pero no lo cubren todo. Es fundamental analizar la seguridad de las aplicaciones mismas, descubriendo credenciales hardcoded, flujos de autenticación alternativos y la ausencia de controles básicos.

Para los responsables de seguridad, esto implica adoptar soluciones que permitan una visibilidad continua y exhaustiva sobre todos los controles de identidad existentes en el ecosistema de aplicaciones, sin limitarse solo al marco del IdP y el directorio.

Conclusión

La gestión de identidad empresarial exige mirar más allá de los controles evidentes y buscar aquellas zonas grises donde los atacantes también buscarán. Evaluar la seguridad real de cada aplicación, automatizar la detección de riesgos y mantener un enfoque proactivo en la protección de credenciales son pasos clave para reducir la superficie de ataque.

¿Quieres comenzar a analizar tu entorno? Descarga la lista de verificación práctica ofrecida por Orchid Security para identificar controles ausentes de identidad en tus aplicaciones y da el primer paso hacia una protección real y efectiva.

Etiquetas:

aplicaciones empresariales, brecha de seguridad, ciberseguridad, credenciales, IdP

Fecha:

11/09/2025

A continuación:

Antes: