Los recientes ataques cibernéticos al sector financiero brasileño encendieron una alerta urgente sobre un punto aún subestimado en las estrategias de seguridad corporativa: la gestión de identidades y accesos de terceros. En apenas un año, dos grandes casos de fraude, que sumaron cerca de 1,5 mil millones de reales, tuvieron su origen en fallas graves de seguridad en proveedores que actuaban como prestadores de Banking as a Service (BaaS).
El eslabón más débil, como en muchos otros episodios, no fue el banco en sí, sino los socios tercerizados. Muchas de estas empresas carecían de una gestión adecuada de identidades privilegiadas y del uso efectivo de herramientas de Privileged Access Management (PAM). Faltaban recursos críticos —como el uso de machine learning para la detección de anomalías— capaces de identificar comportamientos sospechosos y reconocer cuando una credencial legítima está siendo utilizada por alguien que no es su verdadero dueño. Sin esta capa de protección, los invasores lograron emplear credenciales comprometidas sin generar alertas inmediatas.
El episodio también revela un problema estructural presente en prácticamente todas las organizaciones: la fragilidad del Active Directory cuando no existe una gobernanza continua. Incluso empresas que cuentan con buenas herramientas de Identity Governance and Administration (IGA), controles de privilegios y soluciones de acceso seguro quedan expuestas si el directorio activo está desorganizado, con cuentas antiguas no desactivadas, permisos excesivos y ausencia de un desprovisionamiento adecuado. Este desafío se intensifica especialmente cuando involucra a terceros, desarrolladores, proveedores y bots, cuya rotación es constante. Cuando los accesos de estos perfiles no se eliminan o revisan correctamente, se crean puertas abiertas que pueden ser aprovechadas silenciosamente por cibercriminales.
Los ataques dejan una lección ineludible. En un ecosistema digital cada vez más interconectado, una institución es tan segura como su proveedor menos preparado. La gestión de identidades de terceros dejó de ser una buena práctica para convertirse en un pilar esencial para la continuidad del negocio.
Revisar procesos, fortalecer el PAM, automatizar el ciclo de vida de los accesos y mantener el directorio activo siempre higienizado ya no son opciones: son necesidades estratégicas para impedir que el sector financiero y otras industrias repitan perjuicios multimillonarios.
