29 Abr El perímetro ha muerto.
La identidad es el nuevo firewall.
Ciberseguridad · IAM · IGA · Zero Trust · Identidad digital · Kapres
Durante décadas, la estrategia de seguridad corporativa se construyó alrededor de una metáfora sencilla: el castillo y el foso. La red local era el castillo, el firewall era el foso, y todo lo que estaba dentro era de confianza. Era un modelo que funcionaba cuando los empleados trabajaban en la misma oficina, en los mismos equipos, conectados a la misma red.
Ese modelo ya no existe. Y los atacantes lo saben mejor que nadie.
El cambio que lo transformó todo
La irrupción del teletrabajo, la adopción masiva de servicios en la nube y la proliferación de aplicaciones SaaS han disuelto el perímetro de red tal como lo conocíamos. Hoy un empleado trabaja desde casa, desde una oficina compartida, desde el aeropuerto, conectado a decenas de aplicaciones distintas que no residen en ningún servidor interno. El castillo se ha evaporado.
Los atacantes no necesitan romper el firewall cuando pueden robar credenciales legítimas y entrar por la puerta principal. El vector de ataque ya no es la red, es la identidad: el usuario y la contraseña que dan acceso a todo.
Y el problema se agrava porque las identidades se han multiplicado exponencialmente. Las identidades no humanas, como cuentas de servicio, claves API, tokens OAuth, bots de RPA y agentes de IA, ya superan en número a las identidades humanas en la mayoría de las organizaciones, y acceden a sistemas críticos con credenciales privilegiadas que los modelos tradicionales de seguridad no están diseñados para gobernar.
El problema de los permisos acumulados
Hay un fenómeno silencioso que ocurre en casi todas las organizaciones y que pocas veces se detecta hasta que es tarde. Se llama privilege creep, o acumulación de permisos, y funciona así: una persona entra a la empresa con acceso a los sistemas que necesita para su puesto. Con el tiempo cambia de rol, asume nuevas responsabilidades, y va acumulando accesos que nunca se revocan. Al cabo de unos años, tiene permisos sobre sistemas a los que ya no debería tener acceso.
El 74% de las organizaciones tienen usuarios con accesos innecesarios y cuentas con permisos excesivos. No es un problema de mala intención, es un problema de visibilidad y gobernanza. Y es exactamente el tipo de brecha que un atacante puede explotar sin necesidad de sofisticación técnica: basta con comprometer una cuenta con demasiados privilegios.
IAM e IGA: no se trata de prohibir, sino de garantizar el acceso correcto
Aquí es donde entran dos disciplinas que a menudo se confunden pero que son complementarias.
El IAM (Identity and Access Management) es la capa operativa: gestiona quién eres, cómo te autenticas y a qué tienes acceso en cada momento. Es el sistema que verifica tu identidad antes de dejarte entrar, que habilita el Single Sign-On, que gestiona las contraseñas y los accesos a las aplicaciones.
El IGA (Identity Governance and Administration) es la capa estratégica: no solo gestiona el acceso, sino que se pregunta si ese acceso es apropiado, está justificado y cumple con las políticas de seguridad y los requisitos regulatorios. Es el sistema que detecta que alguien tiene permisos que ya no debería tener, que automatiza la revisión periódica de accesos y que garantiza que cuando alguien deja la empresa, sus credenciales se revocan en minutos, no en semanas.
La diferencia, en términos prácticos, es esta: el IAM abre la puerta correcta a la persona correcta, y el IGA se asegura de que esa persona tenga solo las llaves que realmente necesita.
En un modelo de Zero Trust, ambas capas son imprescindibles. La identidad es la señal principal de confianza, no la dirección IP ni la ubicación física. Cada solicitud de acceso debe verificarse, independientemente de desde dónde se realice.
Lo que hace Kapres: arquitecturas de identidad que funcionan en el mundo real
Diseñar una arquitectura de identidad robusta no es solo una cuestión tecnológica. Es una decisión estratégica que afecta a cómo opera la organización, cómo cumple con la regulación y cómo responde ante un incidente.
En Kapres implementamos arquitecturas IAM e IGA adaptadas a la realidad de cada cliente, teniendo en cuenta su infraestructura existente, su modelo de trabajo, sus aplicaciones en la nube y sus requisitos de cumplimiento. No se trata de desplegar una herramienta, sino de rediseñar cómo fluye la confianza en la organización.
Para ello, contamos con partners especialistas en gestión de identidades y soluciones que nos permiten ofrecer a nuestros clientes visibilidad completa y control granular sobre quién accede a qué, en todo momento.
La pregunta que toda organización debería hacerse
¿Sabes exactamente quién tiene acceso a tus sistemas ahora mismo? ¿Y si ese acceso sigue siendo apropiado para el rol que ocupa hoy esa persona?
Si la respuesta genera dudas, el perímetro no es el problema. La identidad lo es.
En Kapres ayudamos a construir la arquitectura que da respuesta a esas preguntas, antes de que lo haga un atacante.
No Comments