Las violaciones más trascendentales en la historia de la seguridad nacional comenzaron todas con un inicio de sesión.

SolarWinds y OPM no fueron vulneradas — fueron accedidas mediante credenciales que nadie controlaba. SolarWinds alcanzó la NSA, el Tesoro y el Departamento de Estado. La violación de OPM expuso 22 millones de expedientes de autorizaciones de seguridad. MyCena cierra esa brecha de control de credenciales para personal con autorización, contratistas y los agentes de IA que se están implementando.
Solicitar una presentación de seguridad →
0
Organizaciones violadas mediante una sola credencial de proveedor de SolarWinds — incluyendo NSA, Tesoro, Departamento de Estado
0
Registros de autorizaciones de seguridad robados en la violación de OPM — mediante una sola credencial de contratista
0
Tiempo de permanencia de SolarWinds — no detectado porque la credencial era válida
0
Requisito de certificación personal para individuos designados responsables de la gobernanza del acceso a CUI
El patrón

Tres brechas. Todas entraron por la capa de credenciales de la cadena de suministro.

Todas las principales brechas de credenciales de seguridad nacional en la última década siguieron la misma falla arquitectónica: una credencial en manos de un contratista o proveedor — fuera del control de la organización gubernamental — utilizada como punto de entrada a redes clasificadas y sensibles.

SolarWinds — 2020
$90M+
Atacantes patrocinados por estados comprometieron el entorno de compilación de SolarWinds e insertaron una puerta trasera en la actualización del software Orion.
18.000 organizaciones instalaron la actualización comprometida. La NSA, el Tesoro, el Departamento de Estado y el DoD estuvieron entre los afectados. Tiempo de permanencia: 9 meses. Detección: solo cuando una empresa de ciberseguridad descubrió el malware en su propia red.
Punto de entrada — credencial de compilación del proveedor, cadena de suministro de software
OPM — 2014–2015
22.1M
Atacantes patrocinados por estados utilizaron una credencial robada de un contratista de KeyPoint Government Solutions para acceder a las bases de datos de investigaciones de antecedentes de la OPM.
Archivos de autorización de seguridad de 22,1 millones de empleados federales actuales y anteriores, contratistas y sus familias fueron exfiltrados. Datos biométricos de huellas dactilares de 1,1 millones de personas fueron robados. El director del FBI, Comey, lo calificó como «un asunto muy serio desde la perspectiva de la seguridad nacional.»
Punto de entrada — credencial de contratista robada, sistemas de investigación de antecedentes
US Courts / CISA — 2020–2021
En curso
Tras SolarWinds, la Oficina Administrativa de los Tribunales de EE. UU. confirmó que su sistema de gestión de casos fue comprometido, poniendo en riesgo documentos judiciales sellados.
CISA emitió una guía indicando que todas las credenciales expuestas al software SolarWinds deben considerarse comprometidas. El exasesor de Seguridad Nacional Thomas Bossert advirtió que podría tomar años expulsar a los atacantes de las redes de EE. UU.
Punto de entrada — credenciales comprometidas, cadena de proveedores de confianza

En SolarWinds y OPM, el atacante se autenticó como un usuario legítimo. Los perímetros de seguridad — firewalls, detección de intrusiones, monitoreo de anomalías — vieron credenciales válidas siendo utilizadas por sistemas y personas reconocidas. Nueve meses en SolarWinds. Casi un año en OPM. Una sola credencial abrió redes que contenían los datos de seguridad nacional más sensibles del mundo. Y en ambos casos, estaba en manos de un contratista — no de la organización gubernamental que debía protegerla.

Panorama de riesgos

Seis riesgos de credenciales específicos para defensa y gobierno

Los entornos de defensa y gobierno incorporan la brecha estándar de credenciales empresariales — amplificada por información clasificada, poblaciones de contratistas con autorización, cadenas de suministro complejas y mandatos de implementación de IA que están creando riesgos de identidad no humana a gran velocidad.

01 — Seguridad nacional
Acceso a credenciales clasificadas y CUI
Las credenciales que acceden a Información No Clasificada Controlada (CUI) y redes clasificadas son los objetivos de mayor valor en el panorama de amenazas. Los actores patrocinados por Estados atacan específicamente credenciales de contratistas como punto de entrada a redes gubernamentales — porque los contratistas suelen estar menos protegidos que las organizaciones gubernamentales a las que sirven, y sus credenciales proporcionan acceso directo a los sistemas de los que dependen esas organizaciones.
Una brecha de credenciales en un entorno de defensa no causa primero una pérdida económica. Compromete la seguridad operacional, expone fuentes de inteligencia y puede poner en riesgo al personal en el terreno.
02 — Cadena de suministro
Credenciales de contratistas y proveedores autorizados
Las organizaciones de defensa y gobierno dependen de extensos ecosistemas de contratistas — personal autorizado, proveedores de servicios gestionados, proveedores de software, integradores de sistemas. Cada uno posee credenciales para redes gubernamentales. SolarWinds llegó a 18.000 organizaciones a través de la credencial de compilación de un proveedor. OPM fue comprometido mediante la credencial robada de un contratista. La credencial de la cadena de suministro es la superficie de ataque más difícil de ver y más rápida de explotar.
El director de OPM confirmó en testimonio ante el Congreso que la brecha ocurrió a través de una credencial de contratista. 22,1 millones de archivos de seguridad fueron la consecuencia.
03 — Mandato de despliegue de IA
Brecha de gobernanza de credenciales de IA en el NDAA FY26
El National Defense Authorization Act FY26 exige gobernanza de IA demostrable en redes de defensa. Cada agente de IA desplegado en redes gubernamentales posee credenciales para los sistemas a los que accede. Esas credenciales son creadas por equipos de desarrollo, almacenadas en entornos de configuración y normalmente no están gobernadas por ninguna autoridad central. El mandato exige gobernanza de IA — la gobernanza de credenciales para identidades no humanas es la capa no resuelta de ese requisito.
Los agentes de IA en redes de defensa sin gobernanza de credenciales son la próxima superficie de ataque equivalente a SolarWinds: no gobernada, confiable y operando a velocidad de máquina.
04 — Regulatorio
Certificación personal CMMC 2.0
El CMMC 2.0 exige que los contratistas de defensa certifiquen su postura de ciberseguridad — incluyendo certificación individual nominada para la alta dirección responsable de la gobernanza de acceso a CUI. A diferencia de marcos anteriores de cumplimiento, el CMMC 2.0 coloca responsabilidad personal en individuos nominados por fallos de control de acceso. Las afirmaciones de política no son suficientes — se requieren controles técnicos demostrables para la certificación Nivel 2 y Nivel 3.
En CMMC 2.0, el control de acceso débil no es una brecha de cumplimiento — es responsabilidad personal.
05 — Amenaza interna
Uso indebido de credenciales por personal autorizado
La amenaza interna en entornos de defensa es especialmente peligrosa porque el personal autorizado tiene acceso legítimo a sistemas sensibles. Cuando un empleado autorizado decide abusar de ese acceso — o es coaccionado por un servicio de inteligencia extranjero — está utilizando una credencial real para un sistema real al que está autorizado. Las herramientas de monitoreo ven comportamiento normal. La credencial en sí es el vector de ataque, no la brecha de detección.
El abuso interno es una vía de ataque activa permanente donde los empleados poseen credenciales.
06 — Cumplimiento Zero Trust
Orden Ejecutiva 14028 y la capa de credenciales
La Orden Ejecutiva 14028 exige arquitectura Zero Trust en agencias federales de EE. UU. La guía del NCSC y del Cabinet Office impulsa el mismo marco para el gobierno del Reino Unido. Zero Trust verifica la identidad en cada solicitud de acceso — pero depende de que la credencial presentada sea legítima. Una credencial robada, de phishing o usada después de la salida de un contratista aún pasa la verificación Zero Trust. La gobernanza ZTA requiere control de credenciales como su capa fundamental.
Zero Trust sin control de credenciales verifica al atacante como un usuario legítimo.

«Los atacantes pasaron nueve meses dentro de la NSA, el Tesoro y el Departamento de Estado porque una credencial era válida. El perímetro nunca se activó. La detección nunca saltó.»

Dónde se aplica el control de credenciales

Los puntos de entrada de credenciales de defensa que MyCena elimina

MyCena gobierna la capa de credenciales por encima de sistemas clasificados y sensibles — el acceso VPN de contratistas y proveedores, las credenciales del pipeline de desarrollo, la autenticación de personal autorizado y las identidades de agentes de IA desplegados en redes de defensa. No requiere modificar sistemas clasificados ni cambiar arquitecturas de seguridad.

MyCena gobierna
Acceso remoto de contratistas y proveedores
Credenciales VPN, escritorio remoto y acceso a sistemas de contratistas autorizados
Todo contratista autorizado se autentica a través de MyCena. La organización gubernamental genera la credencial — el contratista nunca la posee — y revoca todo el acceso en segundos cuando el contrato termina, cambia la autorización o se detecta un incidente. El vector de entrada de OPM — una credencial de contratista robada — se cierra estructuralmente cuando el contratista no posee la credencial en primer lugar.
✓ Patrón de entrada OPM y SolarWinds — cerrado estructuralmente
MyCena gobierna
Credenciales de build de software y pipeline de desarrollo
Credenciales de desarrollador, acceso a sistemas de build, autenticación CI/CD
SolarWinds entró en el gobierno de EE. UU. a través de una credencial de entorno de build comprometida. MyCena gobierna la capa de autenticación de los pipelines de desarrollo y build — los desarrolladores nunca ven las credenciales que acceden a sistemas de producción y gobierno. Generación central, inyección invisible y revocación instantánea cuando un desarrollador sale o termina un contrato.
✓ Vector de supply chain SolarWinds — cerrado en la capa de credenciales de build
MyCena gobierna
Acceso de estaciones de trabajo de personal autorizado
Autenticación de empleados gubernamentales y personal autorizado en sistemas sensibles
Cada empleado autorizado accede a sistemas sensibles a través de MyCena — ninguna contraseña se crea, almacena o conoce. Actores internos maliciosos no pueden compartir o vender credenciales que no poseen. Servicios de inteligencia extranjeros no pueden extraer credenciales mediante coerción. El acceso está atribuido, registrado y es revocable. Los requisitos de control de acceso CMMC 2.0 se cumplen arquitectónicamente.
✓ Mecanismo de credencial de amenaza interna — eliminado estructuralmente
MyCena gobierna
Agentes de IA en redes de defensa
Agentes autónomos de IA, procesos automatizados e identidades de máquina bajo el mandato de IA del NDAA FY26
Los agentes de IA desplegados en redes de defensa tienen credenciales para los sistemas que acceden. En MyCena, esas credenciales se generan centralmente, se asignan al agente específico, nunca se incrustan en archivos de configuración ni son conocidas por desarrolladores, y se revocan instantáneamente cuando cambia el despliegue. El mandato de gobernanza de IA del NDAA FY26 exige control demostrable — esta es la capa de credenciales requerida por ese mandato.
✓ Gobernanza de credenciales de IA NDAA FY26 — cumplimiento estructural desde el despliegue
Lo que entrega MyCena

Control estructural de credenciales para entornos de personal autorizado y contratistas

Los puntos de entrada en cada gran brecha de seguridad nacional estaban en la capa de credenciales de contratistas y proveedores. MyCena cierra esos puntos de entrada sin modificar sistemas clasificados, cambiar arquitecturas de seguridad o alterar los patrones operativos de acceso del personal autorizado.

Credenciales de cadena de suministro — propiedad del gobierno, no del contratista
Todo contratista, proveedor y socio que accede a redes gubernamentales lo hace mediante credenciales generadas y controladas por la organización gubernamental. Cuando un contrato termina — o cuando se detecta un incidente — todo el acceso se revoca en segundos en todos los sistemas que el contratista haya tocado. SolarWinds permaneció nueve meses porque no existía capacidad estructural de revocación. MyCena proporciona esa capacidad.
Personal autorizado — nada que coaccionar, nada que vender
El personal autorizado nunca posee credenciales en forma visible. Un servicio de inteligencia extranjero que coacciona a un empleado para entregar credenciales descubre que no hay nada que entregar — el empleado nunca las vio. El mecanismo de credencial de amenaza interna se elimina, no se monitoriza.
CMMC 2.0 — requisitos de control de acceso cumplidos arquitectónicamente
CMMC 2.0 Nivel 2 y Nivel 3 requieren control de acceso demostrable para CUI — atribución individual, logs de acceso y revocación instantánea. MyCena cumple estos requisitos de forma arquitectónica en lugar de mediante políticas. El registro de auditoría continuo se genera automáticamente y está disponible bajo demanda.
Zero Trust — integridad de credenciales antes de la verificación de identidad
La arquitectura Zero Trust verifica la identidad en cada solicitud de acceso. Esa verificación solo es válida si la credencial presentada es legítima. MyCena garantiza la integridad de credenciales — no pueden ser robadas, compartidas ni persistir tras la salida del usuario — por lo que ZTA verifica lo que dice verificar.
La cuestión SolarWinds
El exasesor de Seguridad Nacional Thomas Bossert advirtió tras SolarWinds que expulsar a los atacantes podría llevar años — porque una credencial válida de proveedor permitió meses de persistencia en miles de redes. Si SolarWinds hubiera desplegado control de credenciales, la credencial de acceso al entorno de build no habría existido en manos humanas. El efecto cascada en 18.000 organizaciones no habría sido posible desde ese punto de entrada.
Cómo funciona

Control de credenciales sin modificar infraestructura clasificada

MyCena se despliega como una capa de software sobre las arquitecturas de seguridad existentes. Ningún sistema clasificado se modifica. Ningún proceso de habilitación de seguridad se cambia. Ninguna implementación de ZTA se interrumpe.

Paso 01
Credenciales generadas por el gobierno — el contratista nunca crea las suyas
Todas las credenciales para acceso a redes gubernamentales — contratistas, proveedores, personal autorizado, agentes de IA — son generadas centralmente por la organización gubernamental. El contratista no crea contraseña. El proveedor no trae credenciales de su propio entorno. La propiedad de la credencial es gubernamental desde el momento de su creación.
Paso 02
Inyección invisible — nada que robar, nada que coaccionar
Contratistas y personal autorizado hacen clic para conectarse. MyCena inyecta la credencial en la autenticación — nunca es visible, nunca se teclea, nunca se almacena. Un servicio de inteligencia extranjero que apunta a un empleado autorizado no encuentra ninguna credencial que extraer. Un actor patrocinado por un Estado que apunta a un contratista no encuentra nada en el endpoint para recolectar.
Paso 03
Mapa completo de acceso — cada contratista, cada sistema, cada evento
Cada evento de credencial se registra — qué contratista, qué sistema gubernamental, qué datos fueron accedidos, timestamp al segundo, desde qué dispositivo y ubicación. El mapa de acceso es completo y actualizado. Cuando inicia una investigación de incidente, la traza forense ya existe desde el primer día de implementación. Sin reconstrucción. Sin incertidumbre.
Paso 04
Revocación instantánea — fin de contrato, cambio de autorización o incidente
Un contrato termina: un comando, todo el acceso del contratista revocado en todos los sistemas gubernamentales simultáneamente en segundos. Una autorización se suspende: mismo comando, misma velocidad. Un incidente interno sospechoso: revocación inmediata antes de que se complete el movimiento lateral. La ventana de nueve meses de SolarWinds reducida a segundos.
Mapeo CMMC 2.0

Requisitos de control de acceso — CMMC 2.0 Nivel 2 y Nivel 3

CMMC 2.0 exige que los contratistas de defensa demuestren controles técnicos de acceso — no simples afirmaciones de políticas. Cada requisito de control de acceso del CMMC se alinea directamente con lo que MyCena entrega arquitectónicamente.

Requisito CMMC 2.0 Dominio Enfoque actual del mercado Enfoque MyCena Estructural
AC.1.001 — Limitar acceso al sistema a usuarios autorizados Control de Acceso Política IAM, aprovisionamiento de usuarios, revisión de acceso Credenciales generadas centralmente — solo usuarios autorizados son aprovisionados, sin creación de acceso autónomo
AC.1.002 — Limitar acceso a transacciones autorizadas Control de Acceso Control de acceso basado en roles Emisión de credenciales basada en roles — el alcance de acceso se aplica en la generación, no solo por política
AC.2.006 — Uso de cuentas no privilegiadas para actividades no privilegiadas Control de Acceso Política de cuentas separadas, formación de usuarios Credenciales separadas generadas por rol — acceso privilegiado y estándar gobernados de forma independiente
AC.2.013 — Monitorizar y controlar sesiones de acceso remoto Control de Acceso Logs de VPN, herramientas de monitorización de sesión Cada inyección de credencial de acceso remoto registrada con identidad del usuario, timestamp y detalles de sesión
AC.3.012 — Emplear mecanismos criptográficos para acceso remoto Control de Acceso TLS, cifrado VPN Credenciales distribuidas y almacenadas cifradas — nunca en texto plano en todo el ciclo de vida
AU.2.042 — Crear y conservar registros de auditoría del sistema Auditoría y Responsabilidad SIEM, recopilación manual de logs Registro continuo automatizado — cada evento de credencial atribuido, con timestamp y listo para auditoría bajo demanda
IA.1.076 — Identificar y autenticar usuarios del sistema Identificación y Autenticación Usuario/contraseña, MFA Credenciales individuales por usuario, generadas centralmente — cuentas compartidas estructuralmente imposibles
IA.3.083 — Uso de autenticación multifactor para acceso local y en red Identificación y Autenticación Despliegue MFA, tokens de hardware Autenticación MyCena más MFA — complementario, no sustituto

La metodología de evaluación CMMC 2.0 requiere evidencia técnica, no documentación de políticas. MyCena genera automáticamente los controles de acceso y evidencia de auditoría necesarios para certificación Nivel 2 y Nivel 3 — disponibles para revisión del evaluador bajo demanda en lugar de compilarse antes de la evaluación.

Marco regulatorio

CMMC 2.0, EO 14028, JSP 440 y FY26 NDAA — todos abordados estructuralmente

Los requisitos de gobernanza de credenciales en defensa y gobierno abarcan marcos de EE. UU. y Reino Unido. Cada marco relevante exige evidencia demostrable de control de acceso — MyCena la genera automáticamente.

CMMC 2.0 — Nivel 2 & 3
El Cybersecurity Maturity Model Certification exige controles técnicos de acceso para CUI — atribución individual de usuarios, registros de acceso, MFA y capacidad de revocación instantánea. El Nivel 3 requiere controles avanzados adicionales. La certificación individual aplica a los responsables de la gobernanza de acceso. La política no es suficiente — se requiere evidencia técnica.
✓ Dominios AC e IA — satisfechos estructuralmente, evidencia generada automáticamente
Orden Ejecutiva 14028
Las agencias federales deben implementar Arquitectura Zero Trust en sus redes. ZTA requiere que cada solicitud de acceso sea verificada contra una credencial válida y legítima. MyCena proporciona la capa de integridad de credenciales que hace significativa esa verificación — garantizando que la credencial presentada sea genuina, no robada ni persistente tras la salida del usuario.
✓ Prerrequisito de credencial ZTA — integridad estructural de credenciales
FY26 NDAA — Gobernanza de IA
El FY26 NDAA exige gobernanza demostrable de IA en redes de defensa, incluyendo responsabilidad por acceso y acciones de agentes de IA. Los agentes de IA que acceden a sistemas de defensa a través de MyCena tienen credenciales individualmente atribuidas, gobernadas centralmente y revocables instantáneamente — la capa de gobernanza de credenciales que exige el mandato.
✓ Gobernanza de credenciales de agentes de IA — mandato NDAA cumplido
UK JSP 440 & Cyber Essentials Plus
JSP 440 (Secure by Design) y Cyber Essentials Plus requieren autenticación individual, evidencia de control de acceso y gobernanza de contraseñas para sistemas con datos gubernamentales. Cyber Essentials Plus requiere verificación técnica de que los controles funcionan — no autoevaluación. MyCena satisface ambos mediante su modelo arquitectónico de control de credenciales.
✓ JSP 440 y CE Plus — cumplimiento arquitectónico, no solo de políticas
NCSC CAF — Principio B2
Para departamentos del gobierno del Reino Unido y operadores de CNI, el Principio B2 requiere que la identidad y el control de acceso se gestionen estructuralmente — no procedimentalmente. “Gestionar y mantener de forma estricta la identidad y el control de acceso para usuarios, dispositivos y sistemas”. MyCena es el mecanismo arquitectónico que cumple B2 en la capa de credenciales.
✓ CAF B2 — cumplido arquitectónicamente, no procedimentalmente
NIS2 — Servicios esenciales
Las organizaciones gubernamentales y de defensa clasificadas como servicios esenciales bajo NIS2 enfrentan responsabilidad personal de la dirección cuando falla la gobernanza de acceso. El Artículo 20 establece responsabilidad individual. La gobernanza de acceso de la cadena de suministro bajo el Artículo 21 exige control demostrable de credenciales de contratistas y proveedores — no solo políticas contractuales.
✓ NIS2 responsabilidad personal — mitigada estructuralmente
Briefing de Defensa y Gobierno
Un briefing técnico sobre gobernanza de credenciales para entornos clasificados y de contratistas — CMMC 2.0, ZTA y el mandato de IA del FY26 NDAA.
Reservar briefing de seguridad →
MyCena
Powered by  GDPR Cookie Compliance
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.