En una época en que las aplicaciones se ejecutan en múltiples nubes, los usuarios acceden a ellas desde cualquier lugar y los sistemas se automatizan con IA, la identidad es el nuevo perímetro de seguridad.
El control de accesos no puede depender de arquitecturas rígidas ni de modelos heredados. Por eso, los servicios de gestión de identidades (IdP, por sus siglas en inglés) emergen como una de las mejores prácticas para las organizaciones que operan en la nube.
Las cifras del Informe 2025 de Tenable: Riesgos para la seguridad en la nube, lo confirman: el 83% de las organizaciones que utilizan AWS ya configuró al menos un IdP. ¿El objetivo? Centralizar la autenticación, simplificar la administración de permisos y reforzar la seguridad en entornos complejos y altamente distribuidos.
El 83% de las organizaciones que utilizan AWS ya configuró al menos un IdP
Un servicio de identidad bien implementado permite unificar el acceso a través de mecanismos como inicio de sesión único, autenticación multifactor y políticas de acceso condicional. Estas capacidades son fundamentales para proteger las credenciales humanas, especialmente en un escenario donde el phishing y el robo de contraseñas siguen siendo vectores comunes de ataque.
De hecho, el último Informe de Investigaciones de Filtraciones de Datos elaborado por Verizon señala que el abuso de credenciales sigue siendo la causa más común de acceso inicial en incidentes de seguridad: nada menos que el 22% de los casos. Está claro que proteger identidades es una necesidad urgente.
Los nuevos desafíos que trae la IA
La adopción masiva de la IA en un período de tiempo relativamente breve agregó una nueva capa de complejidad. Las cargas de trabajo automatizadas, los agentes inteligentes y los pipelines de datos en constante ejecución dependen de identidades de servicio y credenciales embebidas. Esto amplía la superficie de ataque y exige controles más precisos y dinámicos sobre los derechos de acceso.
En ciberseguridad, como en la vida, no alcanzan las buenas intenciones
Los IdP aportan valor, pero no resuelven el problema por sí solos. Los permisos excesivos por defecto, los privilegios estáticos y las configuraciones poco auditadas siguen siendo el punto de partida de muchas brechas. Cloud Security Alliance señala que el 75% de las organizaciones utiliza dos o más proveedores de identidad. Esto también motiva un siguiente paso: el de consolidar políticas, monitorear privilegios y aplicar controles consistentes en toda la infraestructura.
Para que los IdP dejen de ser tan solo una buena práctica y se conviertan en un antídoto realmente efectivo, deben integrarse en una estrategia de seguridad proactiva que contemple revisión continua de permisos y roles asignados, implementación de privilegios mínimos y eliminación de derechos innecesarios, aplicación obligatoria de autenticación multifactor (incluso en entornos de desarrollo y pruebas) o auditoría de accesos en tiempo real y respuesta ante comportamientos anómalos.
¿Por qué es esencial para las organizaciones?
- Escalabilidad: A medida que las organizaciones crecen, el control de acceso se vuelve más complejo.
- Interoperabilidad: Permite integrar múltiples sistemas y aplicaciones con un único punto de autenticación.
- Gobernanza y cumplimiento: Facilita auditorías, trazabilidad y cumplimiento de normas como ISO/IEC 27001, 27701 y 42001.
Por último si pensamos en un enfoque de privacidad, seguridad y gobernanza, lo ideal sería:
- Modelar los roles y puestos primero: Basado en funciones, riesgos y necesidades operativas.
- Integrar ese modelo al IdP: Usar grupos, atributos o claims para reflejar roles.
- Automatizar la asignación de accesos: Con políticas basadas en roles (RBAC) o atributos (ABAC).
En ciberseguridad, como en la vida, no alcanzan las buenas intenciones. La constancia, el control y un poco de desconfianza saludable son aspectos muy recomendables. En esa línea, los IdP son un excelente punto de partida y, acompañados de una gestión activa y consciente, pueden convertir una infraestructura expuesta y vulnerable en una sólida y robusta.
El autor es Chief Information Security Officer (CISO) de Cloud Legion
Últimas Noticias
El Perú que la cámara revela
Dicen que las imágenes se procesan miles de veces más rápido que las palabras. Puede ser cierto, pero lo verdaderamente decisivo no es la rapidez, sino la huella
Casi 80 % de los latinoamericanos prefiere una reseña auténtica: la prueba social como nuevo eje de confianza
Las reseñas, los comentarios y las recomendaciones dejaron de ser simples gestos de aprobación: hoy son el nuevo lenguaje de la confianza digital
¿Cómo se informan los hinchas de Boca?
Fue la pregunta que motorizó la tesis que un estudiante presentó en la carrera de Ciencias de la Comunicación de la Facultad de Ciencias Sociales de la UBA. Para chequearlo, realizó una encuesta con 1.052 fanáticos
Islas Vírgenes Británicas no perdió su privacidad: entonces, ¿qué pasó?
La reciente actualización del registro de beneficiarios finales no implica la apertura de datos al público ni el intercambio automático de información con otros países, según fuentes oficiales
Un puerto no hace un hub
Persiste una excesiva dependencia del nodo Lima–Callao, lo que encarece las operaciones para exportadores del sur o el centro del país
