¿Debería prohibirse completamente la TI en la sombra?

Una prohibición completa es poco realista y a menudo contraproducente. Incluso con una prohibición, los empleados siguen usando herramientas no oficiales por eficiencia, llevando el uso a la clandestinidad y reduciendo aún más la visibilidad. El enfoque efectivo es construir sistemas de gobernanza que permitan un uso seguro, como la integración SSO y procesos de aprobación de servicios simplificados.

¿Cuál es la forma más fácil de reducir los riesgos de contraseñas de TI en la sombra?

La medida más fácil y efectiva es la implementación de un gestor de contraseñas en toda la empresa. Con un gestor de contraseñas, se pueden establecer contraseñas fuertes y únicas para todos los servicios, incluida la TI en la sombra, reduciendo a cero el riesgo de compromiso en cadena por reutilización. Estandarice la práctica de generar contraseñas de más de 16 caracteres con passtsuku.com y almacenarlas en el gestor de contraseñas.

¿Cómo deben gestionarse las cuentas de TI en la sombra de ex empleados?

Es importante incorporar un "inventario de SaaS personal" en el proceso de desvinculación. Haga que los empleados que se van declaren sus servicios basándose en la lista de registros de su gestor de contraseñas, y elimine o transfiera las cuentas que contengan datos corporativos. Si se ha implementado CASB, los servicios vinculados al correo corporativo del empleado que se va pueden detectarse automáticamente. Después de la partida, monitorear la dirección de correo corporativo durante un período para verificar la recepción de correos de restablecimiento de contraseña también es efectivo.

Riesgos de contraseñas del Shadow IT - por qué los servicios no gestionados amenazan a las empresas

Lectura de 12 min aprox.

La TI en la sombra (shadow IT) - el uso de servicios SaaS y en la nube sin la aprobación del departamento de TI - es uno de los riesgos de seguridad de contraseñas más subestimados en las empresas modernas. Según la investigación de Gartner de 2024, la empresa promedio utiliza más de 1,200 servicios en la nube, de los cuales aproximadamente 975 (más del 80%) se adoptan sin el conocimiento de TI. Cuando los empleados se registran en servicios no autorizados con su correo corporativo y reutilizan contraseñas, una sola filtración de un servicio externo puede convertirse en el punto de entrada para comprometer toda la red corporativa. El problema central no es el uso de servicios externos en sí, sino que las políticas de contraseñas no pueden aplicarse a servicios fuera del control de TI. Este artículo analiza por qué la TI en la sombra representa un riesgo tan crítico y propone un enfoque realista de gobernanza en lugar de prohibición.

La realidad de la TI en la sombra - los servicios no gestionados están más extendidos de lo que cree

La TI en la sombra se refiere al software, servicios en la nube y dispositivos utilizados por los empleados para el trabajo sin la aprobación o gestión formal del departamento de TI. Específicamente, incluye herramientas SaaS contratadas a discreción individual (gestión de proyectos, compartición de archivos, chat, herramientas de diseño, etc.), servicios en la nube freemium y acceso laboral desde smartphones y tablets de propiedad personal.

La expansión de la TI en la sombra está impulsada por factores estructurales. Mientras que los procesos de aprobación del departamento de TI pueden tardar semanas, los servicios SaaS pueden activarse instantáneamente con una sola tarjeta de crédito. Para los empleados de primera línea, la motivación para adoptar herramientas no oficiales para priorizar la eficiencia laboral es extremadamente fuerte. Una encuesta de CIO Magazine de 2024 encontró que el 67% de los empleados dijeron que "esperar la aprobación de TI interrumpe su trabajo". Esta brecha estructural es la causa raíz de la TI en la sombra.

Tres grandes riesgos de contraseñas de la TI en la sombra

Registro en SaaS personal con correo corporativo

El riesgo más grave es que los empleados se registren en SaaS no autorizados con su correo corporativo. Esto es peligroso por tres razones. Primero, si el servicio externo sufre una filtración, los atacantes pueden confirmar que la dirección de correo corporativo es válida y agregarla a listas de objetivos de phishing e ingeniería social. Segundo, dado que muchos servicios SaaS usan direcciones de correo como ID de inicio de sesión, un correo corporativo filtrado significa que los atacantes ya tienen la mitad del "nombre de usuario". Tercero, los correos de restablecimiento de contraseña llegan al correo corporativo, por lo que si la cuenta de correo se ve comprometida, todos los servicios son secuestrados en cadena.

Compromiso en cadena por reutilización de contraseñas

Cuando los empleados reutilizan la misma contraseña en sistemas corporativos y servicios de TI en la sombra, la filtración de un servicio conduce directamente al compromiso de otros. Este es el mecanismo detrás de los ataques de relleno de credenciales. Según el informe de SpyCloud de 2024, el 64% de los usuarios cuyas contraseñas fueron expuestas en filtraciones de datos reutilizaban la misma contraseña en múltiples servicios. El peligro de la reutilización de contraseñas se amplifica exponencialmente cuando la TI en la sombra está involucrada, porque los departamentos de TI no pueden detectar ni responder a filtraciones de servicios que desconocen.

Cuentas abandonadas tras la salida de empleados

Cuando los empleados se van, los departamentos de TI desactivan las cuentas corporativas gestionadas (Active Directory, Google Workspace, etc.). Sin embargo, las cuentas en servicios de TI en la sombra no se desactivan porque TI no sabe que existen. Cuando la cuenta de un ex empleado permanece con la misma contraseña que su correo corporativo, y el servicio externo sufre una filtración meses después, las credenciales que deberían haber sido invalidadas pueden usarse en ataques. Una encuesta de Osterman Research de 2024 informó que el 89% de los empleados que se marcharon conservaban acceso a al menos un servicio relacionado con su antiguo empleador.

Filtraciones de datos a través de TI en la sombra - patrones de incidentes reales

Los incidentes de seguridad causados por la TI en la sombra convergen en patrones de ataque específicos. Los siguientes son patrones representativos que han sido reportados.

Patrón 1: Movimiento lateral desde filtración de SaaS. Un empleado de marketing se registró en una herramienta de diseño gratuita con su correo corporativo, estableciendo la misma contraseña que su sistema corporativo. La herramienta de diseño sufrió una filtración de datos, y los atacantes usaron las credenciales filtradas para iniciar sesión en la VPN corporativa. Se exfiltraron 500,000 registros de clientes del servidor de archivos interno. En este patrón, dado que el punto de entrada inicial está fuera de la gestión de TI, la detección en la etapa temprana es difícil con SIEM o monitoreo de logs.

Patrón 2: Explotación de cuentas de ex empleados. Un representante de ventas contrató independientemente una herramienta CRM durante su empleo e importó listas de clientes. Después de irse, la cuenta permaneció activa, y el ex empleado, habiendo ingresado a un competidor, se llevó la lista de clientes. La empresa no notó la exfiltración de datos durante meses. En este caso, el departamento de TI desconocía la existencia de la herramienta CRM, por lo que fue excluida del inventario de cuentas durante la desvinculación.

Patrón 3: Amplificación de phishing a través de TI en la sombra. Los atacantes que obtuvieron direcciones de correo de empleados de un servicio de TI en la sombra comprometido enviaron correos de phishing dirigidos haciéndose pasar por el departamento de TI de la empresa. Debido a que los correos de phishing hacían referencia al nombre real del servicio de TI en la sombra, las tasas de clics fueron significativamente más altas que el phishing genérico. Esto condujo al robo de credenciales y finalmente a una filtración de datos que afectó al sistema empresarial central. Para detalles sobre cómo responder a tales incidentes, consulte nuestro artículo sobre respuesta a filtraciones de datos.

Detección y visualización de la TI en la sombra

No puede proteger lo que no puede gestionar. El primer paso en las contramedidas de TI en la sombra es visualizar qué servicios externos están usando los empleados. Combinando los siguientes métodos, puede comprender el panorama completo de la TI en la sombra.

Implementación de CASB (Cloud Access Security Broker): Analiza el tráfico de red para detectar automáticamente los servicios en la nube a los que acceden los empleados. Netskope, Microsoft Defender for Cloud Apps y Zscaler son productos representativos. CASB puede detectar TI en la sombra en tiempo real y bloquear o advertir el acceso basándose en puntuaciones de riesgo.
Análisis de logs DNS: Analice los logs de consultas DNS de la red corporativa para identificar patrones de acceso a dominios SaaS conocidos. Aunque no es tan preciso como CASB, es efectivo como medida inicial que puede implementarse sin costo adicional.
Implementación de SSO (Single Sign-On): Al integrar todas las aplicaciones empresariales en una plataforma SSO, el departamento de TI puede gestionar centralmente los flujos de autenticación. También puede construir mecanismos para detectar el acceso a servicios no integrados con SSO.
Análisis de flujo de correo: Detecte patrones de correos de confirmación de registro de SaaS y correos de restablecimiento de contraseña en los logs del servidor de correo corporativo. Al monitorear patrones de líneas de asunto como "Welcome to..." y "Verify your email," puede identificar nuevos registros de TI en la sombra en tiempo casi real.

Estos métodos de detección deben integrarse con su sistema SIEM para monitoreo centralizado. La clave no es solo detectar la TI en la sombra, sino correlacionarla con eventos de autenticación para identificar riesgos relacionados con contraseñas. Para las organizaciones que adoptan un modelo de seguridad de confianza cero, la visibilidad de la TI en la sombra es un prerrequisito para implementar un control de acceso efectivo.

Gobernar, no prohibir - un enfoque realista de gobernanza de TI en la sombra

Prohibir completamente la TI en la sombra es poco realista. Incluso con una prohibición, los empleados seguirán usando herramientas no oficiales para la eficiencia laboral, y el uso simplemente se volverá clandestino, reduciendo aún más la visibilidad. El enfoque efectivo es tratar la TI en la sombra no como "algo que prohibir" sino como "algo que gobernar," construyendo sistemas que permitan un uso seguro.

Autenticación centralizada mediante integración SSO

La medida de gobernanza más efectiva es integrar todas las aplicaciones empresariales con SSO (Single Sign-On). Cuando los empleados pueden acceder a SaaS aprobados a través de SSO, la motivación para crear cuentas separadas con contraseñas individuales disminuye significativamente. SSO también permite a los departamentos de TI aplicar políticas de contraseñas y autenticación multifactor de manera uniforme en todos los servicios integrados. Para servicios que no soportan SSO, se debe implementar un gestor de contraseñas corporativo para garantizar contraseñas únicas y fuertes para cada servicio.

Agilización del proceso de aprobación de servicios

La causa raíz de la TI en la sombra es que el proceso de aprobación del departamento de TI es demasiado lento. Si la aprobación tarda semanas, los empleados contratarán servicios por su cuenta sin esperar. Como contramedida, diseñe un proceso de aprobación escalonado basado en el nivel de riesgo. SaaS de bajo riesgo (herramientas de productividad personal, etc.) obtiene aprobación automática o revisión simplificada en 24 horas, riesgo medio (herramientas que manejan datos) obtiene revisión de seguridad en 3 días hábiles, y alto riesgo (herramientas que manejan datos de clientes o información confidencial) obtiene evaluación de seguridad detallada.

Para comprender el panorama general de las medidas de seguridad, libros sobre seguridad de TI en la sombra (Amazon) también son referencias útiles.

Contramedidas personales de contraseñas para TI en la sombra

Mientras se establecen las medidas organizacionales, los riesgos pueden reducirse significativamente a nivel individual. Las siguientes medidas pueden practicarse desde hoy.

Separar estrictamente el correo corporativo y personal: Regístrese en SaaS no laborales con direcciones de correo personal, y use el correo corporativo solo para servicios aprobados por TI. Esto solo bloquea el riesgo de que las filtraciones de servicios externos se conecten directamente a las cuentas corporativas.
Establezca contraseñas únicas para cada servicio: Genere contraseñas aleatorias de más de 16 caracteres con passtsuku.com y gestiónelas con un gestor de contraseñas. Al eliminar completamente la reutilización, puede reducir a cero el riesgo de que la filtración de un servicio se propague a otros.
Inventariar servicios registrados personalmente al salir o transferirse: Al salir o cambiar de departamento, liste todas las cuentas SaaS registradas personalmente usadas para el trabajo, elimine las innecesarias y transfiera las necesarias a los sucesores. La lista de registros de su gestor de contraseñas sirve como base para este inventario.
Reporte el uso de servicios sospechosos al departamento de TI: Si nota que colegas usan servicios no autorizados para el trabajo, repórtelo al departamento de TI. Esto no es delación sino una acción legítima para proteger la seguridad de toda la organización. Fomentar una cultura que aliente la notificación es responsabilidad de la dirección y el departamento de TI.

Comience las contramedidas de TI en la sombra ahora

Audite su propio uso de TI en la sombra: Liste todos los servicios en los que se ha registrado con su correo corporativo. Verifique cada uno por reutilización de contraseñas y cambie cualquier duplicado inmediatamente usando passtsuku.com
Migre los servicios no laborales registrados con correo corporativo al correo personal. Para los que no puedan migrarse, solicite la aprobación formal del departamento de TI
Implemente un gestor de contraseñas y genere contraseñas únicas de más de 16 caracteres para cada servicio. Proteja su cuenta de correo electrónico con autenticación multifactor como máxima prioridad
Proponga la visibilidad de TI en la sombra y la implementación de SSO al departamento de TI. Comience con una prueba gratuita de CASB o análisis de logs DNS, y fortalezca gradualmente la gobernanza

Preguntas frecuentes

¿Debería prohibirse completamente la TI en la sombra?: Una prohibición completa es poco realista y a menudo contraproducente. Incluso con una prohibición, los empleados siguen usando herramientas no oficiales por eficiencia, llevando el uso a la clandestinidad y reduciendo aún más la visibilidad. El enfoque efectivo es construir sistemas de gobernanza que permitan un uso seguro, como la integración SSO y procesos de aprobación de servicios simplificados.
¿Cuál es la forma más fácil de reducir los riesgos de contraseñas de TI en la sombra?: La medida más fácil y efectiva es la implementación de un gestor de contraseñas en toda la empresa. Con un gestor de contraseñas, se pueden establecer contraseñas fuertes y únicas para todos los servicios, incluida la TI en la sombra, reduciendo a cero el riesgo de compromiso en cadena por reutilización. Estandarice la práctica de generar contraseñas de más de 16 caracteres con passtsuku.com y almacenarlas en el gestor de contraseñas.
¿Cómo deben gestionarse las cuentas de TI en la sombra de ex empleados?: Es importante incorporar un "inventario de SaaS personal" en el proceso de desvinculación. Haga que los empleados que se van declaren sus servicios basándose en la lista de registros de su gestor de contraseñas, y elimine o transfiera las cuentas que contengan datos corporativos. Si se ha implementado CASB, los servicios vinculados al correo corporativo del empleado que se va pueden detectarse automáticamente. Después de la partida, monitorear la dirección de correo corporativo durante un período para verificar la recepción de correos de restablecimiento de contraseña también es efectivo.