Por qué la identidad es la nueva firewall – y por qué las estrategias de IAM siguen fallando

En un mundo sin perímetro, la identidad es el último punto de control fiable. Sin embargo, la realidad es distinta: más del 60 por ciento de las violaciones comienzan con credenciales comprometidas. No porque falte tecnología IAM, sino porque las empresas la implementan incorrectamente.

En resumen

• Verizon DBIR 2022: el 61 por ciento de las violaciones implican credenciales robadas
• Tiempo medio hasta la detección de cuentas comprometidas: 187 días (IBM)
• Adopción de MFA en empresas: menos del 50 por ciento de las cuentas privilegiadas
• La gobernanza de identidades se convierte en un requisito obligatorio según la NIS2

El fin del perímetro – y el comienzo de la crisis de identidad

La nube, el trabajo remoto y el SaaS han disuelto el límite clásico de red. En un entorno en el que los empleados acceden desde cualquier lugar a recursos en diez servicios en la nube diferentes, la pregunta ya no es «¿Estás en la red?», sino «¿Quién eres – y tienes permiso para hacer esto?».

Este cambio convierte a la gestión de identidad y acceso (IAM) en la disciplina de seguridad más crítica. Sin embargo, muchas empresas siguen tratando el IAM como un tema de administración de TI, no como una estrategia de seguridad.

Los tres errores más comunes en IAM

1. MFA solo para VPN: Muchas empresas han implementado MFA para el acceso a la VPN, pero no para aplicaciones SaaS, consolas en la nube o portales internos. Los atacantes simplemente evitan el canal protegido.

2. Ausencia de gestión del ciclo de vida: Cuentas de empleados antiguos, cuentas de servicio huérfanas y usuarios de prueba con excesivos privilegios son la presa más fácil para cualquier atacante.

3. Ausencia de control de acceso basado en contexto: Los roles estáticos no son suficientes. Si un director financiero accede a datos financieros a las 3 de la madrugada desde un país desconocido, el sistema debe reaccionar – no esperar al analista del SOC al día siguiente.

Zero Trust necesita la identidad como fundamento

Zero Trust sin un IAM robusto es una arquitectura vacía. Toda implementación de Zero Trust comienza con la pregunta: ¿Puedo verificar de forma fiable la identidad del solicitante? Sin autenticación fuerte, el principio de privilegio mínimo y una evaluación continua del riesgo, Zero Trust seguirá siendo un término de moda.

La combinación de un IAM moderno (SCIM, OIDC), políticas de acceso condicional y análisis de comportamiento forma la base de una arquitectura Zero Trust que realmente funciona.

Autenticación resistente al phishing: FIDO2 y Passkeys

La siguiente etapa de evolución es la eliminación de las contraseñas. La autenticación basada en FIDO2 con claves hardware (YubiKey) o autenticadores de plataforma (Windows Hello, Face ID) es inherentemente resistente al phishing: la clave privada nunca abandona el dispositivo.

Apple, Google y Microsoft han popularizado la tecnología FIDO2 mediante los Passkeys. Para las empresas, esto significa: el camino hacia la autenticación sin contraseñas está despejado – la tecnología ya está disponible, ahora falta la adopción.

Datos clave

Ataques basados en credenciales: 61 por ciento de todas las violaciones (Verizon DBIR 2022)

Eficacia del MFA: Reduce la compromisión de cuentas en un 99,9 por ciento (Microsoft)

Coste por violación: 4,35 millones de dólares estadounidenses de media – 150.000 dólares menos con implementación de Zero Trust (IBM)

Preguntas frecuentes

¿Es suficiente el MFA como protección?

El MFA es esencial, pero no suficiente. Ataques avanzados como el cansancio por MFA (bombardeo con notificaciones push) o los proxies Adversary-in-the-Middle pueden eludir el MFA clásico. FIDO2/Passkeys son la alternativa más resistente.

¿Cuál es la diferencia entre IAM y PAM?

IAM (Gestión de Identidad y Acceso) regula el acceso de todos los usuarios. PAM (Gestión de Acceso Privilegiado) se centra en cuentas altamente privilegiadas – accesos de administrador, cuentas de servicio, claves root. Ambos son complementarios.

¿Cómo empiezo con la seguridad basada en identidad?

Tres medidas inmediatas: activar MFA para todos los servicios en la nube, implementar revisiones de acceso trimestrales e inventariar todas las cuentas de servicio. A continuación: planificar políticas de acceso condicional y el despliegue de FIDO2.

Artículos relacionados

• Case Study: Migración a Zero Trust en un grupo asegurador
• Tendencias de Ciberseguridad 2026: Las 7 evoluciones que deben conocer los responsables de seguridad
• Ciberseguridad 2030: Cinco predicciones para la próxima década de la seguridad TI

Más contenido de la red MBF Media

• Cloud Magazin – Nube, SaaS e infraestructura TI
• myBusinessFuture – Digitalización, IA y negocio
• Digital Chiefs – Liderazgo estratégico a nivel C

Fuente de imagen: Pexels / Pixabay

Sobre el autor: Tobias Massow

Más artículos de Tobias Massow