A cargo de Roberto Marzocca, Head of Cybersecurity de Kirey

La identidad ya no es solo uno de los muchos territorios que la seguridad informática debe presidir: hoy representa el nuevo perímetro digital, habilitador de confianza y, al mismo tiempo, objetivo privilegiado de los cibercriminales.

En un contexto en el que la línea de confín entre usuarios y máquinas se vuelve cada vez más delgada, donde agentes de IA interactúan con los sistemas empresariales y la confianza humana se pone a prueba mediante deepfakes e impersonaciones, la capacidad de verificar quién –o qué– se oculta tras un acceso se vuelve crucial.

La identidad es la clave para acceder, moverse lateralmente y explotar a largo plazo los recursos empresariales y, en este sentido, los datos hablan claro: según CyberArk, el 90% de las empresas ha sufrido al menos dos violaciones relacionadas con la identidad en el último año, y el 83% ha pagado un rescate para restaurar los datos.

Al mismo tiempo, los usuarios están cansados de gestionar contraseñas y verificaciones continuas, y las empresas se enfrentan a infraestructuras de identidad fragmentadas e incapaces de seguir el ritmo de la transformación digital.

Es el momento de adoptar un enfoque Identity-First, que ponga en el centro la gestión y la protección de los accesos a datos, aplicaciones y –cada vez más a menudo– modelos de GenAI. Pero, ¿cómo ponerlo en marcha? En el cambiante contexto actual, es posible identificar 4 pasos esenciales.

El ocaso de las contraseñas 

La primera transformación en el horizonte se refiere precisamente a las contraseñas. Su declive es inevitable: el abuso de credenciales crece, alimentado también por la IA que, si por un lado ayuda a la defensa, por otro hace más sofisticados los ataques. La transición hacia tecnologías como las passkeys ya se está acelerando en sectores como telecomunicaciones, fintech y big tech. La autenticación debe volverse adaptativa, sin contraseña (passwordless), capaz de reconocer anomalías de comportamiento en tiempo real y de extender la verificación no solo a las personas, sino también a dispositivos, aplicaciones y agentes autónomos.

No podemos subestimar el papel de las máquinas 

Hoy, por cada identidad humana, existen al menos 80 de máquina –y pronto serán 100–. Si estas identidades no se protegen de modo sistemático, el riesgo de explotación crece exponencialmente. Comprometer una cuenta de servicio puede significar obtener acceso privilegiado a recursos sensibles y moverse sin ser detectado entre infraestructuras cloud. Sin embargo, solo el 37% de las empresas considera las identidades de máquina como “privilegiadas”: un error que puede costar caro, porque a menudo se olvida que un aplicativo puede acceder a una cantidad enorme de datos y sistemas, ampliando la superficie de ataque y facilitando el movimiento lateral de los atacantes. 

Los accesos deben redefinirse a la luz de la IA 

La inteligencia artificial está revolucionando la gestión de los accesos: introduce monitoreo avanzado, detección inteligente de anomalías y una gobernanza adaptativa. Ya no se trata solo de defenderse, sino de anticipar y adaptarse a las amenazas. No obstante, la seguridad de los sistemas de IA –y de sus identidades de máquina– se vuelve igualmente crítica. La IA, si es manipulada, puede ser inducida a ejecutar consultas, llamadas a API o acceder a sistemas de red, con tasas de éxito en los intentos de “jailbreak” que en algunos modelos rozan el 100%. Lo que está en juego es muchísimo y la comprensión de la dinámica “amigo/enemigo” de estas herramientas es esencial. 

Ir más allá del IAM 

Muchas empresas piensan que haber implementado un sistema IAM significa haber resuelto el problema de la identidad. No es así. El IAM tradicional se limita a decir quién puede acceder a qué; la verdadera protección de la identidad se refiere, en cambio, a cuánto está esa identidad expuesta, monitoreada, aprovechable o comprometida. Un usuario puede estar autorizado, pero si sus credenciales son robadas, el acceso será técnicamente lícito pero malicioso. La protección operativa de la identidad debe encontrarse con la seguridad conductual, el control dinámico de privilegios y la detección de anomalías. Solo así podemos reducir la superficie de ataque, eliminar privilegios innecesarios, gestionar accesos just-in-time, monitorear en tiempo real y reforzar la auditoría y el cumplimiento. 

Security y business continuity: el binomio a alcanzar 

En su forma más simple, la identity security puede considerarse un conjunto de tecnologías y prácticas que detectan, previenen y responden a los ataques basados en la identidad, pero la verdad es que se trata de algo más: debe ser un proceso continuo, un enfoque proactivo e inteligente para anticipar y prevenir los problemas antes de que se conviertan en verdaderos incidentes.

Garantizar un acceso seguro de modo eficaz, permitiendo a las organizaciones mantener la productividad y colaboración sin compromisos, es quizá el aspecto más difícil de este escenario. Pero adoptando los principios de la verificación passwordless, de la gobernanza de las identidades de máquina, de un empleo evolutivo de la IA y de la transición del simple gobierno de las identidades a su protección, las organizaciones pueden reforzar significativamente su seguridad, reducir el impacto de las amenazas relacionadas con la identidad y construir un futuro digital aún más sólido.

La identidad es el corazón de la transformación digital, pero también su punto de mayor vulnerabilidad: comprender este complejo paradigma es el primer paso hacia una mejor business continuity.