Una sola credencial de ingeniero robada. Todos los clientes a los que sirve.

El modelo de acceso de MSP es el objetivo de mayor valor en el panorama de amenazas. Una sola credencial de ingeniero comprometida afecta a todos los entornos de clientes en los que trabajó ese ingeniero — simultáneamente. Kaseya demostró esto en 1.500 empresas downstream en cuestión de horas. MyCena cierra el punto de entrada en cascada y convierte la gobernanza de credenciales en una nueva línea de ingresos.
Solicitar una presentación para socios →
0
Empresas downstream afectadas en Kaseya — a través de menos de 60 MSPs, en horas
0
De los MSP reportaron al menos un incidente de seguridad en el último año — 60% relacionados con ransomware
0
Riesgo de pérdida de cliente por incidente de credencial — un cliente perdido, una revisión de contrato activada
0
Promedio de la industria para completar la desvinculación de un ingeniero — la ventana de exposición activa por salida
El patrón en cascada

Tres incidentes. Misma arquitectura. Credenciales de MSP como multiplicador.

El modelo de amenaza de MSP es estructuralmente diferente de cualquier otro sector. Una brecha en un MSP no afecta a una sola organización — afecta a todos los clientes que ese MSP atiende. El cálculo del atacante es simple: atacar un conjunto de credenciales, alcanzar decenas de empresas simultáneamente.

Kaseya VSA — Julio 2021
1.500
REvil explotó una vulnerabilidad en la plataforma de gestión MSP de Kaseya.
Menos de 60 MSPs fueron directamente comprometidos — pero esos MSPs atendían a 1.500 empresas downstream. Una cadena de supermercados sueca tuvo 800 tiendas cerradas. Guarderías en Nueva Zelanda se vieron afectadas. Una cadena farmacéutica sueca. El MSP fue el multiplicador: una sola brecha, miles de víctimas.
Punto de entrada — credencial y vulnerabilidad de la plataforma MSP, cascada a clientes
Sitel Group / Okta — 2022
366
LAPSUS$ comprometió a un ingeniero de soporte de Sitel Group — un gran BPO/MSP — y usó esa credencial para acceder al sistema de gestión de casos de soporte de Okta.
Como los ingenieros de Sitel accedían rutinariamente a múltiples entornos de clientes empresariales, una credencial comprometida afectó a 366 clientes empresariales de Okta. La credencial estaba en posesión del ingeniero. No había nada estructuralmente que impidiera que fuera robada.
Punto de entrada — credencial de ingeniero de soporte, cascada a entornos de clientes
Operation Cloud Hopper — 2016–2017
14+
APT10, un grupo patrocinado por el Estado chino, atacó sistemáticamente MSPs en EE.UU., Reino Unido, Europa y Asia-Pacífico — específicamente porque las credenciales de MSP proporcionaban acceso simultáneo a múltiples clientes empresariales.
Al menos 14 MSPs nombrados fueron confirmados como comprometidos, con acceso downstream a clientes en sectores aeroespacial, defensa, farmacéutico y gubernamental. El MSP fue atacado porque era la llave maestra.
Punto de entrada — credenciales de ingeniero MSP, acceso lateral a múltiples clientes

La arquitectura común en todas las brechas de MSP: un ingeniero posee credenciales que tocan múltiples entornos de clientes. Cuando esas credenciales se ven comprometidas — ya sea por ataque externo, phishing o acciones del propio ingeniero — todos los entornos de clientes que esas credenciales pueden alcanzar quedan expuestos simultáneamente. La escala del MSP es el amplificador del atacante. Un ingeniero que accede a 8 entornos de clientes representa 8 puntos de entrada simultáneos si su credencial es robada.

La arquitectura de acceso

Cómo funcionan las credenciales de ingenieros en entornos MSP y dónde están las brechas

Todo MSP ejecuta una versión de la misma cadena de acceso. La brecha de control de credenciales siempre está en el mismo punto: en manos del ingeniero.

Cadena de acceso actual — el mayor riesgo está en el paso 2
1
Ingeniero se incorpora — aprovisionado en la plataforma de identidad
Active Directory, Okta o similar. Derechos de acceso asignados.
2
Ingeniero recibe o crea credenciales
Una credencial para el jumphost o gateway Zscaler. Una cuenta de administrador local en un servidor de cliente. Una clave SSH. Una cuenta de servicio. Algunas se emiten, otras el ingeniero las crea él mismo. De cualquier forma, las credenciales ahora están en manos humanas.
Este es el paso de mayor riesgo.
3
Ingeniero se conecta vía jumphost o Zscaler
La credencial del gateway llega a todos los entornos de clientes detrás de él. Un solo login. Todo el patrimonio. Es el punto de entrada a todas las brechas que siguen.
4
Ingeniero abre el PAM del cliente, copia la contraseña del servidor y la usa manualmente
Si el cliente tiene CyberArk: el ingeniero recupera la contraseña del vault. Si no tiene CyberArk: un gestor de contraseñas compartido — visible, copiable y sin control en el punto de uso.
Visible, copiable, fotografiable, compartible.
5
Ingeniero se va o el cliente es dado de baja
La plataforma de identidad se actualiza. El PAM se actualiza. Las credenciales que el ingeniero creó él mismo — las que nadie sabía — siguen activas. Tiempo promedio de revocación para credenciales conocidas: 3,2 días. Tiempo de revocación para credenciales creadas por el propio ingeniero: nunca.
Una revocación omitida es un hallazgo de auditoría. Una credencial dormida explotada es una brecha de cliente — y un contrato en riesgo.
Los cuatro dolores que esto genera
Dolor 01 — Mayor riesgo operativo
Revocación de acceso — manual, lenta e incompleta
Cuando un ingeniero se va o un cliente es dado de baja, todas las credenciales en todos los entornos de clientes deben revocarse. Con la cadena de acceso actual, esto es manual, lleva horas o días y rara vez es completo. Una credencial omitida es un hallazgo de auditoría, una posible brecha y un contrato de cliente en riesgo.
Dolor 02 — Coste comercial visible
Restablecimientos de contraseña — facturados a los clientes, resentidos por ambas partes
La expiración de contraseñas, bloqueos y eventos de rotación generan un flujo constante de tickets en el service desk. Los clientes pagan por cada restablecimiento. Resienten el coste. El MSP soporta la sobrecarga. Ambas partes saben que el problema es innecesario — pero nadie ha eliminado el mecanismo.
Dolor 03 — Invisible hasta la auditoría
Credenciales compartidas — el hallazgo que activa la revisión de contrato
Las credenciales compartidas son una realidad en las operaciones de MSP. Cuando el ingeniero que conocía la contraseña compartida se va, todos los sistemas que la usan deben actualizarse — manualmente, en todos los entornos de clientes. Los auditores verifican el uso de credenciales compartidas. El fallo es costoso. No solo la multa — la relación con el cliente.
Dolor 04 — La consecuencia comercial
Fallo en la auditoría — el resultado que importa más que el coste
Un hallazgo de auditoría de gobernanza de acceso de cliente puede activar revisión de contrato, requisitos de remediación, impacto en el seguro y, en el extremo — terminación del contrato. El coste de la auditoría es manejable. El coste de fallar una no lo es. Un cliente perdido de £150K–£500K ARR es la consecuencia financiera de una brecha de gobernanza de credenciales que cuesta una fracción de eso cerrarla.

«Un ingeniero de MSP que accede a 10 entornos de clientes está llevando 10 puntos de entrada simultáneos si su credencial se ve comprometida. El ROI del atacante al apuntar a un MSP es 10 veces mejor que al apuntar a una sola empresa. MyCena elimina completamente la credencial de la ecuación.»

Antes y después

Qué cambia cuando se implementa el control de credenciales

No solo seguridad. La sobrecarga operativa, la exposición a la auditoría, la fricción en la relación con el cliente — todo se remonta al mismo problema arquitectónico. Todo se resuelve con la misma solución arquitectónica.

Sin control de credenciales — hoy
Ingeniero copia la contraseña del cliente de CyberArk o vault compartido. La credencial es visible, copiable y en su posesión durante toda la sesión — y potencialmente más allá.
Ingeniero se va. Ticket manual de baja abierto. TI trabaja en la lista. Promedio de 3,2 días para completar la revocación. Múltiples entornos de clientes, múltiples sistemas, múltiples credenciales — cada una una posible exposición activa.
Auditor del cliente pide log de acceso que muestre atribución individual por ingeniero por sesión. TI compila un informe de los logs de SIEM en 48–72 horas. La evidencia es incompleta. Se levantan hallazgos.
Expiración de contraseña provoca bloqueo. Ticket de service desk abierto. Cliente facturado. Ambas partes frustradas por un problema que ninguna puede eliminar fácilmente bajo la arquitectura actual.
Una credencial de ingeniero comprometida proporciona acceso a todos los entornos de clientes para los que ese ingeniero fue aprovisionado. Una credencial. Múltiples clientes. Exposición simultánea. La arquitectura de Kaseya.
Con el control de credenciales MyCena
Ingeniero hace clic para conectar. MyCena inyecta la credencial en la autenticación. La credencial nunca es visible, nunca se copia, nunca está en posesión del ingeniero. Nada que phishear. Nada que compartir. Nada que vender.
Ingeniero se va. Un solo comando. Todo el acceso en todos los entornos de clientes revocado en segundos — no en días. Log con timestamp generado automáticamente. Evidencia para auditor lista inmediatamente.
Auditor del cliente pide log de acceso. MyCena produce el log completo, atribuido y con timestamp bajo demanda — todas las sesiones, todos los sistemas, todos los ingenieros. Generado continuamente. No compilado antes de la auditoría.
Los tickets de expiración y bloqueo de contraseña desaparecen. Los ingenieros nunca poseen contraseñas — no hay nada que expire o olvidar. El volumen de restablecimientos en service desk para eventos de credenciales cae a cero.
El compromiso de credencial afecta solo a la sesión de un ingeniero — no a todos los entornos de clientes para los que alguna vez fue aprovisionado. La arquitectura en cascada se cierra. El radio de explosión estilo Kaseya es estructuralmente imposible.
El caso comercial

Control de credenciales como línea de ingresos de servicio gestionado

El control de credenciales no es un coste para los MSPs. Es una línea de servicio gestionado que reduce la sobrecarga operativa, elimina la exposición a auditorías y diferencia al MSP en retención de clientes y en nuevas conversaciones de negocio.

«Lo más difícil en las operaciones de MSP no es aprovisionar acceso — es revocarlo. Cada ingeniero que se va, cada contrato de cliente que termina, crea un problema de revocación multisistema que ninguna herramienta única resuelve limpiamente en la actualidad.»
Control de Credenciales Como Servicio
Generar y distribuir credenciales cifradas a los usuarios de los clientes — empleados, contratistas, proveedores no conocen las credenciales de tus clientes. Se acabaron los restablecimientos de contraseña.
Informe mensual de acceso — todos los eventos de credenciales por cliente, con timestamp. Formateado para envío al auditor del cliente.
Log de revocación — todos los eventos de eliminación de acceso con timestamp. Prueba de baja oportuna.
Resumen de evidencia para seguro — resumen trimestral formateado para suscriptores de seguro cibernético. Apoya la negociación de prima en la renovación.
Cómo funciona

Control de credenciales para acceder a todos los entornos de clientes

MyCena se implementa a nivel de MSP. Todos los entornos de clientes están gobernados por el MSP. Ningún sistema de cliente se modifica. Ningún PAM de cliente se reemplaza.

Paso 01
MSP genera todas las credenciales de ingenieros de forma centralizada
Todas las credenciales para todos los entornos de clientes son generadas por el MSP de forma centralizada a través de MyCena. Ningún ingeniero crea su propio acceso. Ninguna credencial se copia de un PAM de cliente y se mantiene manualmente. La propiedad de la credencial es del MSP — no del ingeniero — desde el momento de la generación.
Paso 02
Clic para conectar — inyección invisible, nada que poseer
Los ingenieros hacen clic en el icono del entorno del cliente. MyCena inyecta la credencial en el punto de autenticación — nunca se muestra, nunca se escribe, nunca es visible en pantalla. Nada existe en el portapapeles, memoria o dispositivo del ingeniero que un atacante pueda capturar o que el ingeniero pueda compartir.
Paso 03
Log de acceso en tiempo real — evidencia de auditoría del cliente generada automáticamente
Todos los eventos de credenciales en todos los entornos de clientes se registran — qué ingeniero, qué sistema del cliente, timestamp al segundo. El log de auditoría existe continuamente. Cuando un auditor de cliente pide evidencia de acceso, el MSP produce el log inmediatamente — no compilado en 48 horas, no montado a partir de consultas de SIEM. Bajo demanda.
Paso 04
Revocación con un solo comando — ingeniero o cliente, todos los entornos
Ingeniero se va: un solo comando, acceso revocado en todos los entornos de clientes en segundos, log con timestamp producido. Cliente dado de baja: mismo comando, misma velocidad. El promedio de 3,2 días de retraso en la baja — y todas las ventanas de exposición que crea — se elimina. La categoría de hallazgo de auditoría deja de existir.
Marco regulatorio

Las preguntas de auditoría de los clientes que MyCena te ayuda a responder

Los clientes empresariales están empezando a exigir atestación de gobernanza de credenciales de sus MSPs como condición de renovación de contrato. Todo marco regulatorio relevante crea este requisito. MyCena genera la evidencia automáticamente.

ISO 27001:2022 — A.9 Control de Acceso
Los requisitos A.9 de control de acceso y A.12.4 de logging exigen registro continuo de eventos de credenciales y capacidad de revocación demostrable. Los MSPs que soportan clientes bajo programas de certificación ISO 27001:2022 deben proporcionar evidencia técnica de gobernanza de acceso — no solo declaraciones de política. El log continuo de MyCena satisface esto directamente.
✓ Evidencia continua de acceso — técnicamente demostrable
SOC 2 Type II
Los requisitos SOC 2 orientados al cliente de gobernanza de acceso y controles de baja exigen demostración continua de controles — no instantáneas puntuales. Los MSPs con Acceso Gobernado proporcionan evidencia continua de que el acceso está gobernado, atribuido y revocable. Los auditores SOC 2 reciben logs, no políticas.
✓ Evidencia continua de control SOC 2 — disponible bajo demanda
FCA / DORA
SYSC 8 y DORA Artículo 28 exigen gestión documentada del riesgo de terceros en ICT, incluyendo gobernanza de acceso y capacidad de revocación instantánea. Los clientes de servicios financieros deben demostrar los controles de acceso de sus MSPs. MyCena proporciona esa demostración automáticamente con cada informe mensual de acceso.
✓ Gobernanza de acceso de terceros DORA Artículo 28 — satisfecha
Cyber Essentials Plus
Los MSPs que atienden clientes del gobierno del Reino Unido o requisitos de la cadena de suministro deben demostrar controles de Cyber Essentials Plus — incluyendo verificación de control de acceso y gobernanza de cuentas de usuario. El control arquitectónico de credenciales de MyCena satisface los requisitos técnicos de CE Plus de forma estructural en lugar de por autoatestación.
✓ Control de acceso CE Plus — verificado arquitectónicamente
HIPAA (donde aplique)
Los MSPs que acceden a sistemas ePHI en nombre de clientes de salud deben satisfacer los requisitos HIPAA 164.312(a)(1) de identificación única de usuario y 164.312(b) de control de auditoría. La generación individual de credenciales y el logging continuo de acceso de MyCena satisface ambos requisitos arquitectónicamente — sin credenciales compartidas, todo evento atribuido.
✓ Control de acceso y auditoría HIPAA — atribución individual estructural
Seguro cibernético
Los suscriptores de seguro cibernético de MSPs están evaluando la gobernanza de acceso de ingenieros y controles de credenciales de clientes como factores de calificación materiales. La evidencia de gobernanza de acceso de terceros — logs de revocación con timestamp, resúmenes trimestrales de acceso — apoya directamente la negociación de prima. MyCena incluye este paquete de evidencia como estándar.
✓ Paquete de evidencia para suscripción — incluido como estándar
Briefing para socios MSP
Un briefing de 45 minutos sobre Control de Credenciales como línea de servicio gestionado
Reservar un briefing para socio →
MyCena
Powered by  GDPR Cookie Compliance
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.