Todas las principales violaciones en el sector de servicios financieros comenzaron de la misma manera.

Banco de Bangladesh. Revolut. LoanDepot. ICBC. La credencial es el punto de entrada en todos los casos. No es una explotación de día cero. Es una contraseña en manos humanas que puede ser robada, suplantada o vendida. DORA, FCA SMCR y PCI DSS ahora crean responsabilidad personal para los individuos que no cerraron esa brecha.
Solicitar una presentación lista para la junta directiva →
0
Costo promedio de una violación de datos en servicios financieros — 22% por encima del promedio global · IBM 2024
0
De todas las violaciones globales en 2023 ocurrieron en servicios financieros — el sector más violado del planeta
0
Plazo de divulgación obligatoria de la SEC — responsabilidad personal para directores que postergan riesgos conocidos
0
Fecha de entrada en vigor de DORA — responsabilidad personal para la alta dirección nombrada por fallas en la gobernanza de TIC
El patrón

Tres incidentes. Todos entraron a través de una credencial.

Sus sistemas verifican la credencial. Pero el usuario controla la credencial. No la organización.

Bangladesh Bank — 2016
$81M
Hackers usaron credenciales de empleados comprometidas para acceder a SWIFT y transferir 81 millones de dólares. El intento de robo fue de 1.000 millones de dólares.
Hackers norcoreanos instalaron malware en los sistemas del Bangladesh Bank usando credenciales de empleados comprometidas que accedían a la red de pagos SWIFT. Observaron transacciones reales durante semanas, aprendieron los patrones y luego enviaron solicitudes de transferencia fraudulentas. Los investigadores descubrieron que cinco funcionarios del banco crearon vulnerabilidades al exponer credenciales de acceso a SWIFT. Los 81 millones de dólares transferidos representaron la parte no bloqueada por un error de escritura fortuito en el nombre de la cuenta receptora. El intento de robo fue de 1.000 millones de dólares.
Punto de entrada: credenciales de empleado para terminal SWIFT
Revolut — Septiembre 2022
50.150
Un ataque de ingeniería social extrajo una credencial de empleado. Datos de 50.150 clientes expuestos. La DPA lituana abrió una investigación formal.
Un ataque de ingeniería social dio a los atacantes acceso a la base de datos de clientes de Revolut a través de una credencial de empleado comprometida. 50.150 clientes tuvieron datos personales expuestos — nombres, direcciones, direcciones de correo electrónico y datos parciales de tarjetas de pago. La brecha desencadenó una ola inmediata de phishing dirigida a todos los 20 millones de clientes de Revolut, afectados o no — los atacantes usaron datos reales de reservas para construir fraudes convincentes. La DPA lituana abrió una investigación formal y Revolut enfrentó escrutinio regulatorio sobre su plazo de respuesta.
Punto de entrada: credencial de empleado vía ingeniería social
LoanDepot — Enero 2024
16,9M
ALPHV/BlackCat entró vía compromiso de credencial, cifró sistemas durante dos días y expuso a 16,9 millones de clientes. Sistemas offline durante semanas.
ALPHV/BlackCat cifró los sistemas de LoanDepot durante dos días tras el compromiso de credencial, exponiendo nombres, direcciones, números de cuentas financieras, números de teléfono y fechas de nacimiento de 16,9 millones de clientes. Los sistemas estuvieron offline durante semanas, interrumpiendo solicitudes de hipotecas a nivel nacional. Demandas colectivas se presentaron inmediatamente. El requisito de divulgación en 4 días de la SEC se puso a prueba en tiempo real durante la recuperación — la capacidad de LoanDepot para cumplir el plazo mientras gestionaba la respuesta activa al incidente ilustró la tensión operativa que crean las brechas de credenciales para instituciones financieras cotizadas.
Punto de entrada: compromiso de credencial, despliegue de ransomware

En todos los casos, las herramientas de seguridad verificaron al atacante como un usuario legítimo — porque la credencial era legítima. La falla no estaba en la capa del sistema. Estaba en la capa de credencial por encima de ella: una credencial en manos humanas que podía ser robada, phisheada u observada.

Panorama de riesgos

Seis riesgos de credenciales específicos de servicios financieros

El riesgo de credenciales en servicios financieros se amplifica por el valor financiero directo de lo que las credenciales acceden, el marco regulatorio de responsabilidad personal y la velocidad a la que una brecha se convierte en un evento de mercado.

01 — Financiero
Credenciales de sistemas de pago — camino directo a los fondos
En servicios financieros una credencial comprometida puede mover dinero. Bangladesh Bank demostró que un solo conjunto de credenciales SWIFT vale hasta 1.000 millones de dólares en un incidente.
Credenciales SWIFT, acceso a gateways de pago, inicios de sesión de plataformas de trading y credenciales de sistemas de tesorería proporcionan caminos directos a transferencias financieras. La credencial no es solo un token de acceso — es un instrumento al portador. Ningún otro sector tiene este riesgo a esta escala: una credencial comprometida de hospital expone registros; una credencial comprometida de pago transfiere fondos en tiempo real.
02 — Terceros
Acceso de fintech, proveedores y BPO a sistemas centrales
La brecha de C-Edge derribó 300 bancos a través de una credencial comprometida de un solo proveedor tercero. Cada proveedor con acceso a sistemas financieros es un potencial escenario de Bangladesh Bank.
Las instituciones financieras dependen de ecosistemas extensos de terceros — proveedores de core banking, procesadores de pago, integraciones fintech, centros de contacto BPO, proveedores de servicios gestionados. Cada uno posee credenciales para sistemas financieros. El Artículo 28 de DORA exige gobernanza demostrable del acceso ICT de terceros. «Nuestro proveedor tiene fuerte seguridad» no es gobernanza. Un log con timestamp de cada evento de credencial de tercero, con capacidad de revocación instantánea, es gobernanza.
03 — Insider
Uso indebido y fraude con credenciales de usuarios privilegiados
Servicios financieros tienen la mayor tasa de incidentes de amenaza interna de cualquier sector. Un empleado que puede ver sus credenciales de sistema de pago tiene la capacidad técnica para cometer fraude. La única defensa actual es la detección después del hecho.
Empleados con acceso a sistemas de pago, plataformas de trading y datos financieros de clientes poseen credenciales directamente convertibles en ganancia financiera. Si el empleado nunca posee la credencial — si MyCena la genera centralmente y la inyecta de forma invisible en la autenticación — el mecanismo de fraude interno se elimina. No monitoreado. Eliminado.
04 — Regulatorio
Responsabilidad personal de DORA — aplicada desde enero de 2025
El Artículo 5 de DORA coloca responsabilidad directa sobre la dirección nombrada por riesgo ICT. Individuos nombrados pueden ser multados personalmente y prohibidos de roles de gestión por fallos de gobernanza de control de acceso.
La EBA ha confirmado que gerentes senior individuales en entidades financieras pueden ser responsabilizados personalmente por fallos de gobernanza — incluyendo fallos de control de acceso en proveedores terceros. «Nuestro proveedor lo gestiona» es explícitamente insuficiente bajo DORA. Individuos nombrados son responsables. Un consejo informado sobre este riesgo que difiere la acción ahora ha documentado su conocimiento bajo el Artículo 5.
05 — Regulatorio
PCI DSS v4.0 — nuevos requisitos de gobernanza de credenciales
El Requisito 8 ahora exige autenticación única para todo acceso al entorno de datos de titulares de tarjeta. Credenciales compartidas fallan en múltiples requisitos simultáneamente. Multas de esquemas de tarjetas comienzan en 5.000 dólares/mes y escalan a 100.000 dólares/mes.
PCI DSS v4.0, efectivo en marzo de 2025, introduce requisitos de accountability individual del usuario para toda transacción de datos de titulares de tarjeta y eliminación de credenciales compartidas. Estos requisitos no existían al mismo nivel en v3.2.1. Instituciones que no han revisado su arquitectura de credenciales contra el Requisito 8 de v4.0 probablemente ya están fuera de conformidad. Las multas de PCI DSS se aplican a la institución independientemente de si la brecha se originó con un tercero.
06 — Velocidad
Divulgación en 4 días de la SEC y la brecha de descubrimiento de credenciales
El tiempo medio de permanencia de brechas de credenciales en servicios financieros es de 197 días. La SEC exige divulgación en 4 días. La mayoría de las instituciones no pueden cumplir la ventana para una brecha que aún no saben que ha ocurrido.
La SEC acusó personalmente al CISO de SolarWinds por engañar a inversores sobre prácticas de seguridad tras una brecha de credencial. La acción regulatoria personal contra ejecutivos nombrados no es hipotética. Directores que difieren acción sobre una brecha conocida de gobernanza de credenciales mientras atestiguan prácticas de seguridad sólidas enfrentan la misma exposición. La ventana de cuatro días no es un desafío de plazo de divulgación — es un incentivo para garantizar que las brechas de credenciales se prevengan estructuralmente en lugar de detectarse tarde.

«Los servicios financieros han invertido más en verificación de identidad que cualquier otro sector. Ninguna de esas inversiones gobierna la propia credencial — quién la creó, quién la posee y si puede revocarse en segundos cuando algo sale mal.»

Dónde se aplica el control de credenciales

Los puntos de entrada de credenciales de servicios financieros que MyCena cierra

MyCena gobierna la capa de autenticación por encima de los sistemas financieros — donde ha entrado toda gran brecha. Ninguna plataforma de core banking modificada. Ninguna infraestructura de pago alterada.

MyCena gobierna
Acceso a sistemas de pago y SWIFT
Credenciales de empleados y operadores para terminales de pago, interfaces SWIFT y sistemas de liquidación
✓ Vector de credencial SWIFT de Bangladesh Bank — cerrado estructuralmente
Los operadores se autentican en sistemas de pago a través de MyCena — nunca ven ni poseen la credencial. El ataque a Bangladesh Bank requirió semanas de observación de credencial antes de que pudieran construirse transferencias fraudulentas. MyCena no proporciona nada que observar: la credencial es invisible en todos los puntos de la sesión. Nada que observar, nada que copiar, nada que usar desde fuera de la sesión autorizada.
MyCena gobierna
Acceso de fintech y proveedores terceros
Acceso remoto de proveedores de core banking, credenciales de API fintech, acceso de agentes BPO y MSP a sistemas de clientes
✓ Gobernanza de acceso de terceros del Artículo 28 de DORA — satisfecha estructuralmente
Todo proveedor tercero, integración fintech y centro de contacto BPO que accede a sistemas financieros lo hace a través de credenciales que la institución genera y controla. El Artículo 28 de DORA exige gobernanza demostrable del acceso ICT de terceros — no afirmaciones contractuales sobre prácticas de seguridad del proveedor. El log con timestamp de cada evento de credencial de tercero, con capacidad de revocación instantánea, es la gobernanza que exige DORA.
MyCena gobierna
Acceso de estaciones de trabajo y sistemas de empleados
Credenciales de banqueros, analistas y administradores en sistemas de trading, CRM, core banking y cumplimiento
✓ Mecanismo de credencial de ingeniería social y fraude interno — eliminado estructuralmente
Todo empleado se autentica a través de MyCena. Ninguna credencial es creada por el empleado, poseída por el empleado o conocida por el empleado. El ataque de ingeniería social de Revolut extrajo una credencial mediante manipulación del empleado — una credencial que existía en posesión de ese empleado para ser extraída. Con MyCena, no hay nada que el empleado pueda entregar. El mecanismo se elimina, no se monitorea.
MyCena gobierna
Agentes de IA en flujos de trabajo financieros
Agentes de trading automatizado, IA de detección de fraude y herramientas de monitoreo de cumplimiento accediendo a sistemas financieros
✓ Gobernanza de credenciales de agentes de IA — obligaciones de riesgo de IA de DORA y FCA abordadas
Agentes de IA desplegados en flujos de trabajo financieros poseen credenciales para los sistemas a los que acceden. Esas credenciales suelen ser creadas por desarrolladores, almacenadas en archivos de configuración y no gobernadas por nadie. Bajo MyCena, las credenciales de agentes de IA se generan centralmente, se atribuyen individualmente y son revocables instantáneamente cuando la implementación cambia. La proporción 82:1 de agentes de IA a usuarios humanos en entornos empresariales está llegando a los servicios financieros — la gobernanza de credenciales debe estar en su lugar antes de la implementación, no descubierta después de una brecha.
Qué entrega MyCena

Gobernanza estructural de credenciales — la evidencia que DORA, FCA y PCI DSS exigen

Los reguladores no quieren documentos de política. Quieren evidencia demostrable, continua y auditable de que el acceso está gobernado. MyCena genera esa evidencia automáticamente.

Credenciales de pago — nada que phishear o ingeniar socialmente
Los operadores de sistemas de pago e interfaces SWIFT nunca ven ni poseen sus credenciales. La ingeniería social y la observación interna no pueden extraer una credencial que no existe en forma visible para humanos. El ataque a Bangladesh Bank requirió semanas de observación de credencial antes de que la fraude fuera posible. MyCena no proporciona nada que observar en ningún punto de la sesión.
Artículo 28 de DORA — gobernanza de acceso de terceros bajo demanda
Todo proveedor tercero, socio fintech y agente BPO que accede a sistemas financieros lo hace a través de credenciales que la institución generó y controla. Revocación instantánea demostrada. Log continuo con timestamp de acceso disponible para reguladores bajo demanda — no ensamblado antes del examen.
Requisito 8 de PCI DSS v4.0 — satisfecho arquitectónicamente
Factores de autenticación individuales para todo acceso al entorno de datos de titulares de tarjeta, accountability individual para cada evento de acceso, cero credenciales compartidas — todo satisfecho arquitectónicamente. Los evaluadores de PCI DSS v4.0 reciben el log continuo de acceso, no una afirmación de política ensamblada antes de la evaluación.
Responsabilidad del consejo y D&O — gobernanza documentada, no exposición documentada
Directores nombrados que aprobaron la implementación de MyCena tienen evidencia documentada de que la brecha de gobernanza de credenciales fue identificada y abordada estructuralmente. Bajo el Artículo 5 de DORA, Artículo 20 de NIS2 y FCA SMCR, la decisión de implementar MyCena es la decisión que protege la responsabilidad personal — no la que la crea. Un consejo informado sobre este riesgo que difiere la acción ha documentado su conocimiento sin documentar acción.
La pregunta de responsabilidad del consejo

La investigación de Bangladesh Bank encontró cinco funcionarios que habían creado vulnerabilidades de credenciales en el sistema de acceso SWIFT. Bajo la DORA y el FCA SMCR de hoy, esos funcionarios enfrentarían responsabilidad personal. Un consejo presentado con esta página y que elige diferir la acción ahora ha documentado su conocimiento de una brecha conocida de gobernanza de credenciales. Bajo el Artículo 20 de NIS2 y el Artículo 5 de DORA, el conocimiento documentado sin acción es la responsabilidad regulatoria.

Cómo funciona

Gobernanza de credenciales sin modificar la infraestructura financiera

Ninguna plataforma de core banking modificada. Ninguna infraestructura de pago alterada. Ningún sistema de trading interrumpido.

Paso 01
La institución genera todas las credenciales de forma centralizada
Toda credencial para todo sistema financiero — empleado, proveedor, agente de IA — es generada por la institución. Ningún individuo crea su propio acceso. La propiedad de la credencial es institucional desde el momento de la creación.
Paso 02
Inyección invisible — nada que phishear o robar
Los empleados hacen clic para conectarse. MyCena inyecta la credencial en la autenticación — nunca se muestra, nunca se escribe, nunca se posee. Un ataque de ingeniería social no encuentra ninguna credencial que extraer. Un insider no encuentra nada que vender.
Paso 03
Log de acceso continuo — evidencia DORA y FCA generada automáticamente
Todo evento de credencial registrado — usuario, sistema, timestamp. La evidencia del Artículo 28 de DORA es continua. El log de auditoría del Requisito 8 de PCI DSS está bajo demanda. Los reguladores reciben el log, no un documento ensamblado bajo presión de examen.
Paso 04
Revocación instantánea — cualquier usuario, todos los sistemas, cuatro segundos
Relación con proveedor termina, empleado se va o se sospecha brecha: un solo comando, todo acceso revocado en segundos, log con timestamp producido. La ventana de 4 días de la SEC comienza desde el descubrimiento — revocación instantánea significa que la ventana de permanencia es de segundos, no de meses.
Marco regulatorio

DORA, FCA SMCR, PCI DSS v4.0, NIS2, SEC

Todo marco requiere evidencia técnica demostrable — no afirmaciones de política. MyCena genera esa evidencia continuamente.

DORA — Artículos 5, 9, 28
Artículo 5: responsabilidad personal de la dirección por riesgo ICT. Artículo 9: requisitos de gobernanza de control de acceso. Artículo 28: gestión de riesgo ICT de terceros que exige gobernanza demostrable de acceso y capacidad de revocación instantánea. Aplicación desde enero de 2025. Responsabilidad personal para individuos nombrados confirmada por la EBA.
✓ Satisfecha
FCA SMCR — PS21/3
Gerentes Senior nombrados son personalmente responsables de fallos de resiliencia operacional. La gobernanza de credenciales es un componente explícito de las expectativas de resiliencia operacional de la FCA. La FCA exige que las instituciones financieras demuestren — no afirmen — que el acceso a sistemas críticos está gobernado, es atribuible y recuperable dentro de las tolerancias de impacto.
✓ Satisfecha
PCI DSS v4.0 — Requisito 8
El Requisito 8 de PCI DSS v4.0 exige autenticación única para todo acceso al entorno de datos de titulares de tarjeta, accountability individual para cada evento de acceso y eliminación de credenciales compartidas. MyCena satisface los tres arquitectónicamente — credenciales individuales por usuario, todo acceso atribuido a un individuo nombrado, ninguna credencial compartida estructuralmente posible.
✓ Satisfecha
NIS2 — Artículos 20 & 21
Operadores de servicios esenciales bajo NIS2 enfrentan responsabilidad personal de la dirección por fallos de gobernanza de control de acceso (Artículo 20) y deben demostrar seguridad de la cadena de suministro incluyendo gobernanza de credenciales de terceros (Artículo 21). Logs técnicos continuos satisfacen los requisitos de evidencia de NIS2 donde los documentos de política no lo hacen.
✓ Satisfecha
Regla de Divulgación Cibernética de la SEC
Instituciones financieras cotizadas en bolsa deben divulgar incidentes cibernéticos materiales en un plazo de cuatro días hábiles. La SEC acusó personalmente al CISO de SolarWinds por engañar a inversores sobre prácticas de seguridad. Directores que constan como habiendo sido informados de una brecha de gobernanza de credenciales y no actuaron están específicamente en riesgo bajo esta regla y bajo cláusulas de exclusión de D&O.
✓ Satisfecha
Seguro cibernético
Las primas de seguro cibernético para servicios financieros están en máximos sostenidos tras la ola de brechas de 2024. Los suscriptores evalúan explícitamente la gobernanza de acceso de terceros y el control de credenciales como factores de calificación. La madurez de gobernanza de credenciales nivel 4–5 — demostrada por el log continuo de acceso y la capacidad de revocación instantánea de MyCena — apoya la negociación de prima en la renovación.
✓ Satisfecha
Briefing para consejo de servicios financieros
Un briefing listo para el consejo de 45 minutos — DORA, FCA SMCR, PCI DSS v4.0 y el panorama de responsabilidad personal.
Reservar un briefing listo para el consejo →
MyCena
Powered by  GDPR Cookie Compliance
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.