Cumbre de seguridad de Dashlane 2025: lo que aprendimos de 4 líderes del sector

En Dashlane, todo se centra en proteger la vida digital de las personas, ya sea proteger contraseñas e identidades o administrar datos críticos. Es un viaje que nunca termina. La ciberseguridad es algo que evoluciona constantemente, y por eso necesitamos seguir aprendiendo, adaptándonos y sometiéndonos a retos para ir por delante de la competencia.

El 1 de abril organizamos nuestra primera Cumbre de seguridad en la oficina de Dashlane de Nueva York, en persona y virtualmente a través de una transmisión en vivo de YouTube.

Hablé brevemente al comienzo del evento para dar la bienvenida a los asistentes (profesionales de la seguridad de muchos ámbitos sociales) y más tarde para presentar a cada uno de nuestros 4 oradores expertos.

La Cumbre de seguridad se centró en abordar los últimos desafíos en ciberseguridad, con un énfasis especial en comprender las amenazas emergentes en la economía digital: desde la IA en la sombra hasta registros de robos de criptomonedas.

El evento reunió a 4 líderes del sector para compartir sus ideas sobre la creación de estrategias de defensa proactivas.

Nuestra primera sesión fue «IA en la sombra: la amenaza silenciosa para la seguridad de las credenciales», presentada por Jennifer Gold. Jennifer es la CISO de Risk Aperture y una potencia en el mundo de la ciberseguridad. A la vanguardia de la protección de la infraestructura crítica, es una defensora apasionada de la colaboración entre los sectores privado y público para abordar el creciente panorama de amenazas.

En su presentación, Jennifer profundizó en una de las amenazas más apremiantes a las que nos enfrentamos: cómo se puede utilizar la IA para atacar la seguridad de las credenciales. Como jefe de tecnología de una empresa de seguridad, creo firmemente que esto no es algo que podamos permitirnos el lujo de ignorar.

Jennifer también compartió su filosofía sobre la diligencia de la ciberseguridad, diciendo que «[My dad is]… iba a fisioterapia y me explicaba cómo cuando tenía que hacer 10 repeticiones de un ejercicio en particular, hacía 15. Estaba pensando en esa mentalidad de siempre hacer un poco más, esas repeticiones adicionales… Hay la necesidad de hacer todas esas repeticiones adicionales, como mi padre».[cybersecurity professionals]

He aquí mis 3 conclusiones de su presentación:

A continuación, escuchamos a Ethan Johnson, fundador de Next Encrypt, que presentó «Ideas sobre la protección de las operaciones criptográficas: por qué un par de controles avanzados no son suficientes». Ethan tiene una gran experiencia derivada de su profundo trabajo en el espacio de la seguridad criptográfica y compartió ideas clave sobre la protección de las operaciones criptográficas en un panorama de amenazas cada vez más complejo.

Las criptomonedas y la blockchain caen fuera de mi zona de confort, por lo que fue interesante aprender lo mucho que está en juego. Al final del día, proteger las criptomonedas requiere los mismos fundamentos de seguridad que cualquier otra cosa, por lo que estas son mis recomendaciones basadas en la presentación de Ethan:

Robert Fernandes, fundador y CISO de Salted Hash Security, habló a continuación, llamando a su presentación «Desenmascarar el malware que nos roba: detección OSINT y defensa proactiva». Abordó cómo identificar y defenderse mejor contra las amenazas de registros de ladrones usando inteligencia de código abierto (OSINT).

El malware que roba es un tipo de software malicioso diseñado para recopilar y extraer información confidencial de dispositivos infectados. La información robada por el malware de los ladrones está contenida en un registro de los ladrones. Racoon, Redline, Titan, Aurora y Vidar son todos tipos populares de malware ladrón.

Los registros de ladrones son particularmente peligrosos, ya que pueden incluir cookies de sesión persistentes, que permiten a otros conectarse en nombre de usted, incluso omitiendo la MFA.

Robert compartió un resumen de un informe de flare.io: la organización analizó más de 19 millones de registros de ladrones, encontrando más de 376 000 registros que contenían acceso a aplicaciones empresariales (Salesforce, AWS, Okta, Docusign). Más de 48 000 registros contenían acceso a Okta.com (SSO). Casi la mitad de estos registros contenían acceso a credenciales de Gmail. Los grupos VIP de Telegram y del mercado ruso fueron las fuentes más comunes de datos corporativos.

«Hay un dicho en la comunidad de piratas informáticos: “No lo pirateé. Acabo de ingresar”», agregó Robert.

Una de sus recomendaciones es investigar la arquitectura de confianza cero, asegurándose de que su organización cuente con una aplicación de administración de dispositivos sólida y una administración de parches sistemática. Saber lo que hay en su seguro cibernético también es crítico.

La charla final del día fue «Necesitamos menos héroes: priorización de vulnerabilidades usando datos de observabilidad», presentada por Jean-Baptiste Aviat, ingeniero de personal de productos de seguridad de Datadog. Jean-Baptiste ha liderado la carga de democratizar la seguridad con la plataforma de observabilidad de Datadog.

Su presentación se centró en cómo se deben priorizar las vulnerabilidades basándose en el riesgo real para los clientes y la empresa. Un informe de Datadog muestra que en un mar de vulnerabilidades, solo el 3 % son realmente críticas.

El Sistema de puntuación de vulnerabilidades común (CVSS), una forma de evaluar la gravedad de las vulnerabilidades, no es suficiente y debe ampliarse a una «puntuación ambiental CVSS». Esto proporciona más dimensiones y granularidad para evaluar la prioridad de una vulnerabilidad y elaborar un punto de vista de riesgo más preciso usando los datos de un sistema.

En un mundo en el que seguimos encontrando más vulnerabilidades, necesitamos herramientas y procesos para asegurarnos de invertir nuestro tiempo y esfuerzo en el lugar adecuado.

Gracias a nuestros oradores por compartir su tiempo y sabiduría, y gracias a todos nuestros participantes en persona y en línea. Espero que hayan disfrutado de nuestra Cumbre de seguridad de 2025. Esperamos poder albergarla de nuevo en el futuro.