MyCena BPO y Centro de Contacto

Los incidentes

Tres casos documentados. Todos ingresaron a través de credenciales de un BPO o centro de contacto.

Las brechas en BPOs a menudo no se reportan como tales. Aparecen como «incidentes de terceros» en informes empresariales. En todos los casos, el punto de entrada fue una credencial de agente o ingeniero de soporte que el cliente no podía controlar estructuralmente.

Sitel Group / Okta — 2022

366

LAPSUS$ comprometió a un ingeniero de soporte de Sitel Group y utilizó esa credencial para acceder al sistema de soporte de Okta.

Una sola credencial comprometida afectó a 366 clientes de Okta. No fue un exploit técnico, sino una credencial en manos humanas.

Punto de entrada — credencial de ingeniero de soporte BPO

Brecha de socios de Booking.com — 2021, recurrente hasta 2026

532

Los atacantes comprometieron credenciales de agentes de centros de contacto con acceso al portal de socios.

Accedieron a datos reales de reservas y enviaron solicitudes de pago fraudulentas. 532 reportes y £370.000 en pérdidas.

Punto de entrada — credenciales de agentes

BPO de servicios financieros — patrón compuesto

$4.1M

IBM identifica estos entornos como de alto costo debido a la exposición multi-cliente.

El costo promedio puede multiplicarse con penalizaciones SLA.

Punto de entrada — credencial de agente

En todos los casos, la empresa de externalización de procesos de negocio (BPO) no fue la víctima designada, sino el cliente empresarial. Ese es el problema estructural. La infracción se produce a través de la BPO. El daño recae sobre el cliente. La responsabilidad contractual —penalizaciones por incumplimiento de los acuerdos de nivel de servicio (SLA), cláusulas de indemnización, cláusulas de rescisión por causa justificada— recae sobre la BPO. La BPO asume la consecuencia comercial de un riesgo que actualmente no puede prevenir mediante ningún mecanismo estructural.

Panorama de riesgos

Seis riesgos de credenciales específicos de operaciones BPO

El riesgo de credenciales en BPO no es solo de seguridad. Es un riesgo comercial. Impacta contratos, SLA, seguros y auditorías.

01 — Comercial

El agente vende o comparte credenciales

Un agente puede vender credenciales y acceder a todos los sistemas de clientes. No hay barrera técnica, solo política.

El BPO es responsable. No hay defensa — creó y entregó la credencial.

02 — Operativo

Ex-agente mantiene acceso activo

Alta rotación genera credenciales activas no revocadas. Aproximadamente 74 en cualquier momento.

Riesgo elevado y no considerado en muchos contratos.

03 — Financiero

Penalizaciones SLA en múltiples contratos

Una brecha impacta varios clientes simultáneamente.

Hasta £100.000 en penalizaciones inmediatas.

04 — Auditoría

Auditoría detecta fallos de acceso

Las empresas, especialmente las de los sectores financiero, sanitario y minorista, realizan auditorías de gestión de acceso cada vez más exhaustivas a sus proveedores de externalización de procesos de negocio (BPO). Las credenciales compartidas, el acceso no revocado de antiguos agentes y la imposibilidad de generar registros de acceso individuales son los tres hallazgos más comunes. El coste de la auditoría es manejable. Sin embargo, las consecuencias de un hallazgo —la necesidad de subsanar el problema, la revisión del contrato o la activación del derecho a rescindirlo— no lo son.

Puede causar pérdida de cliente.

05 — Seguro

Aumento de primas por falta de control

Las aseguradoras cibernéticas están evaluando explícitamente la gobernanza del acceso de terceros como un factor de calificación. Aon y Marsh aconsejan a sus clientes de BPO que demostrar un control estructural de las credenciales —y no solo una política— es una herramienta para reducir las primas. El recargo actual para una empresa de BPO de cobro de pagos de tamaño mediano es de entre 200 000 y 500 000 libras esterlinas anuales, atribuible específicamente a la deficiencia en la gobernanza de las credenciales.

MyCena reduce este costo.

06 — Regulatorio

Obligaciones GDPR, DORA y FCA

Según el RGPD, la empresa cliente es el responsable del tratamiento de datos y el proveedor de servicios de externalización de procesos de negocio (BPO) es el encargado del tratamiento. La obligación de notificar la violación de seguridad en un plazo de 72 horas comienza cuando el BPO la descubre, no cuando se lo comunica al cliente. Según la Ley de Reforma de la Violación de Datos (DORA), los clientes del sector de servicios financieros deben demostrar la gobernanza de los controles de acceso de sus proveedores de BPO. El BPO que no pueda proporcionar pruebas técnicas de la atribución de acceso individual y la revocación instantánea se expone a riesgos regulatorios para sus clientes del sector de servicios financieros.

Fallas afectan la renovación de contratos.

El cambio operativo

Qué cambia en toda la operación del BPO

El problema de credenciales aparece cada día en tickets, onboarding, auditorías y offboarding. MyCena elimina el mecanismo que lo genera.

Sin control de credenciales — hoy

✗

El agente entra. TI crea credenciales o el agente las crea. Desde el primer día, la credencial está en manos del agente — visible, copiable y vendible.

✗

El agente accede desde cualquier lugar. No existe un mecanismo estructural que impida copiar o fotografiar credenciales.

✗

El agente se va. Proceso manual en múltiples sistemas. 3,2 días promedio. Credenciales activas permanecen.

✗

Auditor solicita logs. TI tarda 48–72 horas en compilarlos. Evidencia incompleta.

✗

Cliente pregunta: «¿Puede garantizar que no comparten credenciales?» La respuesta es no.

Con MyCena

✓

El agente entra. MyCena genera credenciales. El agente nunca las ve ni las posee.

✓

Acceso desde cualquier dispositivo. Las credenciales nunca se muestran.

✓

El agente se va. Acceso revocado en segundos.

✓

Logs disponibles bajo demanda.

✓

Cliente pregunta. Respuesta: sí, estructuralmente.

Lo que entrega MyCena

Control estructural de credenciales — y la capacidad comercial que crea

MyCena se implementa en pocos días sin cambios en la infraestructura. Los agentes experimentan una sola diferencia: hacen clic para conectarse en lugar de escribir una contraseña. Todo lo demás — la generación de credenciales, el registro de accesos y la revocación — ocurre automáticamente en segundo plano.

Los agentes nunca poseen credenciales — estructuralmente imposible de vender o compartir

El BPO genera todas las credenciales. Los agentes hacen clic para conectarse. No hay nada visible, copiable o transmisible. El fraude interno mediante venta de credenciales queda estructuralmente eliminado — no monitoreado, no resuelto con formación. Eliminado.

Desincorporación en segundos — cero exposición de credenciales inactivas

Cuando un agente se va, un comando revoca todos los accesos en todos los sistemas del cliente simultáneamente. Registro con timestamp generado automáticamente. El promedio de 3,2 días pasa a 4 segundos. Las 74 credenciales inactivas se convierten en cero. Permanentemente.

Registros de acceso individuales — continuos, atribuidos, bajo demanda

Cada evento de acceso registrado por identidad del agente, sistema del cliente, timestamp. El registro de auditoría no se construye antes de la inspección — se genera continuamente como subproducto de la operación normal. Los auditores del cliente lo reciben bajo demanda. Los hallazgos de auditoría en gobernanza de acceso desaparecen.

Restablecimiento de contraseñas eliminado — productividad de agentes recuperada

Los agentes nunca poseen contraseñas — no hay nada que expire, se olvide o se restablezca. La categoría de tickets del service desk para eventos de credenciales de agentes cae a cero. Con 11 minutos por agente por día de fricción de inicio de sesión en 1.000 agentes: el equivalente a 45 puestos de agentes a tiempo completo recuperados anualmente.

“El cliente bancario no pregunta si sus agentes podrían compartir credenciales. Pregunta si es estructuralmente posible. Si la respuesta es sí — si el agente posee la credencial en cualquier forma — el BPO tiene una pregunta que no puede responder con políticas.”

La pregunta de Sitel

Cuando LAPSUS$ comprometió al ingeniero de soporte de Sitel en 2022, la credencial estaba en manos humanas. Podía ser tomada — y lo fue. 366 clientes empresariales de Okta fueron la consecuencia. El ingeniero de Sitel no habría tenido una credencial que entregar si Sitel hubiera implementado MyCena. No habría nada que tomar. Esa es la diferencia estructural entre política y arquitectura.

Cómo funciona

Implementado en días. Los agentes hacen clic para acceder. Nada más cambia.

MyCena se despliega como una capa de software sobre los entornos existentes. No se modifica ningún sistema, CRM ni infraestructura.

Paso 01

El BPO genera todas las credenciales

Cada credencial para cada sistema cliente es generada por el BPO a través de MyCena. Ningún agente crea su propio acceso. Ninguna credencial se comparte mediante un gestor de contraseñas de equipo ni se copia de un PAM del cliente. La propiedad de las credenciales pertenece al BPO, no al agente, desde el momento de su creación. El BPO ahora puede demostrar esto por escrito.

Paso 02

El agente hace clic — sin visibilidad ni almacenamiento

Los agentes ven un icono del sistema del cliente en su espacio de trabajo. Hacen clic. MyCena inserta la credencial durante la autenticación; esta nunca se muestra en pantalla, nunca se introduce, nunca se guarda en la memoria ni en el portapapeles. Ningún software de monitorización, grabación de pantalla ni captura de pantalla puede registrarla. El mecanismo interno de fraude se elimina, no se detecta.

Paso 03

Logs automáticos continuos

Se registra cada evento de acceso: qué agente, qué sistema cliente, qué sesión y la hora exacta. El paquete mensual de evidencia de cumplimiento se genera automáticamente y se formatea para su presentación al auditor del cliente. La respuesta a la solicitud de «muéstrame el registro» está disponible en segundos, no en días. Los costos de preparación de la auditoría se reducen prácticamente a cero.

Paso 04

Revocación inmediata

El agente se retira: un comando, se revoca todo el acceso en todos los sistemas cliente, se genera un registro con marca de tiempo. Cláusula de penalización del SLA: no se puede activar porque no hay mecanismo de violación de credenciales. Hallazgo de auditoría sobre acceso no revocado: imposible. Las 74 credenciales inactivas: permanentemente cero. El riesgo comercial: eliminado estructuralmente.

Requisitos de auditoría del cliente

Las preguntas que sus clientes están a punto de hacer

Los clientes empresariales están reforzando la gobernanza de acceso en BPO. Estas son las preguntas que MyCena permite responder con evidencia, no solo con políticas.

FCA / DORA — acceso de terceros

Las normas SYSC 8 y el artículo 28 de DORA exigen que las organizaciones de servicios financieros demuestren la gobernanza de los controles de acceso de sus proveedores de BPO, incluyendo la capacidad de revocación instantánea y los registros de acceso individuales. El cliente del BPO es la entidad regulada. La capacidad de gobernanza de credenciales del BPO constituye la evidencia regulatoria del cliente. MyCena la proporciona de forma continua.

✓ Evidencia continua DORA Artículo 28

PCI DSS v4.0

Para las empresas de externalización de procesos de negocio (BPO) que gestionan datos de tarjetas de pago en nombre de sus clientes: la norma PCI DSS exige identificadores de usuario únicos para todas las personas que acceden a los datos de los titulares de tarjetas, la revocación inmediata del acceso ante cambios de personal y registros de auditoría que abarquen todos los accesos. Las credenciales compartidas y los plazos de revocación de 3,2 días incumplen simultáneamente los tres requisitos. MyCena cumple con estos tres requisitos desde el punto de vista arquitectónico.

✓ Cumplimiento estructural PCI DSS

GDPR — obligaciones del procesador

El BPO actúa como procesador de datos. El cliente empresarial es el responsable del tratamiento de datos. Según el artículo 28, el BPO debe implementar medidas técnicas que garanticen que solo el personal autorizado acceda a los datos personales. Las políticas no constituyen una medida técnica. El control estructural de credenciales —donde el acceso está regulado arquitectónicamente— cumple con la obligación técnica del artículo 28, algo que las políticas no pueden hacer.

✓ Control técnico conforme al Artículo 28

ISO 27001:2022 — control de acceso

El apartado A.9 exige la eliminación inmediata de los derechos de acceso en caso de cambio de contrato o baja, la autenticación individual de los usuarios (sin credenciales compartidas) y el registro de auditoría de los eventos de acceso. MyCena cumple con estos tres requisitos desde el punto de vista arquitectónico. Para las empresas de externalización de procesos de negocio (BPO) que prestan servicios a clientes con certificación ISO 27001, esta evidencia es obligatoria, y MyCena la genera automáticamente.

✓ Cumplimiento ISO 27001

OCC / FFIEC — supervisión bancaria

Los reguladores bancarios estadounidenses exigen una supervisión continua de los controles de acceso de los proveedores externos. Las empresas de externalización de procesos de negocio (BPO) que prestan servicios a bancos estadounidenses se enfrentan a riesgos de auditoría si no pueden aportar pruebas demostrables y auditables de la gobernanza del acceso. La guía de gestión de riesgos de terceros de la OCC exige que las BPO demuestren —no solo afirmen— que el acceso está controlado y es revocable. MyCena es la prueba de ello.

✓ Evidencia comprobable

Renovación de seguro cibernético

En cada renovación, los suscriptores evalúan la gobernanza del acceso de terceros como un factor de calificación importante. La falta de gobernanza de credenciales genera un recargo explícito de entre 200 000 y 500 000 libras esterlinas anuales para una empresa de externalización de procesos de negocio (BPO) de tamaño mediano. MyCena elimina esta brecha. El paquete de evidencias —registros de revocación con fecha y hora, resúmenes trimestrales de acceso— constituye la evidencia de suscripción que respalda la renegociación de la prima.

✓ Reducción de primas