La gestión de identidades como base de la seguridad TI

Durante años, la gestión de identidades fue percibida en muchos entornos como una disciplina secundaria dentro de la estrategia de ciberseguridad. Esa percepción ha cambiado radicalmente.

Los sistemas son hoy técnicamente más robustos, los parches se aplican con mayor regularidad y las vulnerabilidades del software se corrigen con más agilidad que en el pasado.

El problema es que el vector de ataque más explotado no es el software: son las personas. Dos de cada tres ataques de ransomware incluyen en alguna de sus fases el robo de identidades, sin el cual no podrían ejecutarse.

Los atacantes, como resume con precisión una máxima que circula en el sector, ya no rompen los sistemas: simplemente tocan a la puerta y entran. La identidad es, en consecuencia, el perímetro real de seguridad en la empresa moderna.

Comprender el alcance del problema exige distinguir entre los diferentes tipos de identidades que coexisten en cualquier organización. El primero es el más conocido: las identidades de usuario, las cuentas con las que los empleados acceden a los sistemas en su trabajo diario.

El segundo son las identidades de operación, aquellas que utilizan los administradores de sistemas para gestionar infraestructuras, servidores, bases de datos y aplicaciones. Un administrador puede manejar treinta, cuarenta o más identidades diferentes, cada una con accesos específicos a distintos recursos.

El tercero, y el que está adquiriendo mayor relevancia en el contexto actual, son las identidades no humanas: las que corresponden a software, automatizaciones y, de forma creciente, a agentes de inteligencia artificial.

Las identidades de los agentes de IA presentan características propias que las distinguen de las identidades de software convencionales. Un agente actúa a veces de forma autónoma y a veces en nombre de una persona que ha lanzado un prompt.

Sin trazabilidad sobre quién instruyó al agente, la cadena de responsabilidad se rompe: si un agente borra una base de datos, lo relevante no es solo qué agente lo hizo, sino quién le dio esa instrucción.

Además, los mecanismos de caché y aprendizaje de los modelos introducen riesgos específicos: una IA que gestiona contraseñas no debe retener ni compartir esa información bajo ninguna circunstancia.

La confidencialidad, el rendimiento, la auditabilidad y la capacidad de operar sobre sistemas legacy, no solo sobre entornos cloud modernos, son dimensiones que deben evaluarse cuidadosamente cuando la IA se incorpora a procesos de gestión de identidades.

Una parte crítica y frecuentemente subestimada de la gestión de identidades es la protección y recuperabilidad del directorio activo. Esta infraestructura, presente en la inmensa mayoría de las organizaciones durante más de veinticinco años, centraliza la definición de quién puede acceder a qué.

Es, en la práctica, el cimiento sobre el que se sostiene toda la arquitectura de permisos y autenticación de la empresa. Y es, precisamente por eso, uno de los objetivos prioritarios de los atacantes.

Cuando un ataque compromete el directorio activo, las consecuencias son sistémicas: los controladores de dominio pueden caer, los privilegios pueden ser modificados silenciosamente, y pueden introducirse objetos ocultos que funcionen como puertas traseras para ataques futuros.

Restaurar un directorio activo corrupto o comprometido es un proceso técnicamente complejo (la guía oficial de Microsoft para esta tarea supera las 150 páginas) y, si se hace incorrectamente, puede reintroducir el malware que originó el incidente o dejar activas puertas traseras que parecen inactivas.

La conclusión es clara: la identidad debe tratarse como cualquier otro activo crítico de la organización, con copias de seguridad, inmutabilidad, verificación de integridad y planes de recuperación probados. Si el primer ladrillo de la reconstrucción tras un ataque está contaminado, todo lo que se construya sobre él será igualmente vulnerable.

El volumen de credenciales que gestiona una organización moderna es, en sí mismo, un factor de riesgo. La empresa europea media gestiona alrededor de 4.400 credenciales, con una media de quince contraseñas por usuario.

Las consecuencias son predecibles: el 65% de esas contraseñas son reutilizadas, el 94% son técnicamente débiles y, en el 89% de los casos, cuando un empleado abandona la organización, mantiene accesos activos en algún servicio SaaS que no han sido revocados.

La proliferación de aplicaciones en la nube ha multiplicado la superficie de exposición hasta niveles que los procesos manuales de gestión no pueden cubrir.

La respuesta pasa por soluciones de gestión de contraseñas empresariales que automaticen la generación de credenciales robustas, incorporen el segundo factor de autenticación de forma nativa y ofrezcan a los administradores visibilidad centralizada sobre todos los accesos.

Pero la tecnología, por sí sola, no es suficiente si genera fricción en el usuario final. Las soluciones que resultan complejas o incómodas simplemente no se adoptan, lo que las convierte en inversiones ineficaces. La usabilidad es, en este contexto, un requisito de seguridad, no una concesión al confort.

El despliegue acelerado de agentes de inteligencia artificial en las organizaciones ha creado una nueva categoría de identidades no gobernadas. Muchas empresas ya tienen agentes operando en su infraestructura sin disponer de un inventario completo de ellos, sin saber a qué sistemas se conectan ni qué acciones realizan.

Esta situación no es teórica: ya se han registrado incidentes de filtración de datos y accesos no autorizados directamente vinculados a agentes con permisos excesivos o mal configurados.

La gestión de estas identidades exige responder tres preguntas básicas: dónde están los agentes, a qué pueden conectarse y qué están haciendo. A partir de ahí, los principios de seguridad aplicables son los mismos que rigen para cualquier identidad humana en la empresa: autenticación, autorización de mínimo privilegio, trazabilidad de acciones y capacidad de revocación inmediata.

Diseñar los agentes con estos controles desde el inicio, en lugar de intentar incorporarlos a posteriori, es sustancialmente más efectivo y menos costoso. Disponer de un mecanismo de interrupción de emergencia que permita detener a un agente que está causando problemas es, en el contexto actual, tan necesario como tener la capacidad de bloquear la cuenta de un empleado.

La gestión de identidades no termina en el control de acceso. Para que ese control sea útil en términos legales, regulatorios y de respuesta a incidentes, debe ir acompañado de trazabilidad y evidencia.

El correo electrónico, que sigue siendo el principal vector de entrada de los ataques, es también el repositorio más valioso de evidencias en cualquier investigación forense posterior a un incidente.

Sin embargo, las plataformas de mensajería corporativa más extendidas no garantizan por defecto la inmutabilidad ni la validez forense de sus archivos.

Las presiones regulatorias (RGPD, NIS2, DORA y normativas sectoriales específicas) exigen no solo tener políticas de seguridad definidas, sino poder demostrar qué ocurrió, cuándo y con qué consecuencias.

La soberanía del dato añade una dimensión adicional: en un contexto de tensiones geopolíticas crecientes, muchas organizaciones están reconsiderando dónde residen físicamente sus archivos más sensibles.

La gobernanza efectiva de identidades incluye, necesariamente, la capacidad de responder a estas preguntas con datos verificables e irrefutables.

En resumen, la identidad ha dejado de ser un componente técnico de segundo orden para convertirse en el eje central de cualquier estrategia de ciberseguridad. Personas, sistemas, aplicaciones y agentes de IA comparten el mismo espacio de acceso y deben ser gestionados con el mismo rigor, la misma visibilidad y la misma capacidad de respuesta ante lo inesperado.

El punto de partida más frecuente en las conversaciones con clientes es la misma pregunta: ¿por dónde empiezo? Muchas organizaciones no han implantado ni la mitad de los controles básicos necesarios, y la sensación de estar desbordadas ante la magnitud del problema es generalizada.

Los expertos coinciden en que la respuesta a esa pregunta empieza siempre por los datos: conocer qué usuarios existen, cuántas cuentas hay, qué accesos están activos. Sin ese inventario de base, cualquier estrategia de seguridad se construye sobre cimientos inestables.

En el ámbito de la identidad, los retos más concretos que trasladan los clientes incluyen la dificultad de implantar el doble factor de autenticación, en muchos casos bloqueado por restricciones organizativas internas relacionadas con el uso del móvil personal de los empleados, la necesidad de soluciones integrales y sin fricción que cubran múltiples casos de uso desde una única consola, y la gestión eficiente del alta y baja de usuarios de forma automatizada.

En materia de recuperación ante ataques, las preguntas más frecuentes giran en torno a la confianza en los datos recuperados, dado que los ataques de ransomware pueden permanecer latentes durante meses antes de activarse, y a la supervivencia de las propias herramientas de backup, que se han convertido en el objetivo prioritario de muchos atacantes.

Respecto a los agentes de IA, el reto central es que las organizaciones no saben qué agentes tienen desplegados, qué están haciendo ni a qué tienen acceso, lo que convierte su gobernanza en una urgencia creciente.

Finalmente, una confusión recurrente que complica la toma de decisiones es la equiparación incorrecta entre archivo de correo y copia de seguridad: son herramientas complementarias con propósitos distintos, y tratarlas como equivalentes genera lagunas en la continuidad del negocio.

Varias tendencias convergen en el horizonte próximo con distinta urgencia. La más inmediata es la explosión de identidades no humanas: agentes de IA, automatismos y software que actúan de forma autónoma en las redes corporativas y que deben recibir el mismo tratamiento de gobernanza que cualquier identidad humana.

En paralelo, el Posture Management aplicado a la identidad y la detección de amenazas sobre infraestructuras de identidad están ganando tracción como herramientas para clasificar, controlar y frenar estas entidades cuando es necesario.

A medio plazo, la criptografía post-cuántica es una transformación que las organizaciones deben empezar a incorporar en su planificación: muchos tokens y mecanismos de seguridad actuales tienen una fecha de caducidad implícita que la computación cuántica acelerará, y quienes no hayan iniciado esa transición se encontrarán en una posición de vulnerabilidad estructural.

En el plano operativo, la tendencia hacia la consolidación de herramientas, una consola única que cubra el grueso de las necesidades de seguridad, complementada por pocas soluciones adicionales en capas, se refuerza como respuesta práctica a la creciente complejidad.

Los servicios gestionados de ciberseguridad, todavía minoritarios en España frente a mercados más maduros como los nórdicos o el británico, representan otro vector de crecimiento relevante. La gestión de entornos híbridos (con infraestructura distribuida entre nubes públicas, privadas y entornos on-premise) exige plataformas que ofrezcan visibilidad y control unificados independientemente de dónde residan los datos.

Y un estándar emergente que merece atención es el protocolo Shared Signals, que permite el intercambio de información de seguridad en tiempo real entre distintos sistemas (proveedores de identidad, VPNs, herramientas de detección) para orquestar respuestas a incidentes de forma coordinada y dinámica.

La gestión de identidades no es un proyecto con fecha de inicio y fin: es un proceso continuo que requiere estrategia a dos o tres años vista, comenzando siempre por los cimientos (el inventario de datos, usuarios y cuentas) y construyendo progresivamente sobre ellos.

Eso no impide adoptar medidas de impacto rápido a corto plazo, como la gestión automatizada de contraseñas, que pueden implantarse en paralelo sin esperar a que la estrategia global esté completamente definida.

El volumen de trabajo por delante es significativo: las identidades humanas ya suponen un reto de gestión considerable, y las identidades no humanas (agentes, automatismos, software autónomo) van a multiplicarse y a asumir más responsabilidades, lo que eleva la urgencia de tenerlas bajo control.

La frase que mejor resume el consenso del panel es también la más directa: la IA sin una estrategia de identidad es un riesgo inasumible.