Durante años, el enfoque tradicional de la ciberseguridad se ha basado en proteger redes, sistemas y dispositivos. Sin embargo, el panorama ha cambiado radicalmente. En la era del trabajo híbrido, la importancia de la nube y la movilidad total, el modelo tradicional de “perímetro de red” ha quedado obsoleto. Las organizaciones ya no pueden confiar en firewalls, VPNs o soluciones heredadas para definir una frontera clara entre lo seguro y lo vulnerable.
En el contexto actual la identidad digital se ha convertido en el nuevo perímetro, aunque irónicamente, es uno de los frentes más débiles.
La mayoría de los incidentes de seguridad actuales no empiezan con una vulnerabilidad técnica compleja, sino con el compromiso de una identidad. El 80% de los ataques exitosos comienzan así, mediante técnicas que abusan de la confianza y la falta de controles sólidos como:
- Phishing avanzado: técnicas cada vez más sofisticadas que engañan al usuario para robar credenciales, incluso en entornos con autenticación multifactor (MFA).
- Fatiga de MFA: los atacantes bombardean al usuario con notificaciones de autenticación hasta que este acepta por error o cansancio, una táctica que ha demostrado ser sorprendentemente efectiva.
- Secuestro de tokens de sesión: permiten eludir procesos de autenticación incluso tras superar controles de MFA.
- Mala gestión de privilegios: una vez dentro, los atacantes buscan escalar privilegios o usar cuentas con altos permisos para moverse lateralmente, acceder a información crítica y persistir sin ser detectados.
Estos ataques no son teorías, sino realidades cotidianas en incidentes recientes, y todos tienen un factor común: explotan debilidades en la gestión de identidades.
Un programa maduro de protección de identidades
Un programa de protección de identidades verdaderamente maduro no se limita unicamente a tener MFA activado o una política de contraseñas exigente. Además, implica una estrategia que combine gobierno, automatización, control y respuesta, bajo una filosofía de Zero Trust con la identidad como eje.
Estos son los pilares que debe integrar:
- Gobernanza de identidades: automatización del ciclo de vida de cuentas y accesos, con procesos de aprobación, recertificación y segregación de funciones bien definidos. Esto reduce cuentas huérfanas, accesos innecesarios y errores manuales.
- Autenticación resistente al phishing: implementación de métodos más robustos como FIDO2 o passkeys, y políticas de acceso condicional que evalúan señales de riesgo en tiempo real (ubicación, dispositivo, comportamiento, etc.).
- Gestión de privilegios (PAM): separación de accesos privilegiados, control granular de sesiones administrativas, vaulting de credenciales, monitorización de sesiones y trazabilidad completa. Aquí se decide si un incidente se queda en susto o en desastre, ya que la visibilidad y el control puede evitar escaladas de privilegios silenciosos.
- Visibilidad y análisis contextual: uso de herramientas de detección y respuesta centradas en identidad (IDR) que permitan correlacionar comportamientos anómalos, autenticaciones fallidas, accesos inusuales o uso indebido de privilegios.
- Arquitectura Zero Trust centrada en la identidad: imposición de una postura de confianza cero en todos los sistemas y accesos de la compañía, llevando a cabo una verificación continua, con confianza mínima y segmentación dinámica basada en contexto.
- Integración con SIEM y SOAR de respuesta: la protección de identidad debe estar estrechamente integrada con la monitorización de seguridad y los procesos de respuesta automatizada, permitiendo reducir el tiempo de reacción ante incidentes.
Un programa maduro se caracteriza no sólo por tener herramientas adecuadas, sino por integrarlas de forma coherente con la operación del negocio, adaptarse al contexto de riesgo y evolucionar continuamente ante nuevas amenazas.
En un entorno donde la identidad es el perímetro, asegurarla ya no es opcional: es la base de toda estrategia de ciberdefensa eficaz.
Benjamín Zamora, Ingeniero preventa de Infinigate Iberia
