Las estadísticas no mienten: estamos perdiendo la batalla contra la vulneración de cuentas.
A pesar del gasto más de $ 18.5 billones en productos de seguridad de identidad en 2024, un aumento del 15 % interanual según Gartner—La identidad sigue siendo el punto de entrada más común para los atacantes. Es el vector más utilizado para el ataque inicial, y se espera que la tendencia continúe. Solo este año, ha habido... Más de 800 millones de nuevos conjuntos de credenciales robadas se vieron comprometidos como resultado de la explosión de los ladrones de información.
Entonces, ¿por qué seguimos luchando?
La respuesta corta es que seguridad de identidad No ha evolucionado con la suficiente rapidez. A diferencia de otras áreas de la ciberseguridad, la identidad sigue anclada en un pensamiento tradicional. Tradicionalmente, se ha considerado una función de cumplimiento normativo y habilitación empresarial, en lugar de una función de seguridad de primera línea. Como resultado, la mayoría de las organizaciones dependen de herramientas fragmentadas, implementaciones complejas y controles reactivos incapaces de mantenerse al día con las amenazas modernas.
La vulneración de cuentas no es una anomalía, sino una consecuencia inevitable de un modelo obsoleto.
Seguimos operando en lo que sólo se puede llamar Seguridad de identidad v1. Este es un enfoque de primera generación que carece de la agilidad, la integración y el enfoque necesarios para combatir las amenazas actuales. La estrategia consiste en estratificar los controles. más del Entornos ya expuestos, a menudo mediante proyectos que pueden tardar años en completarse. Pero los atacantes no esperan, y nosotros tampoco deberíamos.
Un síntoma claro de esta falta de control son las conversaciones incómodas a las que se enfrentan muchos responsables de seguridad: ¿Cuál es nuestro riesgo residual? ¿Qué significa eso en términos comerciales? ¿Cuándo estaremos...? done? Estas preguntas son difíciles de responder cuando no tienes el control total y debes reaccionar constantemente a los cambios que sufre el entorno debajo de ti.
Imagine un estado donde pueda definir y aplicar claramente controles de identidad fundamentales: cada administrador debe autenticarse con MFA, cuentas de servicio Están restringidos a su comportamiento habitual y aprobado, y se deniega todo acceso por defecto a menos que se permita explícitamente. Estos controles no son una mera aspiración: son implementables, exigibles y, lo más importante, medibles. Su eficacia se refleja en las amenazas que se bloquean o contienen antes de que puedan escalar, lo que establece una línea directa entre el control y la reducción de riesgos.
Lo que se necesita es un cambio tanto en la mentalidad como en la tecnología. Seguridad de identidad v2 Prioriza la prevención de riesgos. Es proactiva, universal y está diseñada para gestionar el riesgo de identidad sin interferir con el negocio. Como resultado, la identidad no se trata como una cuestión de último momento, sino como un punto de control.
Este cambio es urgente. Se está gestando una tormenta perfecta en torno a suposiciones obsoletas sobre el papel de la identidad en la seguridad, la falta de herramientas modernas que proporcionen control en tiempo real y la creciente complejidad en entornos de nube, SaaS e híbridos. En conjunto, estas fuerzas exigen un nuevo enfoque, uno que... Nos permite controlar ahora, en todos los lugares que importa, y afinar más tarde..
No podemos permitirnos esperar. El costo de la inacción está escrito claramente en informes de infracciones y las credenciales robadas se acumulan día a día.
Por qué la identidad es diferente y por qué eso importa
La identidad se distingue de otras áreas de seguridad. A diferencia de la mayoría de los dominios de seguridad, la identidad se centra fundamentalmente en las personas. Incluso las identidades no humanas, las cuentas de servicio, las API y... identidades de máquina En última instancia, reflejan decisiones humanas tomadas por desarrolladores, administradores o propietarios de la plataforma.
Las identidades son únicas porque están estrechamente entrelazadas con las actividades cotidianas de una organización. Afecta la forma en que las personas acceden a las herramientas, colaboran y realizan tareas, y, fundamentalmente, cómo se sienten al hacerlo.
Históricamente, la identidad se ha financiado por dos razones:
1. ¿Cómo podemos incorporar rápidamente a nuevos empleados y asegurarnos de que... autenticación ¿Sin problemas para todos?
2. ¿Cómo podemos cumplir con los requisitos de cumplimiento y evitar infracciones costosas?
Ahora ha surgido un tercer factor impulsor fundamentalmente diferente: ¿Cómo podemos defendernos de las amenazas basadas en la identidad? Requiere nuevas habilidades y una nueva mentalidad que no siempre pueden estar alineadas con los objetivos tradicionales de eficiencia o cumplimiento.
En muchos casos, la eficiencia se asocia a un mayor riesgo, y el acceso sobreaprovisionado es una consecuencia común. El alcance del cumplimiento normativo es limitado y profundo, mientras que la seguridad requiere visibilidad y control amplios y en tiempo real. Debido a estas prioridades contrapuestas, los equipos de identidad deben evolucionar hacia equipos de seguridad de identidad con un nuevo mandato y herramientas especializadas.
En la mayoría de las áreas de seguridad, esta evolución ya está bien establecida: los equipos de red, endpoints y nube trabajan junto con sus homólogos de seguridad especializados, con el apoyo de herramientas diseñadas específicamente para ello. Sin embargo, en el ámbito de la identidad, ese modelo a menudo falta. Los equipos que gestionan sistemas como Active Directory, Entra, o Okta Rara vez se asocian con equipos de seguridad dedicados, que a su vez cuentan con tecnología especializada. A menudo carecen de las herramientas necesarias para adoptar un enfoque que priorice la seguridad.
Para hacer frente a las amenazas actuales, eso debe cambiar.
Por qué las herramientas de seguridad de identidad actuales no son suficientes
Como la seguridad de la identidad no ha evolucionado a nivel organizacional, la tecnología también se ha quedado atrás, especialmente en comparación con otras disciplinas de seguridad.
Tomemos como ejemplo la seguridad de red. Las herramientas modernas no solo ofrecen visibilidad, sino que funcionan como un plano de control universal que impone medidas de seguridad en todo el entorno. Los equipos de seguridad pueden definir y aplicar proactivamente políticas de seguridad para controlar el riesgo y responder en tiempo real a las amenazas. Estos controles se aplican de forma consistente, garantizando que ninguna parte de la red opere fuera del marco de seguridad de la organización.
La identidad no ha tenido la misma evolución.
Las herramientas de seguridad de identidad actuales se dividen en tres categorías:
- Herramientas que tratan la identidad como un conjunto de vulnerabilidades que deben remediarse (por ejemplo, contraseñas débiles, privilegios excesivos, cuentas huérfanas)
- Herramientas que aíslan cuentas de riesgo (por ejemplo, bóveda mediante PAM)
- Herramientas que intentan detectar amenazas basadas en la identidad y responder (por ejemplo, ITDR)
Las soluciones están fragmentadas, se centran únicamente en la nube, SaaS o plataformas de identidad nativas, y suelen implementarse de forma aislada. Por ello, los atacantes pueden explotar estas brechas fácilmente.
Más grave aún, estas herramientas no permiten a los equipos de seguridad de identidad controlar el riesgo. Mantienen a los equipos reactivos, obligándolos a detectar amenazas, remediar después del incidente y aplicar controles en respuesta a lo ya sucedido.
En los entornos más complejos de la actualidad, ese modelo simplemente no funciona. Tratar la identidad como una lista de elementos pendientes por solucionar implica que la exposición persiste hasta que todo esté perfectamente remediado, algo que ninguna organización puede lograr de forma realista.
Es posible reducir la exposición bloqueando las cuentas de alto riesgo; sin embargo, este suele ser un proceso complejo, degrada la experiencia del usuario y no es escalable. Este enfoque exige perfección: visibilidad perfecta, ejecución impecable y cobertura completa en todos los sistemas críticos. Ninguna empresa puede afirmar honestamente haberlo logrado.
Resolver las vulnerabilidades de cuentas requiere más que un simple parche. Requiere un nuevo tipo de tecnología de seguridad de identidad: una que otorgue a los equipos un control real, cierre las brechas de forma proactiva y le permita tomar las riendas.
¿Cómo tomamos el control?
Hoy en día, la autenticación no se diseña con la seguridad como objetivo principal. Al diseñar redes, la seguridad es la prioridad. Los firewalls, la segmentación y los controles se construyen para limitar el alcance y contener las amenazas. No se aceptaría una red sin controles de seguridad integrados. Sin embargo, la autenticación suele diseñarse para garantizar el tiempo de actividad y la disponibilidad. La prioridad es operativa: ¿podrán los usuarios iniciar sesión cuando sea necesario? ¿Se mantendrán los sistemas en funcionamiento para respaldar el negocio? Esta mentalidad refleja el legado de la identidad como facilitador del negocio, no como un control de seguridad.
Pero ¿por qué la autenticación no está diseñada priorizando la seguridad?
¿Por qué no empezamos desde una posición de negando por defecto y ¿Aplicar controles de seguridad para garantizar estándares de seguridad acordes con nuestra tolerancia al riesgo? Como resultado, se reducirá el radio de acción y el riesgo de vulneración de cuentas.
Imagínese si estas fueran las políticas predeterminadas:
- Requiere MFA para preguntas de todas acceso a infraestructura sensible
- Denegar cualquier conexión que no provenga de fuentes confiables
- Bloquear la autenticación mediante protocolos heredados o inseguros
Cuando abordamos la identidad con esta mentalidad, la situación cambia. Los riesgos de seguridad se vuelven menos urgentes porque el entorno está controlado por diseño. Ahora es más fácil explicar el riesgo a los ejecutivos, no porque los problemas hayan desaparecido, sino porque nos hemos hecho cargo de la protección de la identidad.
Esto te da la espacio y tiempo que necesitas modernizar tu panorama de identidad Mientras se mantiene el control del riesgo en cada paso del camino—ya sea adoptando credenciales efímeras, avanzando hacia un privilegio permanente cero o repensando cómo se concede el acceso.