Logotipo ORSYS le mag 2025

El medio de la formación y las competencias

Inicio > Tecnologías digitales > Ciberseguridad > Proteger las identidades y el acceso: los secretos de una IAM moderna

Proteger las identidades y el acceso: los secretos de una IAM moderna

Publicado el 10 de septiembre de 2025
Compartir esta página :

La gestión de identidades y accesos (IAM) es uno de los pilares de la seguridad de los sistemas de información. Con la proliferación de cuentas y entornos en la nube, las empresas necesitan reforzar el control del acceso digital. ¿Su reto? Garantizar que sólo las personas adecuadas tengan acceso a los recursos adecuados, en el momento adecuado y por las razones adecuadas..

Artículo de ilustración Proteger la identidad y el acceso

IAM, un baluarte esencial contra las amenazas

El auge de las identidades digitales corporativas

Como recordatorio, elGestión de identidades y accesos (IAM) o gestión de identidades y accesos es el conjunto de procesos, normas y tecnologías utilizados para gestionar las identidades digitales (humanas y de máquinas) y controlar el acceso a sistemas, aplicaciones y datos. Véase la definición deIAM en nuestro glosario de ciberseguridad.

En identidades digitales (cuentas de usuario, dispositivos, servicios y herramientas digitales, etc.) están experimentando un gran cambio. un crecimiento sin precedentes en las empresas. Con un fenómeno impresionante: la las identidades de las máquinas superan con creces a las humanas.

Por término medio, hay
82 identidades de máquina para 1 humano

Estudio CyberArk 2025

Evolución del número medio de identidades por empresa

Año Número de identidades por empresa Máquinas y dispositivos (IoT) Clientes y socios Cuentas de usuario (Empleados) Aplicaciones y servicios (API, bots)

El gráfico ilustra una tendencia clara:

  • Para 2025, laa mayoría de las identidades gestionadas por las empresas ya no son humanas.
  • Esto significa que la gobernanza IAM debe pasar de un enfoque RRHH/cliente hacia una gestión masiva de identidades de máquinas (certificados, tokens, secretos, cargas de trabajo).
  • Por tanto, las empresas francesas deben anticiparse cambio de escalaintegrando soluciones de gestión de identidades capaces de gestionar el volumen, la automatización y la seguridad de las identidades no humanas.

Este fenómeno se debe a varios factores: adopción masiva de la nube, el teletrabajo y la apertura a socios externos.

El auge de las ciberamenazas

Este crecimiento de la IAM también se debe al creciente número de amenazas cibernéticas que están obligando a las organizaciones a elevar su nivel de protección.

Los ataques contra la identidad (robo de contraseñas, phishing, secuestro de cuentas, etc.) van en aumento. Según una encuesta reciente (One Identity), 7 de cada 10 empresas han sufrido un ciberataque relacionado con su identidad en el último año.

Es más, estos ciberataques suelen centrarse en las identidades más cruciales de la empresa objetivo. Según un informe de Forbes, el 74 % de las principales violaciones de datos implican el uso indebido de credenciales en privilegioscomo las cuentas de administrador.

IAM como nuevo perímetro de seguridad

El enfoque tradicional de seguridad perimetral (en el que se confía en un usuario una vez dentro de la red) ya no es suficiente, hoy en día, identidad se ha convertido en el nuevo perímetro defender activamente.

Las empresas deben aplicar el principio del menor privilegioEsto significa garantizar que sólo las personas adecuadas tengan acceso a los recursos adecuados, en el momento adecuado y por las razones adecuadas.

Se trata de un un reto técnico y organizativo. Cada usuario (empleado, proveedor, cliente, etc.) tiene una identidad digital que debe ser autentificado y a las que sólo se conceden las autorizaciones necesarias, y nada más.

Aquí es donde entra en juego la IAM. Al centralizar la gestión de identidades y derechos, la gestión de identidades y accesos permite automatizar los controles, reducir los accesos excesivos y reaccionar con rapidez en caso de peligro.

Gestionar este acceso manualmente o de forma dispersa expone a la empresa a errores y fallos críticos.

2. La moderna caja de herramientas IAM

Para afrontar el reto de la seguridad de las identidades, la IAM se apoya en todo un ecosistema de herramientas y tecnologías complementarias.

Cada componente de IAM cubre un aspecto clave de la verificación de la identidad de los usuarios y el control de sus derechos de acceso. Estos son los principales componentes de una estrategia IAM moderna, junto con ejemplos de soluciones relacionadas.

2.1 Directorio centralizado y federación de identidades

La base de IAM se fundamenta en un un repositorio único de usuarios y sus derechos.

Directorios como Directorio Activo (in situ) o Microsoft Entra ID (antes Azure AD) se utilizan para almacenar y centralizar identidades. Esta centralización es crucial para obtener una visión global del acceso y evitar cuentas inactivas en silos.

Federación de identidades (a través de estándares como SAML, OAuth u OIDC) complementa el directorio al permitir a los usuarios conectarse a múltiples aplicaciones con las mismas credenciales, evitando al mismo tiempo la proliferación de contraseñas.

2.2 Autenticación multifactor (AMF)

El AMF requiere que los usuarios demuestren su identidad mediante al menos dos factores (contraseña + código móvil, biometría, llave física, etc.). Es una de las medidas de seguridad más eficaces. El 99,9 % de las cuentas comprometidas no tenían una AMF activada.según Microsoft.

Al desplegar la AMF en las aplicaciones sensibles (VPN, correo electrónico, herramientas empresariales), puede bloquear la gran mayoría de los intentos de intrusión, incluso si se roba una contraseña.

Además, se están introduciendo mecanismos de autenticación adaptables: por ejemplo, el acceso desde un lugar inusual o un nuevo dispositivo podría desencadenar una comprobación adicional.

Las soluciones IAM suelen incluir estas funciones. Oktapor ejemplo, es reconocida por sus avanzadas capacidades de inicio de sesión único (SSO) y AMF adaptable (vía SMS, push móvil, biometría, etc.).

El uso deautenticación sin contraseña (sin contraseña(mediante claves de seguridad FIDO2, certificados o biometría) también se está desarrollando para eliminar la vulnerabilidad de las contraseñas, al tiempo que se mejora la experiencia del usuario.

2.3 Inicio de sesión único (SSO)

El SSO o inicio de sesión único permite a los usuarios conectarse una vez y acceder a todas sus aplicaciones autorizadas sin tener que volver a introducir sus datos de acceso.

Además de la comodidad que ofrece a los empleados (que ya no tienen que gestionar decenas de contraseñas), el SSO refuerza la seguridad: al estar centralizadas, las autenticaciones se controlan y rastrean mejor.

Los proveedores de SSO en la nube, como Okta y OneLogin, ofrecen miles de integraciones listas para usar para federar el acceso SaaS y local.

Estas herramientas también ofrecen políticas contextuales (también conocida como orquestación Zero Trust) para adaptar las condiciones de acceso en función del contexto (ubicación, tipo de dispositivo, hora del día, etc.) y bloquear así cualquier conexión considerada anormal o de riesgo.

2.4 Gobernanza de la identidad (IGA)

El objetivo es gestionar todo el ciclo de vida de las cuentas de usuario - desde su creación hasta su supresión, incluidos los cambios de derechos cuando se modifican las funciones.

La buena gobernanza garantiza que cada entrada (contratación) o salida (salida de un empleado, fin de contrato de un proveedor de servicios) se procese sin demora. Se crean las cuentas necesarias a la llegada, se modifica o retira el acceso cuando hay un cambio de puesto y, sobre todo, se siguen los siguientes pasos desactivar inmediatamente las cuentas cuando una persona abandona la organización.

Sin esta gestión rigurosa, las cuentas huérfanas proliferan y amplían innecesariamente la superficie de ataque. La auditoría de una empresa reveló que 30 % de las cuentas de usuario estaban inactivas pero seguían presentes en el directorioEsto supone un grave riesgo de acceso no autorizado.

Soluciones específicas como SailPoint automatizan estos procesos y ofrecen funciones de gobernanza (revisión periódica de los derechos, certificación del acceso por los gestores, alineación con las normas de cumplimiento). Los flujos de trabajo de incorporación/desincorporación y la gestión de funciones (RBAC) garantizan que los "accesos correctos" se asignen a las "personas adecuadas" y se revoquen en cuanto dejen de estar justificados.

Para proporcionar un marco a su enfoque IAM, confíe en métodos probados como Normas EBIOS o ISO 27001/27005.

2.5 Gestión de acceso privilegiado (PAM)

Cuentas en altos privilegios (administradores de sistemas, cuentas de dominio, acceso raíz, etc.) representan un riesgo crítico si se ven comprometidos, ya que proporcionan acceso a los datos más sensibles y a los controles de SI. Por lo tanto, es esencial gestionarlas con la máxima vigilancia.

Soluciones PAM, como CyberArkestán diseñados específicamente para bloquear cuentas de administradoralmacenando sus contraseñas en una caja fuerte encriptada, supervisando y registrando cada sesión privilegiada y aplicando la justo a tiempo (privilegios concedidos sólo previa solicitud y por tiempo limitado).

Según la alianza IDSA, 33 % de los ciberataques implican la explotación de credenciales privilegiadas.

PAM también puede detectar cualquier uso anormal de una cuenta privilegiada (por ejemplo, un administrador que accede a un sistema sin motivo legítimo) y activar alertas en tiempo real.

Junto con una política de Confianza ceroPAM garantiza que no se conceda acceso de administrador por defecto: cada elevación de privilegios debe justificarse y aprobarse caso por caso, lo que reduce drásticamente la ventana de oportunidad potencial para un atacante.

2.6 Control, auditoría y análisis del comportamiento 

Además de la asignación inicial de derechos, una buena seguridad IAM implica control continuo la utilización de los accesos. Esto incluye el registro de las conexiones y operaciones de los usuarios, auditorías periódicas para comprobar que los derechos vigentes siguen correspondiendo a las necesidades de la empresa, y el despliegue de herramientas de detección de anomalías.

Por ejemplo, las soluciones que incorporanIA y Machine Learning pueden establecer un perfil de comportamiento normal para cada identidad (horarios habituales, aplicaciones utilizadas habitualmente, etc.) y detectar cualquier actividad fuera de lo normal (inicio de sesión a una hora inusual, extracción masiva de datos, etc.). En caso de comportamiento sospechoso, el acceso puede restringirse o suspenderse automáticamente en espera de verificación. Estos mecanismos de Análisis del Comportamiento de las Entidades Usuarias (UEBA) se están generalizando y son una buena adición al arsenal de la IAM. Abordan el problema de que la confianza en una identidad ya no debe ser estática - debe evaluarse de forma dinámica y continua. Como señala un experto, el futuro de la IAM consistirá en vincular la identidad a la evaluación de riesgos en tiempo real en cada intento de acceso, cruzando múltiples señales (contexto, dispositivo, comportamiento) en lugar de basarse en un simple inicio de sesión.

Por último, es importante señalar que no existe una solución IAM única. El mercado ofrece una amplia gama de soluciones con diferentes alcances: algunos cubren todo (autenticación, SSO, IGA, PAM) en una plataforma unificada, otros están especializados en un área específica (por ejemplo, MFA o gobernanza). La elección dependerá del tamaño de la empresa, de su SI (nube, híbrido, local), de sus limitaciones sectoriales y de su presupuesto.

3. Buenas prácticas para una IAM eficaz

Implantar IAM en un sistema de información es un reto importante. un proyecto complejo e interdisciplinar. Muchas empresas lo han aprendido por las malas: más de 50 % de los proyectos AMI superan el presupuesto o el calendario previstoy según Gartner 40 % fracasan o se retrasan debido a la falta de coordinación entre los equipos empresariales e informáticos..

Una integración IAM mal preparada puede incluso perturbar el negocio: varios estudios (Forrester, Ping Identity) muestran que 2 de cada 3 proyectos IAM provocan interrupciones del servicio durante la migración del sistema si se controla mal.

Para evitar estos escollos, es necesario adoptar un enfoque metódico. He aquí las mejores prácticas recomendadas para garantizar la identidad y el acceso de forma operativa, desde la planificación del proyecto IAM hasta la implantación cotidiana:

3.1 Implicar a todas las partes interesadas

La IAM no es una cuestión puramente técnica: afecta a los procesos de RRHH (contratación y bajas), a las normas de cumplimiento, a la experiencia del usuario, etc. Así que es crucial construir el proyecto con una visión global.

Desde el principio, cree un grupo de trabajo interdisciplinar que incluya TI, seguridad, RRHH, negocio, cumplimiento y gestión. Esta gobernanza interfuncional garantiza que los objetivos de seguridad se ajusten a las necesidades de la empresa.

Por ejemplo, el departamento de RRHH podrá especificar qué flujos de trabajo de incorporación deben automatizarse, mientras que los responsables de negocio podrán definir qué accesos son críticos para sus equipos, etc.

Si descuidamos este aspecto, corremos el riesgo de desplegar una solución que no se ajuste a la situación sobre el terreno. más del 40 % de los proyectos de IAM fracasan por falta de coordinación empresa/TIsegún Gartner.

La comunicación constante, los talleres para recopilar requisitos y una gobernanza clara (comité directivo de IAM) garantizarán el apoyo colectivo.

Así es, la participación del usuario final es decisiva Casi el 60 % de las iniciativas de transformación digital fracasan debido a una adopción insuficiente por parte de los usuarios.

Por tanto, hay que apoyar el cambio, informar sobre las ventajas (por ejemplo, menos contraseñas gracias al SSO, mayor seguridad y, por tanto, menos incidentes) y formar tanto a los administradores como a los usuarios en las nuevas herramientas IAM.

3.2 Auditar la situación existente y fijar objetivos claros

Antes de precipitarse en la integración técnica, tómese el tiempo necesario para mapear la situación existente. Identifique dónde se encuentran los datos de identidad (directorios múltiples, bases de datos de aplicaciones, etc.), cuáles son los procesos actuales de gestión de cuentas e identifique cualquier vulnerabilidad conocida.

Una auditoría preliminar a menudo conduce a algunos descubrimientos edificantes: se descubrió que un cliente tenía 30 cuentas inactivas % en su AD, otro que el mismo empleado tenía acceso no revocado a sistemas antiguos.

Corregir estos fallos en la fase inicial mejora inmediatamente la seguridad, incluso antes de implantar la solución IAM.

A partir del inventario de accesorios, defina a continuación precisamente los objetivos del proyecto. ¿Cuál es la prioridad a alcanzar? Por ejemplo: "garantizar la supresión de todo acceso en las 24 horas siguientes a una salida", "implantar una autenticación fuerte en las herramientas críticas", "reducir en 80 % el número de llamadas a soporte para restablecer contraseñas".etc.

Los objetivos SMART (Specific, Measurable, Achievable, Realistic, Time-bound) servirán de brújula a lo largo del proyecto. Evitarán que la solución se desvíe o se sobredimensione.

Por ejemplo, si el problema número uno es cumplimiento de la normativala atención se centrará en la trazabilidad y los informes de auditoría. reducir el riesgo de phishingse dará prioridad al AMF y al sin contraseña.

Este marco también permite priorizar los proyectos: puede decidir ocuparse primero de la IAM para los empleados internos, después ampliarla a los clientes/socios (CIAM), etc., en función de los recursos disponibles.

3.3 Aplicar el principio del mínimo privilegio y automatizar

 En términos operativos, la regla de oro es "el menor privilegio - cada usuario sólo debe tener el acceso necesario para su función, ni más ni menos.

En la práctica, esto significa definir roles claros (por ejemplo: el Sr. X "empleado del departamento de marketing" tiene acceso a las herramientas A, B y C; la Sra. Y. "empleada del departamento de marketing" tiene acceso a las herramientas A, B y C),  "Gestor informático" accede a D, E, F, etc.) y automatizar la asignación de derechos en función de estos roles.

Cuando llega un empleado, un flujo de trabajo de incorporación creará su cuenta en el directorio, le asignará los grupos/roles adecuados y le concederá el acceso apropiado. Por el contrario, cuando un proceso automatizado de incorporación deberá desactivar o eliminar todas sus cuentas (correo electrónico, VPN, aplicaciones empresariales, etc.) sin demora.

La automatización es esencial para evitar la latencia humana (una cuenta olvidada que esté activa durante unos días es suficiente para provocar un compromiso).

Además, el programa revisiones periódicas de los derechos Cada 6 meses, por ejemplo, los directivos revisan los derechos de acceso de sus subordinados y certifican que siguen estando justificados; de lo contrario, piden que se revoquen.

3.4 Protección proactiva de cuentas privilegiadas 

Debe prestarse especial atención a los administradores y otros superusuarios. Su número debe reducirse al mínimo y los poderes deben estar separados (separación de funciones) para garantizar que nadie tenga todos los derechos.

Crear una caja fuerte de contraseñas para estas cuentas sensibles (proporcionadas por soluciones PAM): de este modo, los identificadores privilegiados ya no son conocidos por los humanos; se generan aleatoriamente y se cambian con frecuencia.

El acceso a una cuenta de administrador se concede previa solicitud, con justificación y de forma temporal (justo a tiempo) y se vuelve a cerrar automáticamente una vez finalizada la tarea.

Además, cada sesión privilegiada debe ser supervisado y rastreado grabaciones de vídeo de las acciones, o al menos un registro detallado de los comandos ejecutados. Esta trazabilidad se utiliza para detectar cualquier acción maliciosa o error grave, y a menudo se requiere durante las auditorías de seguridad. En caso de incidente, también facilitará el análisis forense.

También debe considerar la posibilidad de introducir unalerta en tiempo real cuentas sensibles: por ejemplo, si una cuenta de administrador desactiva los registros o crea un nuevo usuario privilegiado, el equipo de seguridad debe ser informado inmediatamente.

El planteamiento de confianza cero recomienda nunca se fíe a priori - incluso un administrador interno podría actuar bajo coacción o haber robado identificadores, de ahí la necesidad de comprobar y limitar cada acción.

3.5 Facilitar la experiencia del usuario para fomentar la adopción

Una IAM eficaz no debe ser sinónimo de restricciones excesivas para los empleados, con el riesgo de que intenten eludirla. Debe equilibrio entre seguridad y productividad.

Por ejemplo, la sustitución de 5 inicios de sesión diarios por un único portal SSO mejorará significativamente la comodidad para los usuarios y, al mismo tiempo, mejorará la seguridad (ya que se puede imponer una MFA robusta en este portal único).

Del mismo modo, la introducción de un autoservicio de contraseñas (que permite a los usuarios restablecer ellos mismos sus contraseñas mediante un procedimiento seguro) reduce la frustración y los tickets de TI.

 También es buena idea concienciar a los empleados de la importancia de estas medidas: explicarles que la AMF protege su cuenta del mismo modo que un juego de llaves de repuesto protege una casa, y que la revisión de accesos garantiza que nadie tenga permisos injustificados, etc. Implicar a los usuarios y prestar especial atención a la facilidad de uso (por ejemplo, utilizando soluciones con una sencilla aplicación móvil para la AMF, o una autenticación sin contraseña que evite la introducción repetitiva de datos) aumentará la aceptación.

Siguiendo estas buenas prácticas, podrá maximizar sus posibilidades de éxito a la hora de proteger sus identidades y accesos.

Por supuesto, el camino hacia una IAM madura es iterativo: tenemos que ajustar constantemente las normas, tener en cuenta las reacciones sobre el terreno y mantenernos ágiles ante los cambios tecnológicos. Así pues, ¿cuáles son las principales tendencias en el futuro de la IAM?

4. Tendencias emergentes y evolución prevista

La IAM es un campo en constante evolución, impulsado tanto por los avances tecnológicos como por el ingenio de los atacantes. Para 2025, habrán surgido varias tendencias clave que redefinirán la forma en que se protegen las identidades y el acceso:

  • La era de Confianza cero El paradigma "nunca confíes, siempre verifica" se está imponiendo. La identidad se convierte en el perímetro central de seguridad. Cada intento de acceso se valida continuamente según el contexto y el nivel de riesgo, incluso si el usuario ya está conectado a la red.
  • Autenticación sin contraseña Para contrarrestar el phishing, el sector está impulsando alternativas sólidas como Claves de seguridad FIDO2 (passkeys) y la biometría. Estos métodos no sólo son más seguros, sino también más sencillos para el usuario.
  • La inteligencia artificial al servicio de la defensa La IA y el aprendizaje automático se utilizan ahora para detectar comportamientos anómalos en tiempo real, sugerir derechos optimizados y automatizar la respuesta a las amenazas, haciendo que la IAM sea más inteligente y proactiva.
  • La convergencia de las plataformas de seguridad los silos entre IAM, PAM e IGA están desapareciendo en favor de plataformas de seguridad de identidad unificada. Esta integración proporciona una visión de 360°, simplifica la administración y garantiza una aplicación coherente de las políticas de seguridad en todo el SI.

Conclusión

Protección de identidades y accesos La IAM es un proyecto estratégico para todas las empresas digitales. Requiere la implantación de herramientas sólidas (SSO, MFA, PAM, IGA, etc.), procesos bien engrasados (gestión del ciclo de vida, certificación, auditorías) y una gestión del cambio que implique a toda la organización.

Las ventajas son muchas: reducción drástica del riesgo de infracción, mejor visibilidad de las quién tiene acceso a quéTambién supone un aumento de la productividad (menos contraseñas que gestionar, menos solicitudes de asistencia). Las cifras hablan por sí solas: 57 % de las empresas creen que una mejor gestión de la IAM habría evitado los ciberataques que han sufrido. IAM es, por tanto, una inversión esencial para proteger sus activos digitales.

Sin embargo, no debemos perder de vista que se trata de una proceso continuo. Las amenazas cambian (phishing de IA, robo de tokens de API, etc.), al igual que su entorno (nuevas aplicaciones de SI, nuevas obligaciones normativas). Tendrá que adaptar constantemente las políticas de acceso, actualizar las herramientas y concienciar a los usuarios.

Al hacer de la identidad el núcleo de la estrategia de seguridad, estamos construyendo una SI en la que las personas adecuadas tienen acceso a los recursos adecuados, en el momento adecuado... y por las razones adecuadassimplemente.

También pueden interesarle estos artículos

Ilustración del artículo Las principales certificaciones en ciberseguridad Las principales certificaciones de ciberseguridad que todo experto debe conocer  Artículo de ilustración de imágenes Securing APIs Cómo proteger las API: buenas prácticas Artículo de ilustración fotográfica OSINTOSINT, técnicas de ciberinteligencia al servicio de tu negocio

ARTÍCULO ANTERIOR

Los métodos de prospección más eficaces

ARTÍCULO SIGUIENTE

¿Cómo puedes gestionar el estrés y convertirlo en un aliado diario?

Nuestro experto

Consejo editorial de ORSYS

Formado por periodistas especializados en informática, gestión y desarrollo personal, el equipo editorial de ORSYS Le mag [...].

ámbito de formación

Ciberseguridad

formación asociada

Federación de identidades (SAML 2, OpenID Connect), visión general

Windows 2022, proteger su infraestructura

Autenticación y autorización, arquitecturas y soluciones