La identidad tiene una oportunidad única en la década de elevar su rol y redefinir su criticidad de seguridad dentro de la organización. No añadiendo un producto más, sino convirtiéndose en algo fundamentalmente diferente: una disciplina en el corazón mismo de la seguridad empresarial. Para los profesionales de IAM, esta es una oportunidad para dejar de ser percibidos como una función administrativa y, en cambio, asumir el rol de orquestadores y defensores de primera línea.
Para los profesionales de IAM, esta es una oportunidad de dejar de ser vistos como una función administrativa y, en cambio, asumir el rol de orquestadores y defensores de primera línea.
¿Por qué ahora? Debido a la explosión de SaaS, la nube y el software de agentes, los agentes de IA, los servicios automatizados y las transacciones digitales de alta velocidad han desafiado por completo el statu quo. Las identidades ya no se limitan a los empleados y a unos pocos... cuentas de servicioAhora incluyen agentes efímeros, scripts, cargas de trabajo y bots que aparecen y desaparecen a la velocidad de una máquina. Esta proliferación de identidades humanas y no humanas plantea una nueva escala y complejidad que la gestión de identidades y accesos (IAM) tradicional no puede controlar. Al mismo tiempo, abre una ventana de oportunidad para un cambio necesario en la forma en que diseñamos, operamos y protegemos la identidad.
Y, en segundo plano, un hecho no ha cambiado: más del 80 % de los ataques actuales siguen basándose en la vulneración de la identidad. Incluso las organizaciones más pequeñas gestionan ahora decenas o cientos de identidades, mientras que las grandes empresas lidian con decenas o cientos de miles. La enorme proliferación de identidades implica que ninguna organización puede rastrearlas ni controlarlas manualmente. Esto no es solo un riesgo, sino una oportunidad para construir un nuevo paradigma para proteger el acceso.
La identidad ya no es solo "la infraestructura de TI" ni "la automatización del cumplimiento normativo". Se ha convertido en el componente más importante para proteger la infraestructura en la nube, las operaciones basadas en IA y el futuro de la confianza empresarial. Esta mitad de década no es solo un punto de inflexión en la evolución tecnológica. Es el punto de inflexión donde la identidad se convierte en la base de la seguridad moderna.
En este blog, exploraré una breve historia de la gestión de identidades y accesos (IAM), su evolución desde la gestión de TI hasta el cumplimiento normativo y la seguridad, y usaré esta perspectiva para proponer una transición gradual y práctica hacia su futuro rol. El objetivo es ofrecer una perspectiva y una opinión sólida: es hora de que las organizaciones consideren la gestión de identidades y accesos (IAM) no como una herramienta de auditoría, sino como la primera línea de defensa durante los próximos cinco años.
Una breve historia de IAM: desde las operaciones de TI hasta el núcleo de la seguridad
Década de 1960-1970: El nacimiento de la identidad en la informática
Los orígenes de la identidad digital se remontan al Sistema de Tiempo Compartido Compatible (CTSS) del MIT, dirigido por Fernando Corbató. Corbató introdujo el concepto de contraseñas por usuario, posiblemente el primer control de identidad generalizado, para que varias personas pudieran compartir recursos informáticos de forma segura. Fue una innovación de varias etapas: autenticaciónLa autorización y la rendición de cuentas, todas vinculadas a las identificaciones de usuario individuales, fueron la chispa que posteriormente impulsó la disciplina IAM.
Década de 2000: Las credenciales, el cifrado y el cumplimiento normativo toman el control
A principios de la década del 2000, las empresas se vieron inundadas de credenciales: nombres de usuario, contraseñas, PIN, tarjetas inteligentes, tokens físicos y experimentos biométricos. El cifrado se generalizó, al igual que el almacenamiento e intercambio seguro de credenciales. Esta fue también la década del BYOC (traiga su propia credencial), los contratistas, los socios y el acceso federado. Al mismo tiempo, las normativas de cumplimiento como SOX, HIPAA y PCI pusieron la gestión de identidades y accesos (IAM) en el punto de mira. La identidad pasó a centrarse menos en facilitar el trabajo y más en satisfacer a los auditores. La IAM se medía cada vez más por su capacidad para generar evidencia: revisiones de acceso, comprobaciones de segregación de funciones y flujos de trabajo de gobernanza. En muchas organizaciones, la gobernanza se volvió más urgente que la seguridad.
Década de 2010: Claves, tokens, certificados y el auge de las identidades no humanas (NHI)
La era de la nube impulsó la proliferación de nuevos tipos de credenciales: claves API, tokens OAuth, certificados y cuentas de servicio, credenciales que eran invisibles para la mayoría de los equipos de seguridad, pero que controlaban infraestructuras enteras. Este fue el nacimiento de... Identidad no humana (NHI) como clase dominante de identidad, a menudo superando en número a los humanos en una proporción de 40 a 1. Al mismo tiempo, el colapso del perímetro de la red obligó a los equipos de seguridad a declarar: la identidad es el nuevo perímetro. MFAEl SSO y la identidad federada se convirtieron en expectativas básicas. Sin embargo, la IAM seguía siendo reactiva, buscando ciclos de aprovisionamiento y modelos de rol estáticos, mientras que los atacantes atacaban cada vez más estas nuevas credenciales de máquina.
La identidad es el nuevo perímetro. La autenticación multifactor (MFA), el inicio de sesión único (SSO) y la identidad federada se convirtieron en expectativas básicas. Sin embargo, la gestión de identidades y accesos (IAM) seguía siendo reactiva.
Década de 2020: Los procesos humanos de IAM no son suficientes
Ahora, en la década de 2020, la tendencia ha vuelto a inclinarse hacia una identidad que prioriza la seguridad. Los procesos de IAM impulsados por personas (aprobaciones manuales, roles estáticos, revisiones periódicas) no pueden seguir el ritmo de la escala, la velocidad y la complejidad de los ecosistemas de la nube y la IA. Las identidades ahora incluyen agentes de IA, cargas de trabajo efímeras, pipelines y sistemas automatizados de toma de decisiones. La seguridad no puede tratar la identidad como una cuestión de cumplimiento normativo, ni los equipos pueden depender de capacidades de identidad débiles integradas en soluciones fundamentales de endpoints o en la nube. La IAM debe convertirse en la primera línea. Los profesionales de la identidad ahora utilizan un único plano de control en toda su infraestructura de IAM para la toma de decisiones, el contexto y la aplicación de la normativa en tiempo real.
Esta urgencia se ve subrayada por los cambios tectónicos del mercado: Palo Alto Networks adquirió CyberArk, Microsoft está inundando a Entra con funciones que priorizan la seguridad, Identity Threat Detection & Response (ITDRLa categoría de seguridad ha experimentado un auge exponencial, y la gestión de activos se define cada vez más en términos de identidad, en lugar de hardware o topología de red. Estos cambios confirman una realidad: la identidad ya no es una simple conexión por cable, sino la nueva estructura de seguridad.
Por qué la seguridad debe evolucionar hacia una seguridad centrada en la identidad y por qué este es el momento para que la gente de IAM crezca
Las antiguas herramientas de IAM, con aprobaciones de acceso manuales, revisiones periódicas, roles estáticos y la aplicación de políticas basadas en proxy, no pueden seguir el ritmo de la era de la nube y la IA. IAM es ahora el tejido conectivo que conecta sistemas, plataformas y datos a través de fronteras y organizaciones. Es más rápido, más dinámico y, en algunos casos, autónomo. La identidad actual beneficia tanto a los buenos como a los malos: los mismos agentes de IA que crean software también pueden ser utilizados como armas de malware o bots maliciosos.
Esto convierte a los profesionales de IAM en la última persona en el circuito de la nueva frontera de las identidades digitales. Podemos bloquear, agotar y contrarrestar los ataques antes de que tengan éxito, a la vez que automatizamos la gobernanza y las operaciones relacionadas con ellos. Si IAM evoluciona correctamente, no será una segunda capa de defensa, sino la primera línea de la seguridad.
“Hoy en día, la identidad sirve tanto a los buenos como a los malos: los mismos agentes de IA que crean software también pueden convertirse en armas de malware o bots maliciosos”.
Redefiniendo el rol del equipo de identidad
Esta transformación requiere reimaginar el funcionamiento de los equipos de IAM. La función de IAM ya no se limita a aprovisionar usuarios o habilitar el inicio de sesión único (SSO), sino que se trata de convertirse en los orquestadores humanos y los defensores de primera línea de la seguridad. Los equipos de IAM conectan la organización, habilitan el negocio mediante privilegios y credenciales y, lo que es más importante, orquestan decisiones de acceso basadas en el contexto a escala. Son el socio de la seguridad a medida que la identidad se convierte en la primera línea.
Piense en sus controles de IAM como "pequeños agentes" integrados en cada privilegio que otorga. Estos agentes deben ajustar y adaptar dinámicamente cada decisión de acceso con un movimiento preciso y contextual. Aquí es donde el rol del equipo de IAM se vuelve estratégico: construir, operar y perfeccionar estos agentes como parte de una estructura de seguridad que escala con la empresa.
Como explicaré en más detalle en sus próximos artículos, IAM debe evolucionar hacia una disciplina de orquestación, donde el profesional de IAM no solo sea un facilitador del acceso, sino también un defensor que garantiza que cada uso del acceso se evalúe continuamente, se aplique contextualmente y se proteja en tiempo real.
Una guía de seis pasos para elevar la identidad a la primera línea de la seguridad
(0) Limpia tu mente y tu lista de tareas: Automatice todo lo que pueda, ahora. Automatice las revisiones de acceso, el trabajo de cumplimiento, la optimización de permisos y la concesión de acceso inicial. Este trabajo ya es un producto básico; su enfoque debería estar en otras áreas. Busque plataformas que integren la automatización de la gobernanza y eliminen la tarea rutinaria de auditoría manual de su trabajo diario.
(1) Crea tu plano de control: Haga que todos sus controles funcionen en conjunto. Se acabaron los silos. Añada una capa de correlación y orquestación en todas las cuentas humanas y de máquina. Cada entidad raíz, usuario, máquina, software o agente, debe tener una historia de acceso clara y un perfil de comportamiento, generado automáticamente desde su creación. Un gráfico de acceso en tiempo real por identidad ya no es opcional. Busque tecnologías que unifiquen identidades en la nube híbrida, DevOps y SaaS, produciendo un mapeo y control de acceso continuo..
(2) Completa los controles: Toca lo intocable. Asegúrate de contar con los controles adecuados en torno a la IA, los pipelines de DevOps, el IoT, los ICS, las cargas de trabajo en la nube y los sistemas de agencia emergentes. Las identidades no humanas ya son mayoría; asegúralas como ciudadanos de primera clase. Adopte herramientas que extiendan la visibilidad de IAM más allá de los usuarios a los puntos finales, cargas de trabajo, API e infraestructura.
(3) Haga que el contexto sea importante para cada decisión de transacción: Combine (1) y (2) para crear contexto, comportamiento, privilegios, postura y riesgo que nutran sus sistemas de control. Cada solicitud de acceso debe ser contextual, no solo basada en credenciales. Comience con reglas estáticas avanzadas y luego avance hacia decisiones basadas en riesgos o asistidas por IA. Busque seguridad de identidad que integra de forma nativa el contexto en sus motores de decisión.
(4) Conviértase en el ser humano en el circuito del acceso dinámico automatizado: Una vez que la plataforma está en funcionamiento para automatizar las tareas diarias, su función pasa a ser la de tomar decisiones difíciles, abordar casos extremos, anomalías y tomar verdaderas decisiones de seguridad de acceso donde el criterio humano es irreemplazable. Elija tecnologías que activen a los humanos solo en casos atípicos, liberando así su tiempo para la toma de decisiones estratégicas.
(5) Construye tu lugar en la mesa de crisis de seguridad: La IAM debe participar en el panel de crisis durante las brechas, no en la trastienda. Usted es quien toma las decisiones, quien interpreta la realidad y quien lidera cuando se producen las brechas. Así es como la IAM se convierte en la prioridad de la seguridad. Invierta en plataformas que alimenten señales IAM directamente a los flujos de trabajo de respuesta a incidentes y SOC.
El futuro (cercano) prioriza la identidad: prepárese ahora
Vivimos en la época más emocionante y trascendental para los profesionales de IAM. Con el 80 % de los ataques basados en la identidad, y con la nube y la IA transformando el panorama digital, IAM es ahora la primera línea de defensa empresarial.
Ahora debe decidir: ¿será uno de los primeros en adoptar las tecnologías, liderará el cambio y transformará la manera en que IAM protege su empresa, o esperará hasta que el cambio se produzca por completo y luego se esforzará por adaptarse?
El período comprendido entre mediados de la década de 2020 y 2030 será recordado como la década en la que los profesionales de la identidad finalmente ocuparon el lugar que les correspondía en primera línea. Y si lo hacemos bien, la gestión de identidades y accesos (IAM) no solo protegerá a nuestras empresas, sino que también definirá el futuro de la confianza digital segura.
Publicaremos diferentes artículos y reseñas sobre cada uno de estos seis pasos en futuros blogs y podcasts. Manténganse al tanto y prepárense para liderar esta nueva era.
Referencias
– MIT y Fernando Corbató, origen de las contraseñas: [MIT News]
– Sonrai Security – Historia de la identidad
– Adquisición de Palo Alto Networks CyberArk (2024): [Informes de SecurityWeek]
Hoja de ruta de Microsoft Entra: Blog de seguridad de Microsoft
Crecimiento de la detección y respuesta a amenazas de identidad (ITDR): [Gartner – 2023-identity-threat-detection-and-response-gartner]
