PAM 
El ransomware y el robo de credenciales figuran entre los vectores de ataque más frecuentes y dañinos contra las instituciones financieras. Dado que los sistemas bancarios
Publicado el abril 13, 2026
Las instituciones financieras dependen en gran medida de proveedores externos (como procesadores de pagos, proveedores de plataformas bancarias e integraciones de tecnología financiera) para mantener su eficiencia operativa. De hecho, según el Informe de investigaciones de violaciones de datos de Verizon de 2025, el 30 % de las violaciones de datos involucraron a un tercero, incluidos proveedores con acceso remoto directo a los sistemas financieros. A medida que los entornos se ven más distribuidos y se adaptan al trabajo remoto, gestionar el acceso de los proveedores se ha convertido en un desafío de seguridad actual. Los métodos tradicionales, como las redes privadas virtuales (VPN) y las credenciales compartidas, suelen otorgar un amplio acceso a los sistemas críticos, lo cual amplía de forma considerable la superficie de ataque. En general los proveedores necesitan acceso a estos sistemas, pero si no existen controles adecuados, el acceso puede exponer a las organizaciones a robos de credenciales, amenazas internas y violaciones del cumplimiento normativo. Para proteger el acceso remoto de proveedores en los servicios financieros, es necesario aplicar el acceso con privilegios mínimos, eliminar el acceso permanente y adoptar un enfoque de confianza cero para cada sesión.
Siga leyendo para conocer ocho medidas de protección para el acceso remoto de los proveedores y cómo Keeper® puede ayudarle.
1. Reforzar el acceso con privilegios mínimos
Los proveedores deben tener acceso solo a los sistemas y datos que necesitan para desempeñar sus tareas. Conceder un acceso amplio a los proveedores crea riesgos de seguridad innecesarios y aumenta el impacto potencial de una violación de datos. Por ejemplo, un proveedor bancario principal que realiza mantenimiento en un sistema de procesamiento de préstamos no necesita acceso a registros de clientes o plataformas comerciales, ya que no son relevantes. Restringir el acceso del proveedor únicamente a los sistemas necesarios garantiza que, si las credenciales del proveedor se ven comprometidas, los cibercriminales no puedan desplazarse lateralmente a través de una red ni acceder a otros datos confidenciales.
Las instituciones financieras que aplican el acceso con privilegios mínimos pueden reducir el impacto de las credenciales comprometidas y prevenir la propagación de privilegios en los sistemas críticos. En aquellos entornos financieros que incluso un acceso limitado puede exponer grandes cantidades de datos confidenciales de clientes o sistemas transaccionales, es crucial aplicar el acceso con privilegios mínimos.
2. Eliminar los privilegios permanentes con acceso justo a tiempo (JIT)
Los equipos de seguridad nunca deben conceder a los proveedores acceso permanente a los sistemas críticos, los datos confidenciales o la infraestructura de operaciones. El acceso permanente crea un riesgo continuo porque las credenciales activas se pueden explotar mucho después de que un proveedor finalice su trabajo. Por ejemplo, si un proveedor necesita solucionar problemas en una plataforma de trading, debería recibir acceso temporal justo a tiempo (JIT) solo durante el tiempo que tarde en completar la tarea. Una vez finalizada, el acceso del proveedor se revocará de forma automática, garantizando que no queden permisos residuales.
3. Reducir el riesgo de exposición de credenciales
Los empleados y proveedores, bajo ninguna circunstancia, deben compartir credenciales, claves API u otros secretos mediante correo electrónico, plataformas de mensajería u hojas de cálculo. En entornos financieros, las credenciales expuestas pueden ocasionar accesos no autorizados, fraude o el compromiso de los datos de los clientes. Para minimizar este riesgo, todas las credenciales deben almacenarse en una bóveda encriptada que aplique el acceso basado en roles, registre todo el uso e intermedie el acceso sin revelar la credencial subyacente al usuario. Por ejemplo: si un proveedor precisa acceso temporal a una base de datos financiera, debe conectarse a través de la bóveda usando acceso limitado en el tiempo, el cual rota la credencial de forma automática al finalizar la sesión para evitar un uso indebido.
4. Exigir autenticación multifactor (MFA)
La autenticación multifactor (MFA) debe aplicarse a todos los inicios de sesión de empleados y proveedores y, en especial, a las cuentas privilegiadas. En entornos financieros, no debería bastar una credencial comprometida para que se acceda a plataformas de pago o bases de datos de clientes. Si no se cuenta con una autenticación multifactorial (MFA), las credenciales robadas facilitan a los ciberdelincuentes el acceso a sistemas críticos, lo que aumenta el riesgo de fraude y las violaciones de datos.
Las instituciones financieras también deben extender el MFA a los sistemas que no lo admiten de forma nativa, como las plataformas bancarias principales heredadas y los sistemas comerciales obsoletos que procesan datos financieros. Aplicar la autenticación multifactor (MFA) tanto en infraestructura heredada como moderna ayuda a reforzar la seguridad en entornos híbridos complejos y a proteger mejor los puntos de acceso del proveedor frente a accesos no autorizados.
5. Supervisar y registrar todas las sesiones de los proveedores
Los equipos de seguridad deben contar con una visibilidad completa de la actividad del proveedor; es decir, un seguimiento de los sistemas a los que se accedió, el momento exacto en que se accedió y las acciones exactas que se realizaron. Este nivel de supervisión es esencial en entornos financieros en los que los proveedores interactúan con sistemas críticos, como las plataformas de procesamiento de pagos y la infraestructura de trading. La supervisión y la grabación de sesiones privilegiadas en tiempo real proporcionan esta visibilidad al capturar la actividad del proveedor a medida que sucede. Así los equipos de seguridad pueden detectar de inmediato cualquier actividad sospechosa, intervenir cuando sea necesario y garantizar la rendición de cuentas. Por ejemplo, mediante el monitoreo de sesiones pueden revelarse intentos de alterar los registros de transacciones o exportar datos financieros confidenciales. La grabación de las sesiones de proveedores también satisface los requisitos de cumplimiento normativo y auditoría.
6. Prevenir el movimiento lateral entre sistemas financieros
Si las credenciales de un proveedor se ven comprometidas, los ciberdelincuentes pueden utilizarlas para acceder a otros sistemas y desplazarse lateralmente por la red. Este tipo de movimiento lateral puede escalar rápidamente, transformando una brecha menor en un incidente grave que impacta los datos financieros de los clientes a gran escala. Uno de los mayores riesgos en el ámbito financiero es que un ciberdelincuente pase de un sistema accesible para los proveedores a una infraestructura crítica de banca o de procesamiento de pagos. Para reducir el riesgo de movimientos laterales, las instituciones financieras deben limitar el acceso de los proveedores únicamente a los sistemas específicos que necesiten. En vez de conceder a los proveedores acceso a toda la red, los equipos de seguridad deben concederles acceso mediante métodos seguros basados en sesiones. Esta restricción en el acceso ayuda a contener las amenazas y a reducir las oportunidades de movimiento lateral.
7. Centralizar el control de acceso
Si el acceso de los proveedores está disperso entre varias herramientas y sistemas inconexos, y el control de acceso no es centralizado, se torna más difícil aplicar las políticas y supervisar la actividad. Centralizar la gestión de accesos proporciona a los equipos de seguridad una mejor visibilidad sobre la actividad privilegiada, facilita la implementación del acceso con privilegios mínimos y garantiza que el acceso de los proveedores esté controlado de forma consistente. Este nivel de transparencia es vital para adherirse a normas estrictas de cumplimiento normativo (como SOX, PCI DSS y GLBA), ya que los auditores requieren pruebas de que se aplican los controles de acceso y se protegen los sistemas críticos. En el caso de las instituciones financieras que operan en la UE o que atienden a clientes europeos, también se requiere un control de acceso centralizado bajo la Ley de resiliencia operacional digital (DORA), que exige una supervisión documentada del acceso de terceros proveedores de TIC.
8. Establecer un proceso formal de desvinculación de proveedores
Las instituciones financieras deben asegurarse de que el acceso de los proveedores se revoque de inmediato una vez que ya no sea necesario para proyectos o sistemas. La ausencia de un proceso formal de desvinculación les allana el camino a los cibercriminales para utilizar las cuentas inactivas de proveedores y las credenciales no utilizadas. Un proceso eficaz de desvinculación de proveedores incluye la revocación automática del acceso, la deshabilitación o eliminación de cuentas de proveedores, la rotación de cualquier credencial a la que el proveedor tuviera acceso y la revisión de las auditorías para confirmar que no se produjo ninguna actividad no autorizada. Por ejemplo, si un proveedor finaliza un proyecto que implica el acceso a bases de datos de clientes o a sistemas de pago, debe revocarse el acceso de inmediato y deben renovarse todas las credenciales asociadas. Esto garantiza que, incluso si las credenciales del proveedor se ven comprometidas o expuestas, no puedan usarse para acceder a datos financieros confidenciales.
Keeper protege el acceso remoto de los proveedores
Keeper salvaguarda el acceso remoto de proveedores aplicando principios de seguridad de confianza cero a cada sesión privilegiada, lo que significa que se verifica cada solicitud de acceso, que ningún usuario es implícitamente confiable y que las credenciales nunca son visibles para los proveedores en ningún momento. Con Keeper, las credenciales se almacenan de forma segura en una bóveda encriptada y se rotan de forma automática después de cada sesión, lo que garantiza que nunca se expongan al proveedor. Keeper ayuda a las instituciones financieras garantizando que los proveedores puedan acceder de forma segura a sistemas críticos, como plataformas de pago y bases de datos de clientes, sin generar riesgos de seguridad innecesarios.
Otorgue acceso limitado en el tiempo sin exponer las credenciales
Keeper aplica el acceso JIT, de modo que los proveedores pueden conectarse a sistemas críticos solo cuando es necesario y por un tiempo limitado. Las sesiones se inician directamente desde la bóveda de Keeper, lo cual previene el robo de credenciales y elimina el acceso permanente, ya que los proveedores nunca ven ni manejan las credenciales subyacentes.
Monitoree y grabe cada sesión en tiempo real
Toda la actividad del proveedor se rastrea a través de la monitorización y grabación de sesiones en tiempo real, incluso el registro de pulsaciones de teclas y la grabación de pantalla. Las instituciones financieras deben verificar que las prácticas de registro de sesiones cumplan con las normativas aplicables de empleo y privacidad en sus jurisdicciones operativas antes de implementarlas. Esta función proporciona una visibilidad completa de las acciones realizadas durante una sesión de proveedor y se puede integrar con herramientas de gestión de información y eventos de seguridad (SIEM) para lograr una supervisión centralizada. Con KeeperAI, los equipos de seguridad pueden analizar de forma automática la actividad de la sesión a medida que ocurre e identificar comportamientos sospechosos en tiempo real. Las grabaciones de las sesiones también proporcionan un registro completo de pruebas para la revisión forense posterior al incidente.
Evite los movimientos laterales con una estrategia de seguridad de confianza cero
Keeper emplea solo conexiones de puerta de enlace salientes para proporcionar acceso remoto seguro sin requerir reglas de firewall entrantes ni exposición directa de la red. Restringiendo el acceso de los proveedores a determinados recursos y eliminando el acceso directo a la red, Keeper ayuda a evitar que usuarios no autorizados se desplacen lateralmente por los sistemas financieros. KeeperDB refuerza la protección del acceso a las bases de datos, ya que permite que los proveedores gestionen las bases de datos directamente desde su bóveda de Keeper en un entorno aislado. Esto garantiza que las credenciales permanezcan ocultas, que la actividad se registre en su totalidad y que los proveedores no puedan crear vías adicionales para el movimiento lateral.
Garantice el cumplimiento normativo con registros de auditoría detallados
Keeper genera registros de auditoría detallados y sesiones que las organizaciones pueden emplear como evidencia para cumplir con los estándares regulatorios, como SOX, PCI DSS, GLBA y DORA. Gracias a la generación automática de informes y a la visibilidad total del acceso de los proveedores, las instituciones financieras pueden constatar el cumplimiento normativo, simplificar las auditorías y garantizar que los controles de acceso detallados se apliquen de manera coherente.
Gestionar el acceso remoto de proveedores con Keeper
Garantizar la seguridad del acceso remoto de los proveedores es fundamental para las instituciones financieras modernas que desean proteger sus sistemas críticos, mantener la confianza de los clientes y cumplir con los requisitos normativos. El acceso de los proveedores debe supervisarse y auditarse de forma minuciosa y continua para evitar el uso indebido de credenciales y garantizar el cumplimiento de marcos normativos estrictos como SOX, PCI DSS y GLBA.
Una sola cuenta de proveedor comprometida puede desencadenar sanciones regulatorias, obligaciones de notificación al cliente y daños duraderos a la reputación. Keeper proporciona a los bancos y las empresas financieras una solución de gestión de acceso privilegiado (PAM) de confianza cero diseñada para abordar los desafíos modernos de seguridad. Combinando la seguridad de confianza cero con una arquitectura de conocimiento cero, Keeper garantiza que los proveedores nunca vean ni manipulen las credenciales, que cada sesión se verifique y que toda la actividad sea completamente auditable.
Solicite hoy una demostración de KeeperPAM y descubra cómo gestionar de forma segura el acceso de los proveedores sin poner en riesgo la seguridad o el cumplimiento normativo.
