Probablemente hayas escuchado la frase “la identidad es el nuevo perímetro”. Se repite a menudo en los círculos de seguridad, y por una buena razón. En la mayoría de las empresas, la identidad se ha considerado durante mucho tiempo una función de apoyo. Se trata como una puerta de entrada a los sistemas, un conjunto de políticas para gestionar el acceso y una partida en la lista de verificación de seguridad.
Pero el panorama ha cambiado, y rápido.
La identidad se encuentra en el centro de cómo se conectan las personas, los dispositivos y los sistemas. También es el primer lugar que miran los atacantes cuando intentan infiltrarse en los sistemas empresariales. Si tu modelo de seguridad todavía trata la identidad como un proceso de back-end, está desactualizado con la forma en que operan las amenazas ahora.
Con el aumento del trabajo remoto, los crecientes entornos de nube y una explosión de aplicaciones SaaS, la superficie de ataque relacionada con la identidad se ha expandido dramáticamente. El robo de credenciales, el secuestro de sesiones y las derivaciones de la autenticación multifactor (MFA) resistente al phishing se han convertido en tácticas rutinarias. Al mismo tiempo, los sistemas de identidad tradicionales, diseñados para un modelo centralizado basado en el perímetro, están mostrando sus límites.
En este artículo, analizaremos cómo el pensamiento heredado sobre la seguridad de la identidad pone en riesgo a las organizaciones, por qué esos riesgos son cada vez más difíciles de detectar y qué deben cambiar las empresas para recuperar el control.
El enfoque heredado de la seguridad de la identidad
Retrocedamos un poco y veamos cómo se construyeron inicialmente los sistemas de identidad.
La mayoría de las herramientas tradicionales de gestión de identidad y acceso (IAM) se diseñaron para un entorno centralizado. Piensa en VPN, aplicaciones locales, dispositivos administrados y usuarios que trabajan desde la oficina. En ese contexto, la identidad se centraba principalmente en el control de acceso, es decir, quién podía entrar y cuándo.
Los métodos de autenticación eran bastante limitados. Las contraseñas eran la norma; tal vez tenía contraseñas de un solo uso o tokens para mayor seguridad. La Autenticación Multifactor (MFA) y el inicio de sesión único a menudo eran opcionales y no obligatorios. Se veían como características que mejoraban la comodidad, no como medidas de seguridad esenciales.
Esa forma de pensar se mantuvo por más tiempo de lo que debería. A medida que las organizaciones se trasladaron a la nube, los sistemas de identidad no evolucionaron lo suficientemente rápido. Muchos permanecieron aislados del resto de la pila de seguridad. El aprovisionamiento y el desaprovisionamiento se gestionaban manualmente, y el acceso se gestionaba aplicación por aplicación.
La visibilidad era limitada, la automatización era mínima y a menudo faltaba contexto en torno a la actividad del usuario. Y si bien el panorama ha cambiado, muchas organizaciones no lo han hecho. Este modelo obsoleto todavía está vigente en entornos que ahora son mucho más complejos, y eso es exactamente lo que se está explotando.
Hoy en día, los atacantes no están atravesando el perímetro de la red. Están apuntando directamente a la identidad. Y cuando la identidad se trata como un punto de control en lugar de una capa crítica de defensa, esas brechas son fáciles de explotar.
La identidad es la nueva superficie de ataque
Este cambio en cómo se usa (y se explota) la identidad tiene implicaciones significativas. Los atacantes aprendieron que ya no necesitaban abrirse paso por la fuerza bruta a través de una infraestructura reforzada. A menudo, es más fácil explotar los controles de identidad que se pasan por alto o colarse a través de métodos de autenticación débiles. Una vez dentro, pueden moverse lateralmente con poca resistencia, especialmente si la identidad se trata como un punto de control pasivo en lugar de una capa de seguridad activa.
Al mismo tiempo, las amenazas basadas en la identidad son cada vez más comunes y complejas. El secuestro de sesiones, el robo de tokens y las derivaciones de Autenticación Multifactor (MFA) ya no son técnicas raras; son rutina. Las campañas sofisticadas están dirigidas a los flujos de autenticación y al acceso posterior a la autenticación. Y con la inteligencia artificial y la automatización en juego, estos ataques están escalando más rápido que nunca.
Las cifras hablan por sí solas. Según el Informe de Verizon sobre brechas de datos de 2024, en el que participó Okta, más del 80% de las brechas de seguridad involucran una identidad comprometida. En 2023, los atacantes robaron más de 1.900 millones de cookies de sesión de empleados de Fortune 1000. Los ataques relacionados con la identidad aumentaron un 180% año tras año. Y, en promedio, las organizaciones todavía tardan 272 días en detectar y contener una brecha.
Estos no son casos extremos, sino señales claras de que las herramientas y los manuales tradicionales ya no son suficientes. Si su enfoque de seguridad de identidad no puede reducir el riesgo entre usuarios, cuentas de servicio, dispositivos y aplicaciones en la nube en tiempo real, está trabajando con puntos ciegos que los atacantes saben cómo encontrar.
Cómo la fragmentación crea puntos ciegos en la pila
Entonces, ¿de dónde vienen estos puntos ciegos? Comienza con la fragmentación. Los entornos empresariales modernos se construyen a partir de una combinación de servicios en la nube, herramientas SaaS, sistemas heredados e integraciones de terceros. Puede que sea una forma rápida, flexible y escalable, pero también es caótica. Cada nueva aplicación, servicio o plataforma agrega otra capa de complejidad a su infraestructura de identidad.
El desafío no es solo la escala. Es la falta de conexión entre esas capas. Con demasiada frecuencia, las identidades se gestionan de forma aislada. Diferentes equipos gestionan el acceso para diferentes sistemas. Las políticas de autenticación varían de una aplicación a otra. Y los datos relacionados con la identidad, como el historial de inicio de sesión o el comportamiento del usuario, residen en silos, repartidos en plataformas desconectadas.
Esto hace que sea casi imposible mantener controles de acceso consistentes o aplicar políticas de seguridad de manera uniforme. La Autenticación Multifactor (MFA) puede aplicarse en algunas áreas y pasarse por alto en otras. La anulación del aprovisionamiento podría ocurrir para los empleados, pero no para los contratistas o las cuentas de servicio. Y debido a que no hay una vista centralizada, estas brechas son difíciles de ver hasta que es demasiado tarde.
Para los atacantes, esta es una configuración ideal. La fragmentación ralentiza el tiempo de respuesta, hace que las configuraciones erróneas sean más fáciles de pasar por alto y brinda a los actores de amenazas más formas de moverse sin ser notados. Una estrategia de identidad moderna debe tener en cuenta la realidad de las pilas actuales. Sin una visión conectada y una información en tiempo real, los equipos de seguridad están operando con información parcial, y así es exactamente como ocurren las infracciones.
Por qué el IAM tradicional no puede seguir el ritmo
A estas alturas, debería quedar claro que las soluciones IAM tradicionales no están diseñadas para los entornos actuales. Aunque tienen las mejores intenciones, muchos equipos de seguridad todavía están trabajando con sistemas de identidad creados para una era diferente. Estas herramientas fueron diseñadas para entornos estáticos, donde las necesidades de acceso cambiaban lentamente y las identidades vivían dentro del perímetro corporativo.
Ese no es el mundo en el que estamos operando ya. Los entornos actuales son mucho más dinámicos y las identidades se añaden, cambian y eliminan constantemente. Los contratistas se activan durante unos días de acceso. Nuevas herramientas SaaS se integran sobre la marcha. Los usuarios se conectan desde dispositivos no administrados, a través de zonas horarias, desde cualquier lugar. Desafortunadamente, la mayoría de los sistemas IAM heredados simplemente no pueden seguir ese ritmo.
No proporcionan visibilidad en tiempo real de quién tiene acceso a qué ni se adaptan rápidamente a las señales de riesgo o al contexto. Dependen en gran medida de los procesos manuales para aprovisionar usuarios, revocar el acceso o auditar los permisos, tareas que se vuelven inmanejables a medida que crece el número de identidades.
Todo esto crea fricción, para los equipos de seguridad y en toda la empresa. La respuesta a las amenazas se ralentiza, las políticas se vuelven inconsistentes y las configuraciones erróneas se escapan. Cuanto más tiempo permanezcan abiertas esas brechas, más probable es que sean explotadas.
Si desea reducir el riesgo y apoyar el acceso seguro a través de usuarios, aplicaciones y servicios, no puede gestionar la identidad de forma aislada. Debe estar conectado al resto de su pila de seguridad y operar a la velocidad de todo lo demás en su entorno.
El costo de retrasar una estrategia de identidad moderna
Una cosa es reconocer las limitaciones de las herramientas heredadas. Actuar en ese reconocimiento es otra historia. Para muchas organizaciones, la modernización de la identidad se siente como un proyecto a largo plazo, algo a lo que llegar una vez que se hayan extinguido los incendios más urgentes. Pero, en realidad, esperar sólo aumenta el riesgo. Cuanto más tiempo permanezca la identidad desconectada del resto de su pila de seguridad, más se agravarán esos pequeños errores y los procesos obsoletos.
El desaprovisionamiento perdido, el MFA inconsistente y una cuenta de servicio que nadie ha rastreado en meses son el tipo de lagunas que los atacantes buscan, y son fáciles de pasar por alto cuando la identidad todavía se gestiona a través de políticas estáticas y revisiones manuales.
Dicho esto, el costo no se limita al riesgo de una infracción. También se refleja en procesos más lentos, flujos de trabajo ineficientes y la falta de visibilidad que mantiene a los equipos de seguridad atascados en el modo reactivo, incapaces de priorizar las mejoras a largo plazo o impulsar resultados de seguridad más amplios.
Una estrategia de identidad moderna brinda a las organizaciones una forma de convertir la identidad en una ventaja estratégica. Ofrece visibilidad en todo el sistema, respalda las decisiones en tiempo real y ayuda a prevenir el riesgo antes de que aumente. Cuanto más esperen las organizaciones para modernizarse, más se convertirán esas brechas ocultas en consecuencias, lo que afectará a los equipos de seguridad, a la empresa y a las personas que deben proteger.
Proteja la identidad. Proteja todo.
A medida que la identidad se convierte en la principal superficie de ataque, posee la clave para una estrategia de seguridad más unificada y resistente. Nuestro libro electrónico: Secure Identity. Secure Everything., describe una estrategia práctica para integrar la identidad en el núcleo de tu arquitectura de seguridad. Cubre los riesgos reales que enfrentan los entornos actuales, las brechas que dejan atrás los sistemas heredados y los tres principios que impulsan la próxima generación de seguridad de la identidad.
Si estás trabajando para modernizar tu infraestructura, fortalecer los controles de acceso y reducir el riesgo en sistemas complejos, esta guía ofrece la dirección estratégica y la base técnica para respaldar esa transformación. Descarga el libro electrónico para obtener la estrategia, los marcos de trabajo y los puntos de referencia que necesitas para avanzar con confianza.
