¿Qué es la seguridad de identidad?

A medida que las organizaciones adoptan servicios en la nube, dan soporte al teletrabajo y gestionan diversos endpoints y aplicaciones, los perímetros de la red se vuelven más difusos y las defensas basadas en el perímetro pierden eficacia. Las identidades digitales, los perfiles distintos que representan a los usuarios, dispositivos o aplicaciones en un sistema, han pasado a ser críticas para mantener la seguridad de datos.

Según el informe "Cost of a Data Breach" de IBM, las credenciales robadas o comprometidas son un vector de ataque común, responsable del 10 % de las vulneraciones de datos. Cuando los hackers consiguen las credenciales de los usuarios, las utilizan para apoderarse de cuentas válidas y abusar de sus privilegios. 

La seguridad de la identidad ayuda a garantizar que solo los usuarios autorizados puedan acceder a recursos específicos, al tiempo que minimiza los riesgos de ataques basados en la identidad y las credenciales.

Con una seguridad de identidad eficaz, las organizaciones pueden reducir las vulnerabilidades, mejorar la eficacia operativa y protegerse frente a ciberamenazas como los ataques de phishing y las vulneraciones de datos.

Históricamente, las organizaciones protegían sus sistemas y datos estableciendo un perímetro de red seguro protegido por herramientas como firewalls, redes privadas virtuales (VPN) y software antivirus. Esta "valla digital" supuso que todo lo que estaba en las instalaciones era fiable, mientras que todo lo que estaba fuera tenía que estar bloqueado.

Pero con la transformación digital, ese perímetro ordenado desapareció. A medida que las organizaciones adoptaron el teletrabajo, los entornos híbridos y multinube y las herramientas de software como servicio (SaaS) de terceros, la red corporativa se volvió demasiado difusa para la seguridad basada en el perímetro.

Las estrategias de seguridad también pasaron de proteger los activos de la red a proteger el acceso, situando las identidades digitales en el centro de la ciberseguridad. La pregunta no es "¿En qué red está?" sino "¿Quién es usted y debería poder acceder a esto?"

Los actores de amenazas también se adaptaron. En lugar de infringir los firewalls, empezaron a atacar las identidades directamente mediante el uso de la suplantación de identidad, el robo de credenciales y el secuestro de sesiones para hacerse pasar por usuarios y aumentar los privilegios. Según el IBM X-Force Threat Intelligence Index, el abuso de cuentas válidas es una de las formas más comunes en las que los hackers entran en las redes empresariales, y representa el 30 % de los ciberataques.

En este entorno, la seguridad de la identidad surgió como una disciplina de ciberseguridad distinta, centrada en proteger las identidades digitales y sus privilegios de acceso asociados contra robos, usos indebidos y abusos. 

La seguridad de identidades se basa en la gestión de identidades y accesos (IAM), un marco de seguridad para gestionar las identidades de los usuarios y controlar el acceso a los sistemas y los datos. Añade capacidades de protección, detección y respuesta centradas específicamente en proteger las identidades digitales.

En otras palabras, la seguridad de la identidad no reemplaza a IAM, sino que la amplía con capacidades como la monitorización continua, la aplicación del acceso contextual y las respuestas automatizadas a actividades sospechosas. Donde IAM determina quién tiene acceso, la seguridad de identidad ayuda a garantizar que el acceso permanezca seguro.

Juntos, la seguridad de identidades y la IAM forman la base de las soluciones modernas de seguridad de identidades, ayudando a las organizaciones a asegurar las identidades digitales, gestionar los permisos de los usuarios y defenderse de las ciberamenazas basadas en la identidad.

La seguridad de la identidad es una disciplina que une varias herramientas y prácticas distintas en un programa cohesivo para proteger las identidades digitales a lo largo de su ciclo de vida. Este marco de seguridad integral permite a las organizaciones optimizar la gestión del acceso y, al mismo tiempo, mantener una protección de datos robusta.

Los componentes clave de la seguridad de la identidad incluyen:

• Identidades digitales
• Mecanismos de autenticación
• Control de acceso
• Gobierno y administración de identidades (IGA)
• Detección y respuesta a amenazas de identidad (ITDR)

Las identidades digitales son la piedra angular de la seguridad de la identidad. Representan a usuarios, dispositivos y aplicaciones en sistemas empresariales.

La seguridad de la identidad protege a estas entidades digitales del acceso no autorizado para que los actores maliciosos no puedan hacer un uso indebido de sus permisos para robar datos, dañar activos o causar otros daños. 

Entre los tipos comunes de identidades se incluyen:

• Identidades de usuario: representaciones digitales de usuarios humanos, que contienen atributos como nombre, función, departamento y privilegios de acceso.

• Identidades de máquina: identidades vinculadas a entidades como aplicaciones, servicios y dispositivos IoT.

• Cuentas de servicio: cuentas de propósito especial utilizadas por las aplicaciones para interactuar con otros sistemas y servicios. Por ejemplo, una solución de recuperación ante desastres podría usar una cuenta de servicio para realizar copias de seguridad de una base de datos todas las noches.   

A medida que las organizaciones adoptan más servicios en la nube y aumentan los esfuerzos de automatización, las identidades de las máquinas y las cuentas de servicio han superado en número a las cuentas de usuarios humanos en muchas redes. Una estimación sitúa la proporción de identidades no humanas frente a humanas en una empresa típica en 10:1¹ . El crecimiento de la IA generativa y los agentes de IA podría acelerar aún más esta tendencia. 

La seguridad de identidades ayuda a mantener la visibilidad y el control en este panorama de identidades en expansión, facilitando el acceso seguro a los usuarios autorizados y reduciendo la superficie de ataque de una organización.

La autenticación verifica que los usuarios son quienes dicen ser: el primer punto de control crítico en la seguridad de la identidad. La autenticación sólida es esencial para reducir el riesgo de acceso no autorizado a cuentas de usuario y datos confidenciales.

Los métodos de autenticación de claves incluyen:

• Autenticación multifactor (MFA): requiere que los usuarios presenten dos o más factores de verificación para demostrar su identidad. Este requisito dificulta que los hackers se hagan pasar por los usuarios porque necesitan robar o fabricar múltiples factores para acceder a una cuenta.

• Autenticación biométrica: utiliza características físicas únicas como las huellas dactilares o el reconocimiento facial para verificar a los usuarios. Los factores biométricos son más difíciles de robar que las contraseñas. 

• Autenticación sin contraseña: elimina las vulnerabilidades de las contraseñas tradicionales en favor de factores más seguros, como claves criptográficas o biométricas.

• Inicio de sesión único (SSO): permite a los usuarios autenticarse una vez y acceder a múltiples aplicaciones. SSO no solo mejora la experiencia del usuario, sino que también respalda la seguridad de la identidad al reducir la fatiga de las contraseñas, disminuir el riesgo de contraseñas débiles o reutilizadas y centralizar la aplicación del control de acceso. 

• Autenticación adaptativa: ajusta dinámicamente los requisitos de autenticación en función de factores de riesgo contextuales, como la ubicación, la posición de seguridad del dispositivo y los patrones de comportamiento del usuario. Por ejemplo, es posible que alguien que inicie sesión desde el mismo dispositivo que utiliza siempre necesite introducir solo una contraseña. Si ese mismo usuario se conecta desde un dispositivo nuevo, es posible que tenga que introducir tanto una contraseña como un escáner de huellas dactilares para demostrar su identidad.

El control de acceso determina a qué pueden acceder los usuarios autenticados y qué acciones pueden realizar en un sistema.

Los marcos de seguridad de identidad favorecen políticas de acceso sólidas basadas en el principio de privilegio mínimo. Es decir, los usuarios solo tienen el acceso necesario para realizar sus funciones de trabajo, ni más ni menos.

Los enfoques comunes de control de acceso incluyen: 

• Control de acceso basado en roles (RBAC): asigna permisos a los usuarios en función de los roles organizativos. Por ejemplo, un rol financiero podría autorizar a un usuario a realizar compras, mientras que un rol de recursos humanos podría autorizar a un usuario a ver archivos de personal.

• Control de acceso basado en atributos (ABAC): asigna permisos de acceso en función de los atributos del usuario, el recurso, la acción y el entorno. Por ejemplo, si el director financiero (usuario) desea acceder a un sistema de pago (recurso) para aprobar un pago (acción), ABAC analizaría estos factores juntos y autorizaría la actividad.  

• Control de acceso basado en políticas (PBAC): aplica las decisiones de acceso de los usuarios basadas en políticas centralizadas y dinámicas que pueden incorporar contexto. Por ejemplo, se puede permitir que un usuario acceda a una base de datos de clientes solo si su posición de seguridad cumple con los estándares de protección de endpoint de la empresa y se encuentra en un área geográfica designada. 

• Aprovisionamiento justo a tiempo (JIT): concede a los usuarios permisos elevados solo cuando sea necesario y durante periodos limitados, lo que elimina los riesgos que puede conllevar la concesión de privilegios permanentes a los usuarios. Por ejemplo, si un usuario necesita realizar un mantenimiento programado en un servidor de producción, el aprovisionamiento JIT puede otorgarle acceso de administrador temporal y revocarlo cuando finalice la ventana de mantenimiento.

• Gestión de accesos privilegiados (PAM): las herramientas PAM se centran específicamente en proteger las cuentas privilegiadas (como las cuentas de administrador) y las actividades privilegiadas (como trabajar con datos confidenciales). Las capacidades comunes de PAM incluyen el almacenamiento de credenciales, la monitorización de sesiones, el aprovisionamiento de acceso justo a tiempo y la rotación automática de credenciales.

IGA ayuda a garantizar que las identidades digitales tengan los niveles de acceso adecuados y que se rastree el acceso para cumplir con los requisitos internos y normativos. 

Mientras que las soluciones de IAM controlan quién tiene acceso a los sistemas y datos, IGA se centra en si ese acceso es apropiado, justificado y monitorizado activamente. IGA proporciona un marco operativo para administrar los ciclos de vida de la identidad y los derechos de acceso, reducir el riesgo relacionado con el acceso y aplicar políticas de seguridad.

IGA también es una parte importante del cumplimiento de estándares regulatorios como la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), Sarbanes-Oxley (SOX) y el Reglamento General de Protección de Datos (RGPD). Ayuda a las organizaciones a demostrar que el acceso a los sistemas y datos confidenciales se asigna correctamente y se revisa con regularidad. También genera registros de auditoría para apoyar las revisiones internas y las auditorías externas.

Las funciones clave de IGA incluyen:

• Aprovisionamiento y desaprovisionamiento de identidades digitales: gestión de los derechos de acceso durante todo el ciclo de vida de la identidad para agilizar la incorporación y reducir los riesgos de salida. Por ejemplo, si un empleado cambia de rol, las herramientas IGA pueden revocar automáticamente los permisos obsoletos o asignar otros nuevos en función de sus responsabilidades actualizadas. 

• Revisión de los permisos de acceso: realización de auditorías periódicas de los permisos de los usuarios para identificar y remediar los niveles de acceso excesivos o inapropiados. Las auditorías periódicas ayudan a las organizaciones a aplicar el principio de privilegios mínimos y a reducir el riesgo de uso indebido de privilegios. 

• Aplicación y elaboración de informes de políticas de seguridad: aplicación sistemática de políticas de seguridad, como separación de funciones (SoD) y mínimo privilegio, e identificación de violaciones. Por ejemplo, si un usuario intenta obtener acceso tanto a un sistema de pago como al sistema de aprobación (violando las reglas de SoD), las herramientas de gobernanza de identidad pueden marcar o bloquear la transacción.  

ITDR mejora la seguridad de identidad con capacidades avanzadas para proteger la infraestructura de identidad y hacer frente a los ataques basados en identidad. Aunque no siempre se incluye en las soluciones estándar de seguridad de identidad, ITDR es cada vez más común a medida que las organizaciones buscan medidas de seguridad robustas contra la creciente amenaza de los ataques basados en identidad.

Las capacidades clave de ITDR incluyen:

• Monitorización continua: vigilancia en tiempo real de las actividades de identidad, incluidos los intentos de autenticación, las solicitudes de acceso y la escalada de privilegios, para detectar actividades sospechosas. Por ejemplo, ITDR puede marcar a un usuario que inicia sesión desde una nueva ubicación o intenta acceder a información confidencial que normalmente no utiliza.

• Análisis del comportamiento: algoritmos avanzados que establecen líneas de base del comportamiento normal de los usuarios y señalan desviaciones que podrían indicar posibles amenazas a la seguridad, como el secuestro de una cuenta legítima por parte de un hacker.

• Respuesta automatizada: controles de seguridad adaptativos que toman medidas inmediatas al realizar la detección de una amenaza para minimizar los posibles daños. Por ejemplo, si un usuario muestra señales de uso indebido de las credenciales, el ITDR puede revocar su sesión, forzar la nueva autenticación o bloquear temporalmente el acceso a datos confidenciales.
  

La seguridad de identidades aumenta los controles básicos de IAM para ofrecer beneficios clave:

• Mejora de la posición de seguridad

• Conformidad con la normativa

• eficiencia operativa

La seguridad de la identidad puede ayudar a reducir la probabilidad y el impacto del secuestro de cuentas, el robo de credenciales, el acceso no autorizado y otros ataques basados en la identidad.

Las herramientas de seguridad de identidad pueden ayudar a las organizaciones a mantener (y demostrar) el cumplimiento de las normas pertinentes.

Los sistemas de seguridad de identidad pueden ayudar a agilizar las operaciones organizativas diarias.

Los avances en inteligencia artificial (IA) están afectando a la seguridad de la identidad como amenaza y como oportunidad.

Como amenaza, la IA generativa (IA gen) ayuda a los atacantes a lanzar ataques basados en la identidad de forma eficaz en mayor número y en menos tiempo. Según el X-Force Threat Intelligence Index, los analistas de X-Force han visto a hackers utilizar la IA generativa para generar voces y vídeos deepfake, elaborar correos electrónicos de phishing convincentes e incluso escribir código malicioso.

Como oportunidad, las herramientas de detección y prevención de amenazas de identidad con IA son cada vez más comunes, lo que permite a las organizaciones detectar y detener los ataques con mayor rapidez. Por ejemplo, mediante el machine learning, las soluciones ITDR pueden crear modelos de referencia del comportamiento normal de los usuarios, que utilizan para identificar desviaciones sospechosas que podrían constituir amenazas.