El acceso externo a sistemas críticos exige visibilidad, permisos temporales y monitoreo para reducir brechas y fraudes.
La transformación digital abrió las puertas de las empresas a una red cada vez más amplia de colaboradores externos. Consultoras, integradores, proveedores tecnológicos y equipos de soporte remoto ya participan en tareas críticas de operación, mantenimiento y actualización. Esa colaboración permite resolver fallas, instalar sistemas, mantener servicios activos y acelerar proyectos, pero también crea nuevos puntos de exposición.
El problema no está en trabajar con terceros, sino en hacerlo sin suficiente visibilidad. Una organización puede tener controles claros sobre sus empleados, pero no siempre conserva el mismo nivel de supervisión sobre proveedores externos. Cuando nadie sabe con precisión quién entra, cuándo lo hace, desde dónde se conecta y qué acciones realiza, el acceso legítimo puede convertirse en una puerta de riesgo.
La confianza ya no basta
Durante años, muchas empresas trataron a sus proveedores como aliados confiables y permanentes. Esa relación sigue siendo necesaria para operar, pero en ciberseguridad la confianza debe verificarse con controles técnicos, registros y revisiones periódicas. No basta con entregar credenciales y asumir que siempre se usarán de forma correcta.
El Data Breach Investigations Report 2025 de Verizon mostró la dimensión del problema. La participación de terceros en brechas de seguridad pasó de 15% a 30% en un año, según el reporte. Ese dato no señala a una empresa ni recomienda una solución específica; describe una tendencia amplia en organizaciones cada vez más conectadas.
La edición 2026 del mismo informe mantuvo la alerta sobre los riesgos externos. Verizon reportó que las brechas con terceros involucrados ya representaban 48% del total analizado. La cifra confirma que la seguridad empresarial ya no depende sólo de empleados, firewalls o contraseñas internas, sino también de cada persona externa que toca sistemas críticos.
Un proveedor puede necesitar acceso legítimo para revisar un servidor, actualizar una aplicación o resolver un incidente. Sin embargo, ese permiso debe tener límites claros. Si queda abierto demasiado tiempo, conserva privilegios innecesarios o nadie lo revisa, puede convertirse en una entrada disponible para errores, abusos o ataques.
Cuentas abiertas, permisos excesivos
El riesgo más común no siempre parece sofisticado. A veces nace de una cuenta que nadie cerró cuando terminó un contrato, cambió el personal del proveedor o concluyó un proyecto. También puede surgir de permisos demasiado amplios para una tarea simple, como permitir acceso administrativo cuando sólo se necesita revisar una aplicación.
Desde la perspectiva de gestión de accesos, Javier Fernández, Territory Manager NOLA de BeyondTrust, plantea una pregunta básica para las organizaciones. No basta saber quién se conecta; también deben conocer el momento, el origen y las acciones realizadas durante cada sesión. Esa trazabilidad permite reconstruir un incidente y detectar comportamientos inusuales antes de que el daño crezca.
En la práctica, una empresa debería revisar con frecuencia qué terceros tienen acceso activo y si esos permisos siguen siendo necesarios. La revisión debe incluir cuentas permanentes, accesos temporales, conexiones remotas, privilegios administrativos y sesiones abiertas fuera de horario laboral. También debe contemplar mecanismos para suspender una conexión cuando aparece una actividad inusual.
Menos privilegios, menos daño
El principio de mínimo privilegio se volvió una regla central para reducir riesgos. Consiste en otorgar sólo los permisos indispensables para realizar una tarea específica, durante el menor tiempo posible. Ese enfoque limita el daño potencial si una cuenta externa cae en manos equivocadas o si un proveedor comete un error operativo.
Aquí entra el concepto de acceso seguro de terceros. No se trata de bloquear la colaboración ni de dificultar el trabajo de soporte, sino de ordenar cada permiso. Una sesión externa debería tener inicio, fin, propósito, alcance y registro. También debería poder cerrarse si el sistema detecta intentos de acceso fuera de lo autorizado.
Este modelo resulta clave para sectores como banca, salud, manufactura, comercio y servicios digitales, donde los proveedores sostienen parte de la operación diaria. Un hospital puede requerir soporte remoto para equipos médicos; una tienda en línea puede necesitar ajustes en su plataforma de pagos; una fábrica puede recibir mantenimiento en sistemas industriales. En todos los casos, el acceso externo debe funcionar como una llave temporal, no como una copia permanente de la puerta principal.
Lo que cambia para usuarios finales
Aunque el tema parezca interno, sus efectos llegan a la vida cotidiana. Una falla en accesos de terceros puede afectar compras, citas médicas, pagos, entregas, servicios bancarios o plataformas laborales. Si un proveedor comprometido abre camino a un atacante, los usuarios pueden enfrentar filtración de datos, interrupciones, cargos no reconocidos o bloqueos de cuenta.
Por eso, la seguridad de terceros ya no es un asunto exclusivo del área de TI. También forma parte de la experiencia del cliente y de la confianza en los servicios digitales. Una empresa que controla mejor sus accesos protege su operación, pero también protege a quienes compran, pagan, consultan, viajan o trabajan mediante sus plataformas.
El usuario final no ve las credenciales de un proveedor ni los permisos detrás de una conexión remota. Sin embargo, sí percibe las consecuencias cuando algo falla. Un servicio caído, una cuenta vulnerada o un trámite detenido pueden tener origen en una mala gestión de accesos externos.
Visibilidad durante toda la sesión
La gestión de accesos privilegiados busca resolver una necesidad concreta: administrar conexiones de empleados, contratistas y proveedores sin perder visibilidad. Soluciones como BeyondTrust Privileged Remote Access permiten gestionar accesos remotos desde una plataforma central, con capacidades de monitoreo, auditoría y registro de sesiones.
Su función no se limita a habilitar conexiones remotas. También ayuda a saber quién entró, qué sistema abrió, cuánto tiempo permaneció conectado y qué cambios realizó. Esa información resulta esencial cuando ocurre un incidente, porque sin registros claros la investigación puede volverse lenta, costosa e incompleta.
La visibilidad también ayuda a prevenir. Si un proveedor entra desde una ubicación inesperada o intenta acceder a información ajena a su tarea, la organización puede activar alertas y cerrar la sesión. Ese tipo de control permite combinar continuidad operativa con límites verificables.
💻 Visita YoUsuarioFinal 📱
🇲🇽 Conoce más en SuperMexicanos 🎬
Sin control, la digitalización se vuelve frágil
La digitalización exige velocidad. Las empresas quieren resolver fallas rápido, desplegar servicios nuevos y mantener operaciones continuas, sobre todo cuando dependen de plataformas en línea. Pero esa rapidez no debe descansar en accesos permanentes, permisos amplios o cuentas que nadie revisa.
El reto consiste en combinar agilidad y control. Los proveedores deben trabajar sin fricción innecesaria, pero bajo reglas claras y medibles. Un buen modelo debe incluir autenticación multifactor, permisos temporales, monitoreo de sesiones, revisiones periódicas y cierre inmediato de accesos cuando termina una relación comercial.
También importa definir responsabilidades. Cada acceso debe tener dueño interno, justificación, alcance y fecha de revisión. Si una cuenta pertenece a un tercero, la empresa debe saber quién la autorizó, qué tarea permite y cuándo debe eliminarse.
IA, vulnerabilidades y terceros
El contexto se vuelve más complejo con la inteligencia artificial. Los atacantes ya usan automatización para acelerar búsquedas de vulnerabilidades, preparar engaños y moverse dentro de redes. Eso reduce el tiempo disponible para reaccionar y vuelve más riesgoso conservar accesos innecesarios.
Antes, algunas empresas podían tardar semanas en corregir una falla sin enfrentar una explotación inmediata. Ahora, los atacantes pueden avanzar mucho más rápido, especialmente cuando encuentran cuentas activas con permisos excesivos. Si un proveedor conserva privilegios amplios, esa ruta puede facilitar movimientos dentro de la organización.
También crece el riesgo por el uso no autorizado de herramientas de IA. El llamado Shadow AI puede exponer código, documentos o datos internos en plataformas no aprobadas. Para los usuarios, el mensaje es claro: las empresas deben proteger no sólo sus aplicaciones visibles, sino también los accesos invisibles que permiten operarlas.
Una práctica de resiliencia
Gestionar terceros ya no puede limitarse a entregar credenciales. Cada acceso debe tener razón, alcance, duración y evidencia. Las organizaciones más preparadas no esperan a sufrir una brecha para ordenar permisos; hacen inventarios, eliminan cuentas huérfanas y registran sesiones críticas.
También prueban qué ocurriría si un proveedor queda comprometido. Esa preparación ayuda a limitar el impacto, proteger datos y mantener servicios funcionando. La ciberseguridad moderna no busca eliminar toda relación externa, porque eso sería imposible; busca reducir riesgos sin frenar la operación.
En un ecosistema digital conectado, cada proveedor forma parte de la cadena de confianza. Si esa cadena no se revisa, el eslabón débil puede estar fuera de la empresa. La clave está en saber quién entra, por qué entra, cuánto puede hacer y cuándo debe salir.
