¿Qué es la seguridad de la identidad?

A medida que las organizaciones adoptan servicios en la nube, soportan el trabajo remoto y administran diversos endpoints y aplicaciones, los perímetros de red se vuelven más difusos y las defensas basadas en perímetro se vuelven menos efectivas. Las identidades digitales, los distintos perfiles que representan a los usuarios, dispositivos o aplicaciones en un sistema, se han vuelto críticos para mantener la seguridad de los los datos.

Según el Informe del costo de una filtración de datos de IBM, las credenciales robadas o comprometidas son el vector de ataque más común, responsable del 16 % de las filtraciones de datos. Cuando los hackers tienen en sus manos las credenciales de los usuarios, las utilizan para apoderarse de cuentas válidas y abusar de sus privilegios. 

La seguridad de la identidad ayuda a garantizar que solo los usuarios autorizados puedan acceder a recursos específicos, al tiempo que minimiza los riesgos de ataques basados en identidades y credenciales.

Con una seguridad de identidad eficaz, las organizaciones pueden reducir las vulnerabilidades, mejorar la eficacia operativa y proteger contra ciberamenazas como los ataques de phishing y las filtraciones de datos.

Históricamente, las organizaciones protegían sus sistemas y datos estableciendo un perímetro de red seguro protegido por herramientas como cortafuegos, redes privadas virtuales (VPN) y software antivirus. Esta "valla digital" suponía que todo lo que se encontraba on-premises dentro de la red corporativa era confiable, mientras que todo lo que estaba fuera tenía que bloquearse.

Pero con la transformación digital, ese perímetro ordenado desapareció. A medida que las organizaciones adoptaron el trabajo remoto, los entornos híbridos y multinube y las herramientas de software como servicio (SaaS) de terceros, la red corporativa se volvió demasiado difusa para la seguridad basada en el perímetro.

Las estrategias de seguridad también pasaron de proteger los activos de red a proteger el acceso, colocando las identidades digitales en el centro de la ciberseguridad. La pregunta no es "¿En qué red está?" sino "¿Quién es usted y debería acceder a esto?"

Los actores de amenazas también se adaptaron. En lugar de violar los cortafuegos, comenzaron a atacar las identidades directamente mediante phishing, robo de credenciales y secuestro de sesiones para suplantar a los usuarios y escalar privilegios. Según el IBM X-Force Threat Intelligence Index, el abuso de cuentas válidas es una de las formas más comunes en que los hackers irrumpen en las redes empresariales, lo que representa el 30 % de los ciberataques.

En este entorno, la seguridad de la identidad surgió como una disciplina de ciberseguridad distinta, centrada en proteger las identidades digitales y sus privilegios de acceso asociados contra el robo, el uso indebido y el abuso. 

La seguridad de la identidad se basa en la Gestión de identidad y acceso (IAM), una infraestructura/marco de seguridad para gestionar las identidades de los usuarios y controlar el acceso a sistemas y datos. Agrega capacidades de protección, detección y respuesta enfocadas específicamente en cerciorar identidades digitales.

En otras palabras, la seguridad de la identidad no sustituye a la IAM, sino que la amplía con capacidades como la supervisión continua, la aplicación contextual del acceso y las respuestas automatizadas a actividades sospechosas. Cuando IAM determina quién obtiene acceso, la seguridad de la identidad ayuda a garantizar que el acceso siga siendo seguro.

En conjunto, la seguridad de identidad y la IAM forman la base de las soluciones modernas de seguridad de identidad, ayudando a las organizaciones a proteger las identidades digitales, gestionar los permisos de los usuarios y defenderse contra las ciberamenazas basadas en la identidad.

La seguridad de la identidad es una disciplina que une varias herramientas y prácticas distintas en un programa cohesivo para proteger las identidades digitales a lo largo de su ciclo de vida. Este marco de seguridad integral permite a las organizaciones optimizar la gestión de acceso mientras mantienen una protección de datos sólida .

Los componentes clave de la seguridad de la identidad incluyen:

• Identidades digitales
• Mecanismos de autenticación
• Control de acceso
• Gobernanza y administración de identidades (IGA)
• Detección y respuesta a amenazas de identidad (ITDR)

Las identidades digitales son las piedras angulares de la seguridad de la identidad. Representan usuarios, dispositivos y aplicaciones en sistemas empresariales.

La seguridad de la identidad protege a estas entidades digitales del acceso no autorizado para que los actores maliciosos no puedan hacer un mal uso de sus permisos para robar datos, dañar activos o causar otros daños. 

Los tipos comunes de identidades incluyen:

• Identidadesde usuario: representaciones digitales de usuarios humanos, que contienen atributos como nombre, función, departamento y privilegios de acceso.

• Identidades demáquina: identidades adjuntas a entidades, como aplicaciones, servicios y dispositivos IoT.

• Cuentas de servicio: Cuentas de propósito especial empleadas por las aplicaciones para interactuar con otros sistemas y servicios. Por ejemplo, una solución de recuperación ante desastres podría usar una cuenta de servicio para extraer backups de una base de datos todas las noches.   

A medida que las organizaciones adoptan más servicios en la nube y aumentan los esfuerzos de automatización, las identidades de máquinas y las cuentas de servicio han superado en número a las cuentas de usuarios humanos en muchas redes. Una estimación sitúa la proporción de identidades no humanas a humanas en una empresa típica en 10:1.¹ El crecimiento de la IA generativa y los agentes de IA podría acelerar aún más esta tendencia. 

La seguridad de identidades ayuda a mantener la visibilidad y el control en este panorama de identidades en expansión, facilitando el acceso seguro a los usuarios autorizados y reduciendo la superficie de ataque de una organización.

La autenticación verifica que los usuarios son quienes dicen ser: el primer punto de control crítico en la seguridad de la identidad. La autenticación sólida es esencial para reducir el riesgo de acceso no autorizado a cuentas de usuario y datos confidenciales.

Los métodos de autenticación de claves incluyen:

• Autenticación multifactor (MFA): requiere que los usuarios presenten dos o más factores de verificación para probar su identidad. Este requisito dificulta que los hackers se hagan pasar por usuarios porque necesitan robar o fabricar múltiples factores para acceder a una cuenta.

• Autenticación biométrica: Emplea características físicas únicas como huellas dactilares o reconocimiento facial para Verify a los usuarios. Los factores biométricos son más difíciles de robar que las contraseñas. 

• Autenticación sin contraseña: elimina las vulnerabilidades tradicionales de las contraseñas en favor de factores más seguros, como claves criptográficas o biométricas.

• Inicio de sesión único (SSO): permite a los usuarios autenticarse una vez y acceder a varias aplicaciones. El SSO no solo mejora la experiencia del usuario, sino que también respalda la seguridad de la identidad al reducir la fatiga de las contraseñas, reducir el riesgo de contraseñas débiles o reutilizadas y centralizar la aplicación del control de acceso. 

• Autenticación adaptativa: Ajusta dinámicamente los requerimientos de autenticación en función de factores de riesgo contextuales como la ubicación, la postura de seguridad del dispositivo y los patrones de comportamiento del usuario. Por ejemplo, alguien que realiza el registro desde el mismo dispositivo que siempre usa necesite ingresar solo una contraseña. Si ese mismo usuario inicia sesión desde un dispositivo nuevo, es posible que deba ingresar una contraseña y un escaneo de huellas digitales para probar su identidad.

El control de acceso determina a qué pueden acceder los usuarios autenticados y qué acciones pueden realizar en un sistema.

Los marcos de seguridad de identidad favorecen políticas de acceso sólidas basadas en el principio de mínimo privilegio. Es decir, los usuarios solo tienen el acceso necesario para realizar sus funciones laborales, ni más ni menos.

Los enfoques comunes de control de acceso incluyen: 

• Control de acceso basado en roles (RBAC): asigna licencias a los usuarios según los roles de la organización. Por ejemplo, un rol de finanzas podría autorizar a un usuario a realizar compras, mientras que un rol de recursos humanos podría autorizar a un usuario a ver archivos de personal.

• Control de acceso basado en atributos (ABAC): asigna permisos de acceso en función de los atributos del usuario, el recurso, la acción y el entorno. Por ejemplo, si el director financiero (usuario) desea acceder a un sistema de pago (recurso) para aprobar un pago (acción), ABAC analizaría estos factores en conjunto y autorizaría la actividad.  

• Control de acceso basado en políticas (PBAC): aplica las decisiones de acceso de los usuarios basadas en políticas centralizadas y dinámicas que pueden incorporar contexto. Por ejemplo, se puede permitir que un usuario acceda a una base de datos de clientes solo si su postura de seguridad cumple con los estándares de protección de endpoint de la empresa y se encuentra en un área geográfica designada. 

• Aprovisionamiento justo a tiempo (JIT): otorga a las usuarias licencias elevadas solo cuando es necesario y por periodos limitados, lo que elimina los riesgos que puede conllevar otorgarles privilegios permanentes. Por ejemplo, si un usuario necesita realizar mantenimiento programado en un servidor de producción, el aprovisionamiento JIT puede otorgarle acceso de administrador temporal y revocarlo cuando finaliza la ventana de mantenimiento.

• Gestión de acceso privilegiado (PAM): lasherramientas PAM se centran específicamente en proteger cuentas privilegiadas (como cuentas de administrador) y actividades privilegiadas (como trabajar con datos confidenciales). Las capacidades comunes de PAM incluyen almacenamiento de credenciales, monitoreo de sesiones, aprovisionamiento de acceso justo a tiempo y rotación automática de credenciales.

IGA ayuda a garantizar que las identidades digitales tengan los niveles de acceso correctos y que se rastree el acceso para cumplir con los requisitos internos y normativos. 

Si bien las soluciones de IAM controlan quién obtiene acceso a los sistemas y datos, IGA se enfoca en si ese acceso es apropiado, justificado y monitoreado activamente. IGA proporciona una infraestructura para gestionar los ciclos de vida de las identidades y los derechos de acceso, reducir el riesgo relacionado con el acceso y hacer cumplir las políticas de seguridad.

IGA también es una parte importante del cumplimiento de estándares regulatorios como la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), Sarbanes-Oxley (SOX) y el Reglamento General de Protección de Datos (RGPD). Ayuda a las organizaciones a demostrar que el acceso a los sistemas y datos confidenciales se asigna correctamente y se revisa con regularidad. También genera registros de auditoría para apoyar las revisiones internas y las auditorías externas.

Las funciones clave de IGA incluyen:

• Aprovisionamiento y desaprovisionamiento de identidades digitales: gestión de los derechos de acceso a lo largo del ciclo de vida de la identidad para agilizar la incorporación y reducir los riesgos de baja. Por ejemplo, si un empleado cambia de rol, las herramientas de IGA pueden revocar automáticamente los permisos obsoletos o asignar nuevos en función de sus responsabilidades actualizadas. 

• Revisión de los permisos de acceso: realización de auditorías periódicas de las licencias de los usuarios para identificar y corregir los niveles de acceso excesivos o inadecuados. Las auditorías periódicas ayudan a las organizaciones a aplicar el principio del mínimo privilegio y a reducir el riesgo de uso indebido de los mismos. 

• Cumplimiento de políticas de seguridad y reporting: Aplicar de manera consistente políticas de seguridad, como separación de tareas (SoD) y privilegios mínimos, e identificar violaciones. Por ejemplo, si un usuario intenta obtener acceso tanto a un sistema de pago como al sistema de aprobación, violando las reglas de SoD, las herramientas de control de identidad pueden marcar o bloquear la transacción.  

ITDR mejora la seguridad de la identidad con capacidades avanzadas para proteger la infraestructura de identidad y dirección de los ataques basados en la identidad. Aunque no siempre se incluye en las soluciones estándar de seguridad de identidad, la ITDR se está volviendo más común a medida que las organizaciones buscan medidas de seguridad sólidas contra la creciente amenaza de los ataques basados en la identidad.

Las capacidades clave de ITDR incluyen:

• Supervisión continua: vigilancia en tiempo real de las actividades de identidad, incluidos los intentos de autenticación, las solicitudes de acceso y la escalada de privilegios, para detectar actividades sospechosas. Por ejemplo, ITDR puede marcar a un usuario que inicia sesión desde una nueva ubicación o intenta acceder a información confidencial que normalmente no usa.

• Analytics: Advanced algoritmos que establecen líneas base del comportamiento normal del usuario y marcan desviaciones que podrían indicar posibles amenazas de seguridad, como un hacker que secuesta una cuenta legítima.

• Respuesta automatizada: Controles de seguridad adaptables que toman medidas inmediatas en la detección de amenazas para minimizar el daño potencial. Por ejemplo, si un usuario muestra signos de uso indebido de credenciales, ITDR puede revocar su sesión, forzar la reautenticación o bloquear temporalmente el acceso a datos confidenciales.
  

La seguridad de identidad aumenta los controles centrales de IAM para ofrecer beneficios clave:

• Mejora de la postura de seguridad

• Cumplimiento regulatorio

• Eficiencia operativa

La seguridad de la identidad puede ayudar a reducir la probabilidad y el impacto del secuestro de cuentas, el robo de credenciales, el acceso no autorizado y otros ataques basados en la identidad.

Las herramientas de seguridad de identidad pueden ayudar a las organizaciones a mantener y demostrar el cumplimiento de las normas pertinentes.

Los sistemas de seguridad de identidad pueden ayudar a optimizar las operaciones organizacionales diarias.

Los avances en inteligencia artificial (IA) están afectando la seguridad de la identidad tanto como una amenaza como una oportunidad.

Como amenaza, la IA generativa (IA gen) ayuda a los atacantes a lanzar ataques basados en la identidad de forma eficaz en mayor número y en menos tiempo. Según el X-Force Threat Intelligence Index, los analistas de X-Force han visto a hackers utilizar la IA generativa para generar voces y vídeos deepfake, elaborar correos electrónicos de phishing convincentes e incluso escribir código malicioso.

Como oportunidad, las herramientas de detección y prevención de amenazas de identidad impulsadas por IA son cada vez más comunes, lo que permite a las organizaciones detectar y detener los ataques con mayor rapidez. Por ejemplo, mediante el machine learning, las soluciones ITDR pueden crear modelos de referencia del comportamiento normal de los usuarios, que utilizan para identificar desviaciones sospechosas que podrían constituir amenazas.