Servicios de gestión de identidades: la diferencia entre una “mejor práctica” y una “solución mágica”

En una época en que las aplicaciones se ejecutan en múltiples nubes, los usuarios acceden a ellas desde cualquier lugar y los sistemas se automatizan con IA, la identidad es el nuevo perímetro de seguridad.

El control de accesos no puede depender de arquitecturas rígidas ni de modelos heredados. Por eso, los servicios de gestión de identidades (IdP, por sus siglas en inglés) emergen como una de las mejores prácticas para las organizaciones que operan en la nube.

Las cifras del Informe 2025 de Tenable: Riesgos para la seguridad en la nube, lo confirman: el 83% de las organizaciones que utilizan AWS ya configuró al menos un IdP. ¿El objetivo? Centralizar la autenticación, simplificar la administración de permisos y reforzar la seguridad en entornos complejos y altamente distribuidos.

Un servicio de identidad bien implementado permite unificar el acceso a través de mecanismos como inicio de sesión único, autenticación multifactor y políticas de acceso condicional. Estas capacidades son fundamentales para proteger las credenciales humanas, especialmente en un escenario donde el phishing y el robo de contraseñas siguen siendo vectores comunes de ataque.

De hecho, el último Informe de Investigaciones de Filtraciones de Datos elaborado por Verizon señala que el abuso de credenciales sigue siendo la causa más común de acceso inicial en incidentes de seguridad: nada menos que el 22% de los casos. Está claro que proteger identidades es una necesidad urgente.

Los nuevos desafíos que trae la IA

La adopción masiva de la IA en un período de tiempo relativamente breve agregó una nueva capa de complejidad. Las cargas de trabajo automatizadas, los agentes inteligentes y los pipelines de datos en constante ejecución dependen de identidades de servicio y credenciales embebidas. Esto amplía la superficie de ataque y exige controles más precisos y dinámicos sobre los derechos de acceso.

Los IdP aportan valor, pero no resuelven el problema por sí solos. Los permisos excesivos por defecto, los privilegios estáticos y las configuraciones poco auditadas siguen siendo el punto de partida de muchas brechas. Cloud Security Alliance señala que el 75% de las organizaciones utiliza dos o más proveedores de identidad. Esto también motiva un siguiente paso: el de consolidar políticas, monitorear privilegios y aplicar controles consistentes en toda la infraestructura.

Para que los IdP dejen de ser tan solo una buena práctica y se conviertan en un antídoto realmente efectivo, deben integrarse en una estrategia de seguridad proactiva que contemple revisión continua de permisos y roles asignados, implementación de privilegios mínimos y eliminación de derechos innecesarios, aplicación obligatoria de autenticación multifactor (incluso en entornos de desarrollo y pruebas) o auditoría de accesos en tiempo real y respuesta ante comportamientos anómalos.

¿Por qué es esencial para las organizaciones?

• Escalabilidad: A medida que las organizaciones crecen, el control de acceso se vuelve más complejo.
• Interoperabilidad: Permite integrar múltiples sistemas y aplicaciones con un único punto de autenticación.
• Gobernanza y cumplimiento: Facilita auditorías, trazabilidad y cumplimiento de normas como ISO/IEC 27001, 27701 y 42001.

Por último si pensamos en un enfoque de privacidad, seguridad y gobernanza, lo ideal sería:

• Modelar los roles y puestos primero: Basado en funciones, riesgos y necesidades operativas.
• Integrar ese modelo al IdP: Usar grupos, atributos o claims para reflejar roles.
• Automatizar la asignación de accesos: Con políticas basadas en roles (RBAC) o atributos (ABAC).

En ciberseguridad, como en la vida, no alcanzan las buenas intenciones. La constancia, el control y un poco de desconfianza saludable son aspectos muy recomendables. En esa línea, los IdP son un excelente punto de partida y, acompañados de una gestión activa y consciente, pueden convertir una infraestructura expuesta y vulnerable en una sólida y robusta.

El autor es Chief Information Security Officer (CISO) de Cloud Legion