⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
ES EN BG CS DA DE EL ET FI FR GA HR HU IT LT LV MT NL PL PT RO SK SL SV
NIS2 DORA GDPR NIST

NIST SP 800-63-4: evidencias de contraseñas, MFA y claves de acceso

Igor Petreski
14 min read
#Control de acceso #Auditoría #SGSI #MFA #Registro y supervisión #Protección de datos
Diagrama de mapeo de evidencias de contraseñas, MFA y claves de acceso de NIST SP 800-63-4

A las 08:10 de un lunes, el CISO de una fintech recibe el mensaje que todo responsable de seguridad teme: «Tenemos inicios de sesión sospechosos contra el portal de administración financiera. Se aprobó MFA, pero el usuario dice que no fue él».

A las 08:25, el SOC identifica el patrón. El atacante no rompió el cifrado, no explotó una vulnerabilidad de día cero ni eludió un cortafuegos. Suplantó una contraseña mediante phishing, activó una notificación push y esperó a que apareciera la fatiga. Una sola aprobación fue suficiente. La cuenta tenía acceso elevado a exportaciones de facturación de clientes, registros de auditoría y un panel de liquidación de un tercero.

A las 09:00, el área legal pregunta si se trata de una brecha de datos personales conforme a GDPR de la UE. El equipo de riesgos pregunta si el evento activa obligaciones de notificación de DORA de la UE. El consejo quiere saber si la afirmación corporativa de «MFA en todas partes» era realmente cierta. El auditor de ISO 27001, ya programado para el mes siguiente, solicita ahora evidencias de autenticación segura, control de acceso, registro de eventos y acciones correctivas.

Por eso NIST SP 800-63-4 importa en 2026.

Para CISO, responsables de cumplimiento y propietarios de negocio, NIST SP 800-63-4 no es otro documento más sobre identidad. Se está convirtiendo en la referencia práctica para una política moderna de contraseñas, MFA resistente al phishing, claves de acceso, autenticación sin contraseña y gobernanza del ciclo de vida de autenticadores. El verdadero reto no es leer la guía. El reto es demostrar la implementación frente a las expectativas de ISO/IEC 27001:2022, NIS2, DORA, GDPR de la UE, NIST CSF 2.0, COBIT 2019 y la auditoría interna.

La posición de Clarysec es sencilla: los controles de identidad fallan cuando se tratan como ajustes de configuración y no como gobernanza. Contraseñas, MFA, claves de acceso, flujos de recuperación, tokens de sesión, acceso privilegiado, cuentas de servicio y registros de autenticación deben diseñarse como un único sistema de control que genere evidencias.

Ese es el enfoque utilizado en Zenith Blueprint: hoja de ruta de 30 pasos para auditores, en la biblioteca de políticas de Clarysec y en Zenith Controls: guía de cumplimiento transversal. Zenith Controls no crea controles nuevos. Mapea las expectativas de control de ISO/IEC 27001:2022 e ISO/IEC 27002:2022 con otros estándares, regulaciones y perspectivas de auditoría para que las organizaciones eviten evidencias fragmentadas y trabajo de cumplimiento duplicado.

«MFA habilitado» no es una respuesta de auditoría

Muchas organizaciones entraron en los últimos años convencidas de que el despliegue de MFA cerraba la conversación sobre el riesgo de identidad. En 2026, esa premisa ya no es segura.

Los auditores y reguladores formulan ahora preguntas más precisas:

  • ¿Se aplica MFA a todo acceso privilegiado, remoto y de alto riesgo?
  • ¿La autenticación es resistente al phishing cuando el riesgo lo exige?
  • ¿Las claves de acceso o autenticadores FIDO2 se gobiernan mediante enrolamiento, recuperación, revocación y gestión del ciclo de vida del dispositivo?
  • ¿Las contraseñas se contrastan con listas de credenciales filtradas y de uso común?
  • ¿Los cambios de contraseña se desencadenan por compromiso en lugar de por una rotación de calendario arbitraria?
  • ¿Pueden los usuarios pegar contraseñas desde gestores de contraseñas?
  • ¿Se registran y revisan los eventos de autenticadores?
  • ¿Los flujos de recuperación de cuentas son tan sólidos como los flujos de inicio de sesión?
  • ¿Los secretos de API, tokens OAuth, claves SSH y credenciales de cuentas de servicio se controlan con la misma disciplina?

NIST SP 800-63-4 orienta a las organizaciones hacia el aseguramiento de la identidad digital basado en riesgos, la solidez de los autenticadores y las evidencias del ciclo de vida. Para la modernización de contraseñas, esto implica abandonar prácticas obsoletas, como cambios periódicos forzados de contraseña cuando no hay indicios de compromiso, y reforzar al mismo tiempo la longitud, la comprobación frente a contraseñas filtradas, la limitación de tasa, el almacenamiento seguro y los controles de recuperación. Para MFA y las claves de acceso, implica centrarse en el aseguramiento del autenticador, la resistencia al phishing, el enrolamiento seguro, la vinculación a la cuenta, la revocación y la auditabilidad.

Zenith Blueprint recoge este cambio en Controles en acción, paso 19, Controles tecnológicos I, al tratar la autenticación segura:

La autenticación es la primera y más crítica línea de defensa entre un actor de amenaza y sus sistemas, datos y servicios. Si la autenticación es débil, todo lo demás —cifrado, supervisión, segmentación— puede ser eludido. El control 8.5 garantiza que los mecanismos de autenticación estén diseñados de forma segura, se apliquen de manera consistente y sean resistentes a métodos de ataque conocidos.

Esa frase es el núcleo de la auditoría de identidad en 2026. La pregunta ya no es «¿Tienen contraseñas y MFA?». La pregunta es «¿Pueden demostrar que su arquitectura de autenticación está basada en riesgos, es resistente a métodos de ataque conocidos, se aplica de forma consistente y se supervisa?».

Construir el sistema de control en torno a identidad, información de autenticación y autenticación segura

La forma más útil de traducir NIST SP 800-63-4 en evidencias para ISO/IEC 27001:2022 es tratar la identidad como un sistema de control conectado.

A través de Zenith Controls, Clarysec identifica tres áreas centrales de control de ISO/IEC 27002:2022 para la alineación con NIST SP 800-63-4: 5.16 Gestión de identidades, 5.17 Información de autenticación y 8.5 Autenticación segura. En el Anexo A de ISO/IEC 27001:2022, corresponden a A.5.16, A.5.17 y A.8.5.

Área de controlQué gobiernaTema de evidencias de NIST SP 800-63-4Evidencias típicas de auditoría
ISO/IEC 27002:2022 5.16 Gestión de identidadesCiclo de vida de la identidad, unicidad, procesos de altas, cambios y bajas, titularidad de la cuentaPrueba de que las identidades son únicas, están verificadas, asignadas, revisadas y eliminadasExportaciones del IdP, tickets de altas, cambios y bajas de RR. HH., revisiones de acceso, flujo de trabajo de verificación de identidad
ISO/IEC 27002:2022 5.17 Información de autenticaciónContraseñas, PIN, claves, certificados, tokens, secretos de API, códigos de recuperaciónCiclo de vida del autenticador, almacenamiento, transmisión, rotación, revocación y recuperaciónPolítica de contraseñas, registros de la bóveda de secretos, registros de revocación de tokens, registros de enrolamiento de claves de acceso, procedimientos de restablecimiento
ISO/IEC 27002:2022 8.5 Autenticación seguraDiseño de autenticación, MFA, gestión de sesiones, requisitos específicos del sistemaMFA basada en riesgos, claves de acceso, resistencia al phishing, aplicación de autenticación sin contraseña, protección de sesionesPolíticas de acceso condicional, informes de cobertura de MFA, ajustes de WebAuthn y FIDO2, configuración de tiempo de espera de sesión

La distinción importa. A.5.16 pregunta: «¿Quién tiene una identidad?». A.5.17 pregunta: «¿Cómo se protege la prueba de esa identidad?». A.8.5 pregunta: «¿Cómo se realiza de forma segura la autenticación en los sistemas?».

Cuando las organizaciones fallan en auditorías, suele ser porque implementan una capa sin las demás. Despliegan claves de acceso, pero no pueden mostrar evidencias de revocación. Aplican MFA, pero no en una consola administrativa heredada. Definen reglas de contraseña, pero no comprueban contraseñas filtradas. Deshabilitan una cuenta de usuario, pero olvidan sesiones activas o tokens de recuperación.

En Zenith Blueprint, Controles en acción, paso 22, Controles organizativos, Clarysec explica A.5.17 como una cuestión de ciclo de vida:

Si la identidad es la pregunta «¿Quién eres?», la autenticación es la prueba. El control 5.17 es donde la teoría se convierte en confianza. Exige que la información de autenticación se gestione de forma segura durante todo su ciclo de vida, garantizando que los métodos y credenciales utilizados para verificar la identidad no se conviertan ellos mismos en el eslabón más débil.

Una clave de acceso no es conforme porque exista. Se vuelve defendible cuando se puede demostrar cómo se enrola, vincula, protege, recupera, revoca, registra y revisa.

Modernizar las contraseñas sin perder trazabilidad de auditoría

Muchas empresas aún tienen políticas de contraseñas redactadas para otro modelo de amenaza. «Doce caracteres, símbolos, cambiar cada 90 días» resulta familiar, pero la familiaridad no equivale a resiliencia.

NIST SP 800-63-4 refuerza un enfoque más moderno: contraseñas y frases de paso más largas, comprobación frente a contraseñas filtradas o de uso común, limitación de tasa, restablecimiento seguro, ausencia de cambios periódicos arbitrarios salvo sospecha de compromiso y controles usables que permitan el uso de gestores de contraseñas. Esto no significa que todas las organizaciones deban reescribir todas sus políticas de la noche a la mañana. Significa que los requisitos de contraseña deben basarse en riesgos, aplicarse técnicamente y reconciliarse con las evidencias de ISO 27001.

La biblioteca de políticas para pymes de Clarysec proporciona a las organizaciones más pequeñas una base práctica que puede mejorarse a medida que maduran. La Política de gestión de cuentas de usuario y privilegios - pymes establece:

Las contraseñas deben cumplir requisitos de complejidad (por ejemplo, al menos 12 caracteres, alfanuméricos con símbolos) y cambiarse al menos cada 90 días.

Es un punto de partida aplicable y útil para pymes. Sin embargo, un proyecto de modernización conforme a NIST SP 800-63-4 en 2026 debe revisar si la caducidad fija de 90 días sigue siendo adecuada para cada sistema, especialmente cuando existen MFA, comprobación frente a contraseñas filtradas, longitud robusta de contraseña y flujos de restablecimiento desencadenados por compromiso. En la práctica, muchas organizaciones mantienen la base durante la transición y después añaden un anexo de modernización de contraseñas aprobado mediante el proceso de tratamiento de riesgos y la Declaración de Aplicabilidad.

Para entornos empresariales, la Política de gestión de cuentas de usuario y privilegios de Clarysec proporciona un punto de anclaje de gobernanza en lugar de codificar cada regla de contraseña:

Todas las cuentas de usuario deben aplicar la complejidad y caducidad de contraseñas conforme a la Política de Contraseñas de la organización.

Ese lenguaje permite al CISO actualizar la Política de Contraseñas para alinearla con NIST SP 800-63-4 sin reescribir todo el marco de gestión de accesos.

Un paquete práctico de evidencias de modernización de contraseñas debe incluir:

  • Política de contraseñas vigente y anexo de modernización aprobado.
  • Configuración del IdP que muestre longitud mínima, longitud máxima y caracteres permitidos.
  • Evidencia de que se permiten gestores de contraseñas, incluida la funcionalidad de pegado cuando proceda.
  • Configuración de comprobación frente a contraseñas filtradas, débiles y de uso común.
  • Política de limitación de tasa o bloqueo para ataques de adivinación en línea.
  • Flujo de trabajo de restablecimiento de contraseñas que exija una verificación adecuada de identidad.
  • Arquitectura de almacenamiento de hashes de contraseña para aplicaciones que almacenan credenciales.
  • Registro de excepciones para sistemas heredados que no puedan soportar ajustes modernos.
  • Procedimiento de restablecimiento desencadenado por compromiso con vínculo a respuesta a incidentes.
  • Evidencias de comunicación y formación de usuarios.

El objetivo no es ganar un debate sobre una longitud concreta de contraseña. El objetivo es demostrar que la autenticación con contraseña está controlada, es medible y está integrada en el SGSI.

Pasar MFA y las claves de acceso de «segundo factor» a aseguramiento

El incidente del lunes por la mañana comenzó con fatiga de MFA. Por eso los auditores preguntan cada vez más si MFA es resistente al phishing, no solo si está presente.

Los métodos tradicionales de MFA, como SMS, OTP por correo electrónico, aplicaciones TOTP y notificaciones push, pueden reducir el riesgo, pero no son equivalentes. Las claves de acceso y los autenticadores FIDO2/WebAuthn ofrecen mayor resistencia al phishing porque la autenticación queda vinculada al origen legítimo y utiliza criptografía de clave pública. Para usuarios de alto riesgo, administradores con privilegios, aprobadores financieros, desarrolladores con acceso al entorno de producción y rutas de acceso remoto, MFA resistente al phishing debe tratarse como estado objetivo salvo que exista una excepción documentada y aprobada.

La Política de comunicaciones seguras y autenticación multifactor (MFA) empresarial de Clarysec establece la base:

Autenticación multifactor (MFA): Todo acceso a la red y a los sistemas de información de la organización, en particular el acceso privilegiado o el acceso remoto, deberá requerir autenticación multifactor (MFA) (por ejemplo, contraseña más token OTP o factor biométrico). Las soluciones de autenticación multifactor (MFA) deberán alinearse con las mejores prácticas del sector (por ejemplo, códigos de un solo uso basados en tiempo o claves hardware) y configurarse para proteger frente al acceso no autorizado.

Para pymes, la Política de control de acceso - pymes establece:

Las cuentas privilegiadas deben utilizar autenticación multifactor (MFA) cuando sea compatible.

La expresión «cuando sea compatible» ofrece a las pymes una ruta de implementación realista, pero también genera una obligación de auditoría. Si un sistema privilegiado no admite MFA, la organización debe documentar controles compensatorios, como restricciones de red, gestión de accesos privilegiados, servidores de salto, sesiones más cortas, supervisión, custodia en bóveda y un plan de migración.

Zenith Blueprint, Controles en acción, paso 19, es claro sobre la dirección a seguir:

Siempre que sea posible, debe evitarse la autenticación basada únicamente en contraseña, especialmente para cuentas administrativas, consolas en la nube, herramientas de acceso remoto y cualquier sistema expuesto a internet. MFA, utilizando un segundo factor como una clave hardware, una aplicación móvil o biometría, es ya una base mínima, no un lujo.

Las claves de acceso encajan de forma natural en esta narrativa. Un despliegue de claves de acceso no debe presentarse solo como una actualización tecnológica. Debe documentarse como tratamiento de riesgos frente a phishing, relleno de credenciales, fatiga de MFA, reutilización de contraseñas y toma de control de cuentas.

El modelo de evidencias de claves de acceso que necesitan los auditores

Las claves de acceso pueden ser sincronizables, vinculadas al dispositivo, respaldadas por hardware, basadas en plataforma o itinerantes, según el autenticador y el ecosistema. El aseguramiento depende del enrolamiento, la confianza del dispositivo, la recuperación, la vinculación de la cuenta y la revocación. Un proyecto de claves de acceso sin evidencias puede crear ambigüedad de auditoría aunque la tecnología sea sólida.

Utilice este modelo para preparar un despliegue de claves de acceso listo para auditoría.

Pregunta de evidenciasQué debe demostrarseArtefacto
¿Quién puede enrolar claves de acceso?El enrolamiento está limitado a usuarios verificados y contextos aprobadosPolítica de enrolamiento, reglas del IdP, elegibilidad de grupos de usuarios
¿Qué tipo de clave de acceso se permite?El tipo de autenticador se corresponde con el nivel de riesgoEstándar de aseguramiento de autenticadores, AAGUID permitido o política de dispositivos cuando sea compatible
¿Cómo se protege el enrolamiento?Los atacantes no pueden añadir su propio autenticador tras robar una contraseñaMFA de refuerzo, verificación por mesa de ayuda, alertas de enrolamiento
¿Cómo se gestiona la recuperación?La recuperación no es más débil que el inicio de sesiónProcedimiento de recuperación, guiones de soporte, registros de verificación de identidad
¿Cómo se gestionan los dispositivos perdidos?Los autenticadores perdidos se revocan con rapidezTickets de revocación, inventario de dispositivos, registros de eventos del IdP
¿Cómo se trata el acceso privilegiado?Los administradores utilizan métodos resistentes al phishing cuando se exigePolíticas de acceso condicional, asignaciones de roles privilegiados
¿Cómo se registra la actividad de usuario?Los eventos de autenticación se conservan y revisanRegistros de autenticación, consultas SIEM, reglas de alerta
¿Cómo se gobiernan las excepciones?Los sistemas heredados y usuarios excluidos tienen un tratamiento de riesgos aprobadoRegistro de excepciones, fechas de caducidad, controles compensatorios

Esto se alinea directamente con ISO/IEC 27001:2022. Las cláusulas 4.1 a 4.4 exigen que las organizaciones comprendan el contexto, las partes interesadas, el alcance del SGSI y los procesos operativos. Las cláusulas 5.1 a 5.3 exigen liderazgo, política, roles organizativos y responsabilidad proactiva. Las cláusulas 6.1.2 y 6.1.3 exigen un proceso repetible de evaluación de riesgos de seguridad de la información y tratamiento de riesgos, incluida la selección de controles, la comparación con el Anexo A, una Declaración de Aplicabilidad y la aprobación del riesgo residual por el propietario del riesgo. La cláusula 6.2 exige objetivos medibles de seguridad de la información.

Esto significa que un despliegue de claves de acceso debe aparecer en el SGSI como:

  • Un tratamiento de riesgos frente al robo de credenciales y el phishing.
  • Un objetivo, por ejemplo: «Migrar el 90 % del acceso privilegiado a MFA resistente al phishing antes del tercer trimestre».
  • Una justificación en la Declaración de Aplicabilidad vinculada a A.5.16, A.5.17 y A.8.5.
  • Una actualización de la Política de control de acceso.
  • Un caso de uso de registro y supervisión.
  • Un paquete de evidencias de auditoría.

En Zenith Blueprint, fase de Gestión de riesgos, paso 13, Planificación del tratamiento de riesgos y Declaración de Aplicabilidad, Clarysec describe la SoA como un puente:

La SoA es, en la práctica, un documento puente: conecta su evaluación/tratamiento de riesgos con los controles reales que tiene. Al completarla, también verifica si ha omitido algún control.

Para NIST SP 800-63-4, ese puente es donde las decisiones sobre contraseñas, MFA y claves de acceso se vuelven auditables.

Mapeo de cumplimiento transversal para ISO 27001, NIS2, DORA, GDPR, NIST CSF y COBIT

Las evidencias de identidad ganan fuerza cuando un mismo conjunto de controles satisface varias obligaciones.

El artículo 21 de la Directiva NIS2 de la UE exige que las entidades esenciales e importantes implanten medidas técnicas, operativas y organizativas adecuadas y proporcionadas que reflejen el riesgo, el estado de la técnica, el coste de implantación, el tamaño y el impacto de los incidentes. El artículo 21(2) incluye análisis de riesgos, políticas, gestión de incidentes, continuidad del negocio, seguridad de la cadena de suministro, desarrollo seguro, evaluación de la eficacia de los controles, higiene cibernética y formación, criptografía, seguridad de RR. HH., control de acceso, gestión de activos y, cuando proceda, autenticación multifactor o continua. El artículo 20 convierte la aprobación de la dirección, la supervisión y la formación en ciberseguridad en una obligación de gobernanza.

DORA de la UE lleva el mismo tema de identidad al ámbito de la resiliencia operativa financiera. Las entidades financieras cubiertas deben mantener un marco documentado de gestión del riesgo de las TIC con responsabilidad del órgano de dirección, controles de protección y prevención, control de acceso, autenticación, supervisión, detección de anomalías, continuidad, respuesta, recuperación y formación. Los artículos 8 a 10 son especialmente relevantes para identificar activos y dependencias de TIC, proteger sistemas de TIC, aplicar control de acceso y autenticación fuerte, supervisar y detectar. Los artículos 17 a 19 conectan las mismas evidencias con la gestión y notificación de incidentes relacionados con las TIC.

GDPR de la UE se aplica siempre que se traten datos personales dentro de su ámbito territorial y material. El artículo 5(1)(f) exige que los datos personales se traten con la seguridad adecuada. El artículo 5(2) exige responsabilidad proactiva. El artículo 32 exige medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo. Una contraseña robada o un autenticador comprometido puede convertirse en una brecha de datos personales si provoca acceso no autorizado a datos personales.

NIST CSF 2.0 añade una capa de gestión útil. Su función GOVERN exige que se comprendan y gestionen los requisitos de ciberseguridad legales, regulatorios y contractuales, incluidas las obligaciones de privacidad. Los perfiles de CSF ayudan a las organizaciones a comparar estados actuales y objetivo y a crear planes de acción priorizados.

COBIT 2019 y los enfoques de auditoría de ISACA preguntan si los controles de identidad y acceso respaldan objetivos de gobernanza, si las prácticas de gestión están definidas, si la solidez de la autenticación se ajusta al riesgo y si la operación del control está evidenciada.

Tema de requisitoISO/IEC 27001:2022 e ISO/IEC 27002:2022NIS2DORAGDPR de la UENIST CSF 2.0
Responsabilidad de gobernanzaCláusulas 5.1 a 5.3, 6.1.3, controles de acceso y supervisión del Anexo AArtículo 20, aprobación y supervisión de la direcciónArtículos 5 y 6, responsabilidad del órgano de dirección y marco de riesgo de las TICArtículo 5(2), responsabilidad proactivaGV.OC, GV.RM, GV.RR, GV.PO, GV.OV
Autenticación fuerteA.5.16, A.5.17, A.8.5Artículo 21, control de acceso y MFA cuando procedaArtículo 9, protección, prevención y autenticación fuerteArtículo 32, seguridad del tratamientoPR.AA, gestión de identidades, autenticación y control de acceso
Ciclo de vida del autenticadorA.5.17, información de autenticaciónArtículo 21, medidas basadas en riesgosArtículo 9, salvaguardas de control de acceso y autenticaciónArtículos 5 y 32, protección frente al acceso no autorizadoGV.RM, PR.AA
Registro y detecciónA.8.15 Registro de eventos, A.8.16 Actividades de supervisiónArtículo 21, gestión de incidentes y eficacia de los controlesArtículos 10, 17 y 18, detección y clasificación de incidentesLa detección de brechas respalda las decisiones de los artículos 33 y 34DE.CM, RS.MA
Notificación de incidentesA.5.24 a A.5.28, gestión de incidentes de seguridad de la informaciónArtículo 23, alerta temprana, notificación de incidentes y cadencia del informe finalArtículos 17 a 19, proceso e informes de incidentes relacionados con las TICArtículos 33 y 34, notificación de brechas de datos personalesRS.CO, RC.RP
Dependencias de identidad de tercerosA.5.19 a A.5.23, relaciones con proveedores y servicios en la nubeArtículo 21, seguridad de la cadena de suministroArtículos 28 a 30, riesgo de terceros de TICResponsabilidad proactiva del responsable y del encargadoGV.SC

El mismo informe de acceso condicional del IdP puede respaldar el control de acceso de ISO 27001, MFA en NIS2, autenticación en DORA, responsabilidad proactiva de seguridad en GDPR de la UE y el avance hacia el perfil objetivo de NIST CSF.

Construir un paquete de evidencias de autenticadores en una tarde

Un CISO, responsable de cumplimiento o responsable de TI puede crear rápidamente un paquete de evidencias de alto valor centrándose en un sistema de alto riesgo, como una consola en la nube, una plataforma financiera, un portal de administración de clientes o un entorno de despliegue de producción.

Primero, defina el alcance. Identifique al propietario de negocio, la clasificación de datos, los grupos de usuarios, los roles privilegiados, las rutas de acceso remoto, los autenticadores actuales, los datos personales implicados y las dependencias de terceros. Esto respalda las cláusulas 4.1 a 4.4 de ISO/IEC 27001:2022, porque deben comprenderse el alcance, los requisitos de las partes interesadas y las dependencias.

Segundo, capture los ajustes de autenticación actuales. Exporte o capture pantallas de la política de contraseñas, la aplicación de MFA, la configuración de claves de acceso o FIDO2, las reglas de acceso condicional, el tiempo de espera de sesión, los métodos de recuperación, las cuentas break-glass y el estado de la autenticación heredada. Si el sistema utiliza autenticación local, documente el motivo y defina una ruta de migración.

Tercero, compare con un estado objetivo claro:

  • Contraseñas comprobadas frente a credenciales débiles, de uso común y filtradas.
  • Sin acceso basado solo en contraseña para sistemas privilegiados, remotos o expuestos a internet.
  • MFA resistente al phishing para administradores y usuarios de alto riesgo.
  • Enrolamiento y recuperación seguros.
  • Revocación de autenticadores durante el cese o la pérdida de dispositivo.
  • Registro de autenticaciones correctas y fallidas, uso de MFA y cambios en autenticadores.
  • Alertas por viajes imposibles, fallos repetidos, nuevo enrolamiento de autenticadores e inicios de sesión de riesgo.

Cuarto, adjunte evidencias de políticas. La Política de control de acceso - pymes exige:

Se requieren nombres de usuario únicos; las cuentas compartidas están prohibidas.

Para evidencias del ciclo de vida de cuentas, la Política de gestión de cuentas de usuario y privilegios - pymes establece:

Los registros de creación de cuentas, desactivación de cuentas y cambios de privilegios deben conservarse de forma segura durante al menos 12 meses.

Para el registro de autenticación, la Política de registro y supervisión - pymes especifica:

Registros de autenticación: intentos de inicio de sesión correctos y fallidos, duración de la sesión, uso de MFA

Para implementaciones empresariales, la Política de registro y supervisión exige registrar:

Autenticación de usuarios e intentos de acceso

Quinto, actualice la Declaración de Aplicabilidad. Marque A.5.16, A.5.17 y A.8.5 como aplicables y añada notas como:

  • Respalda las expectativas de NIST SP 800-63-4 sobre el ciclo de vida de autenticadores.
  • Respalda las expectativas del artículo 21 de NIS2 sobre control de acceso y MFA.
  • Respalda los requisitos de autenticación y supervisión de la gestión del riesgo de las TIC de DORA.
  • Respalda la seguridad y la responsabilidad proactiva del artículo 32 de GDPR de la UE para el acceso a datos personales.
  • Excepción: el portal de liquidación heredado no soporta FIDO2. Los controles compensatorios incluyen restricción por VPN, supervisión de sesiones privilegiadas, plan de remediación del proveedor y revisión mensual de accesos.

Finalmente, prepare una carpeta llamada «Paquete de evidencias de autenticación - Q2 2026» con extractos de políticas, evaluación de riesgos, registro de tratamiento, extracto de la SoA, configuración del IdP, informe de cobertura de MFA y claves de acceso, lista de usuarios con privilegios, registro de excepciones, registros de enrolamiento y revocación, muestra de prueba de cese, consultas SIEM, capturas de alertas, extracto del playbook de respuesta a incidentes y comunicación de concienciación a usuarios.

Esa es la diferencia entre «usamos MFA» y «podemos demostrar la gobernanza de autenticación segura».

Cómo probarán distintos auditores los mismos controles de identidad

Un programa de identidad maduro anticipa distintas perspectivas de auditoría.

El auditor de ISO 27001 empezará por el sistema de gestión. Preguntará cómo se evaluaron los riesgos de identidad, por qué se seleccionaron los controles, cómo aparecen en la SoA, si las políticas están aprobadas, si las responsabilidades están asignadas y si las evidencias muestran operación sostenida en el tiempo. Comprobará la coherencia entre el Registro de riesgos, la Política de control de acceso, los ajustes del IdP y los registros.

Zenith Blueprint, fase Controles en acción, paso 19, Lista de verificación de auditoría para los controles 8.1 a 8.5, describe la solicitud práctica de auditoría:

Los auditores preguntarán por los ajustes de complejidad de contraseñas y cómo se aplican (GPO de Active Directory, políticas del IdP, etc.). Muestre documentación sobre el despliegue de MFA, a quién aplica, dónde se aplica y qué sistemas están protegidos.

Un auditor de DORA o NIS2 se centrará en la gobernanza, la resiliencia y el riesgo sistémico. Puede solicitar evidencias de supervisión por parte del consejo u órgano de dirección, cobertura de sistemas críticos, obligaciones de autenticación de terceros, pruebas de continuidad y evidencia de que los procedimientos de recuperación solo pueden iniciarlos personas autenticadas.

Un revisor de GDPR de la UE se centrará en los datos personales. Preguntará si la autenticación protege los datos personales frente al acceso no autorizado, si el acceso se limita a lo necesario, si los registros respaldan la evaluación de brechas y si la organización puede demostrar responsabilidad proactiva.

Un evaluador orientado a NIST puede utilizar los perfiles de NIST CSF 2.0 para comparar estados actuales y objetivo. Querrá un plan de acción priorizado que cubra gobernanza, políticas, control de acceso, detección y resultados de respuesta.

Un auditor de COBIT 2019 o ISACA evaluará si las prácticas de identidad y autenticación respaldan los objetivos de gobernanza, el diseño del control, la operación del control, la segregación de funciones, el acceso privilegiado y la supervisión. Puede que no le importe qué marca de clave de acceso se utiliza. Sí le importará si el control está gobernado, medido, asignado a un propietario y mejorado.

No olvidar el cese, la recuperación y la identidad no humana

Muchos programas de autenticación parecen sólidos en el inicio de sesión y débiles en todo lo demás.

El cese es un punto de fallo habitual. La Política de incorporación y cese de Clarysec incluye específicamente:

revocación de tokens de MFA/SSO, tarjetas inteligentes o certificados

Esa cláusula debe probarse. Seleccione tres usuarios cesados y demuestre que cuentas, sesiones, dispositivos MFA, claves de acceso, certificados y métodos de recuperación se revocaron a tiempo. Si no puede demostrar la revocación de tokens, su control de cese está incompleto.

La recuperación es otro punto débil. Si una mesa de ayuda puede restablecer MFA tras responder dos preguntas sencillas, el atacante atacará la recuperación por mesa de ayuda en lugar del inicio de sesión. Los procedimientos de recuperación deben exigir verificación sólida, registro de tickets, aprobación para usuarios privilegiados, notificación al usuario y supervisión de la actividad posterior a la recuperación.

La identidad no humana es el tercer punto ciego. Zenith Blueprint paso 22 deja claro que la información de autenticación incluye «contraseñas, PIN, claves criptográficas, plantillas biométricas, tarjetas inteligentes, tokens, certificados, tokens OAuth, claves SSH, secretos de API». Los atacantes usan con frecuencia tokens de API, claves de cuentas de servicio y concesiones OAuth para mantener persistencia. Trate esas credenciales bajo A.5.17, con custodia en bóveda, titularidad, rotación, revocación y registro de eventos.

Cómo es un buen resultado en 2026

Un entorno maduro de controles de identidad en 2026 tiene estas características:

  • El consejo u órgano de dirección comprende el riesgo de identidad y aprueba la dirección a seguir.
  • La política de contraseñas está modernizada, es usable y se aplica técnicamente.
  • El acceso basado únicamente en contraseña se elimina para sistemas privilegiados, remotos y expuestos a internet.
  • Las claves de acceso o autenticadores FIDO2 se priorizan para accesos de alto riesgo.
  • Las excepciones de MFA están documentadas, aprobadas, limitadas en el tiempo y compensadas.
  • El enrolamiento, la recuperación y la revocación de autenticadores están controlados.
  • El cese incluye revocación de cuentas, tokens, certificados, sesiones y claves de acceso.
  • Los registros de autenticación incluyen éxitos, fallos, uso de MFA, duración de sesión y cambios de autenticadores.
  • Los casos de uso de SIEM detectan relleno de credenciales, viajes imposibles, enrolamiento sospechoso y fatiga de MFA.
  • La SoA explica por qué A.5.16, A.5.17 y A.8.5 son aplicables.
  • Los mapeos con NIS2, DORA, GDPR de la UE y NIST CSF se registran una vez y se reutilizan.
  • Las evidencias se recopilan de forma continua, no se ensamblan con urgencia justo antes de la auditoría.

Así es como NIST SP 800-63-4 se convierte en algo más que un documento de referencia. Se convierte en un sistema de control vivo que respalda la seguridad, la privacidad, la resiliencia y la preparación para auditorías.

Convertir los controles de identidad en evidencias preparadas para auditoría

Si su organización está actualizando reglas de contraseña, desplegando MFA resistente al phishing, introduciendo claves de acceso o preparándose para preguntas de auditoría sobre ISO 27001, NIS2, DORA o GDPR de la UE, no empiece solo por la configuración de herramientas.

Empiece por el modelo de evidencias.

Clarysec puede ayudarle a:

  • Mapear las expectativas de NIST SP 800-63-4 sobre contraseñas, MFA y claves de acceso con ISO/IEC 27001:2022.
  • Construir una política de ciclo de vida de autenticadores y un paquete de evidencias.
  • Actualizar políticas de control de acceso, MFA, registro, incorporación y cese.
  • Preparar una Declaración de Aplicabilidad que vincule el riesgo de identidad con los controles.
  • Utilizar Zenith Blueprint para estructurar los pasos de implementación y la preparación para auditorías.
  • Utilizar Zenith Controls para mapear de forma transversal los controles de identidad con NIS2, DORA, GDPR de la UE, NIST CSF 2.0 y COBIT 2019.

El mejor momento para descubrir una recuperación débil, una revocación de claves de acceso ausente o una aplicación incompleta de MFA es antes del incidente, antes del regulador y antes de que pregunte el auditor.

Convierta su próxima revisión de control de acceso en una revisión de evidencias de NIST SP 800-63-4. Descargue las políticas relevantes de Clarysec, explore Zenith Blueprint y utilice Zenith Controls para convertir la implementación de contraseñas, MFA y claves de acceso en una historia de cumplimiento práctica, proporcionada y preparada para auditoría.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

DLP en 2026: ISO 27001 para el RGPD de la UE, NIS2 y DORA

DLP en 2026: ISO 27001 para el RGPD de la UE, NIS2 y DORA

La prevención de pérdida de datos ya no es una configuración aislada de una herramienta. En 2026, los CISO necesitan un programa DLP gobernado por políticas y respaldado por evidencias que conecte la clasificación de datos, la transferencia segura, el registro de eventos, la respuesta a incidentes, la gobernanza de proveedores y los controles de ISO/IEC 27001:2022 con el Article 32 del RGPD de la UE, NIS2 y DORA.