¿Qué es la gestión de identidades y accesos (IAM)?

Con el auge del cloud computing, el teletrabajo y la IA generativa, la IAM se ha convertido en un componente central de la seguridad de la red.

La red corporativa promedio alberga hoy en día un número creciente de usuarios humanos (empleados, clientes, contratistas) y usuarios no humanos (agentes de IA, IoT y dispositivos de endpoint, cargas de trabajo automatizadas). Estos usuarios están distribuidos en varias ubicaciones y necesitan un acceso seguro a las aplicaciones y los recursos en las instalaciones y basados en la nube.

Los hackers se han dado cuenta de esta superficie de ataque de identidad en expansión. Según el IBM® X-Force Threat Intelligence Index, el 30 % de los ciberataques implican el robo y el abuso de cuentas válidas.

La gestión de identidades y accesos puede ayudar a facilitar el acceso seguro de los usuarios autorizados, al mismo tiempo que bloquea el acceso no autorizado de atacantes externos, usuarios internos negligentes y incluso usuarios bienintencionados que hacen un uso indebido de sus derechos de acceso. Las herramientas de IAM permiten a las organizaciones crear y eliminar de forma segura identidades digitales, establecer y aplicar políticas de control de acceso, verificar usuarios y monitorizar la actividad de los usuarios. 

El objetivo de IAM es detener a los hackers y, al mismo tiempo, permitir que los usuarios autorizados realicen fácilmente todo lo que necesitan hacer, pero no más de lo que se les permite hacer.

Con ese fin, las implementaciones de IAM tienen cuatro pilares:

• Administración
• Autenticación
• Autorización
• Auditoría

La administración de identidades, también conocida como "gestión de identidades" o "gestión del ciclo de vida de las identidades", es el proceso de crear, mantener y eliminar de forma segura las identidades de los usuarios en un sistema.

Para facilitar el acceso seguro de los usuarios, las organizaciones primero deben saber quiénes y qué hay en su sistema. Esto suele implicar asignar a cada usuario humano y no humano una identidad digital distinta.

Una identidad digital es una colección de atributos distintivos vinculados a una entidad específica. Las identidades digitales capturan rasgos como el nombre de usuario, las credenciales de inicio de sesión, el cargo y los derechos de acceso.

Las identidades digitales suelen almacenarse en una base de datos o directorio central, que actúa como única fuente fiable. El sistema IAM utiliza la información de esta base de datos para validar a los usuarios y determinar lo que están autorizados a hacer.

Además de incorporar nuevos usuarios, las herramientas de IAM pueden actualizar las identidades y los permisos a medida que evolucionan las funciones de los usuarios y desaprovisionar a los usuarios que abandonan el sistema.

Los equipos de TI y ciberseguridad pueden gestionar manualmente el aprovisionamiento y desaprovisionamiento de usuarios, pero muchos sistemas IAM también admiten un enfoque de autoservicio. Los usuarios proporcionan su información y el sistema crea automáticamente su identidad y establece los niveles adecuados de acceso en función de las reglas definidas por la organización. 

La autenticación es el proceso que verifica que un usuario es quien dice ser.

Cuando un usuario inicia sesión en un sistema o solicita acceso a un recurso, envía credenciales, denominadas "factores de autenticación", para garantizar su identidad. Por ejemplo, un usuario humano podría introducir una contraseña o un escaneo biométrico de huellas dactilares, mientras que un usuario no humano podría compartir un certificado digital. El sistema IAM comprueba estas credenciales en la base de datos central. Si coinciden, se concede el acceso.

Aunque la contraseña es la forma de autenticación más básica, también es una de las más débiles. La mayoría de las implementaciones de IAM actuales utilizan métodos de autenticación más avanzados, como la autenticación de dos factores (2FA) o la autenticación multifactor (MFA), que requieren que los usuarios proporcionen varios factores de autenticación para demostrar su identidad.

Por ejemplo, cuando un sitio web requiere que los usuarios ingresen tanto una contraseña como un código que se envía por mensaje de texto a su teléfono, se trata de un esquema 2FA en acción.

La autorización es el proceso de conceder a los usuarios verificados los niveles adecuados de acceso a recursos.

La autenticación y la autorización están estrechamente vinculadas, y la autenticación suele ser un requisito previo para la autorización. Una vez que un usuario demuestra su identidad, el sistema IAM comprueba los privilegios que están conectados a esa identidad en la base de datos central y autoriza al usuario en consecuencia.

En conjunto, la autenticación y la autorización forman el componente de gestión de acceso de la gestión de identidades y accesos.

Para establecer los permisos de acceso de los usuarios, las diferentes organizaciones adoptan diferentes enfoques. Un marco de control de acceso común es el control de acceso basado en roles (RBAC), en el que los privilegios de los usuarios se basan en sus funciones laborales. El RBAC ayuda a simplificar el proceso de configuración de permisos de usuario y mitiga el riesgo de otorgar a los usuarios más privilegios de los que necesitan.

Por ejemplo, supongamos que los administradores del sistema están configurando permisos para un firewall de red. Es probable que un representante de ventas no tenga ningún acceso, ya que el rol de ese usuario no lo requiere. Un analista de seguridad de nivel junior podría ver las configuraciones de firewall, pero no cambiarlas. El director de seguridad de la información y ciberseguridad (CISO) tendría pleno acceso administrativo. Una interfaz de programación de aplicaciones (API) para un sistema integrado de gestión de eventos e información de seguridad (SIEM) podría ser capaz de leer los registros de actividad del firewall.

La mayoría de los marcos de control de acceso están diseñados de acuerdo con el principio de privilegios mínimos. A menudo asociado con estrategias de ciberseguridad zero trust, el principio de privilegio mínimo establece que los usuarios deben tener solo los permisos mínimos necesarios para completar una tarea. Sus privilegios deben ser revocados tan pronto como se termine la tarea.

La auditoría significa asegurarse de que el sistema IAM y sus componentes (administración, autenticación y autorización) funcionan correctamente.

La auditoría implica rastrear y obtener información de registro de lo que los usuarios hacen con sus derechos de acceso para garantizar que nadie, incluidos los hackers, tiene acceso a algo que no debería y que los usuarios autorizados no abusan de sus privilegios.

La auditoría es una función básica del gobierno de la identidad y es importante para el cumplimiento normativo. Los mandatos de seguridad como el Reglamento General de Protección de Datos (RGPD), la Ley Sarbanes-Oxley (SOX) y el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) requieren que las organizaciones restrinjan los derechos de acceso de los usuarios de ciertas maneras. Las herramientas y procesos de auditoría ayudan a las organizaciones a garantizar que sus sistemas IAM cumplen los requisitos, y los registros de auditoría pueden ayudar a demostrar el cumplimiento o detectar infracciones según sea necesario.

Las organizaciones dependen de herramientas tecnológicas para optimizar y automatizar los flujos de trabajo clave de IAM, como la autenticación de usuarios y el seguimiento de su actividad. Algunas organizaciones utilizan soluciones puntuales para cubrir diferentes aspectos de la IAM, mientras que otras utilizan plataformas de IAM integrales que lo hacen todo o integran múltiples herramientas en un todo unificado.

Los componentes y funciones principales de las soluciones de gestión de identidades y accesos incluyen:

Los servicios de directorio son donde los sistemas IAM almacenan y gestionan datos sobre las identidades, las credenciales y los permisos de acceso de los usuarios. Las soluciones de IAM pueden tener sus propios directorios centralizados o integrarse con servicios de directorio externos como Microsoft Active Directory y Google Workspace.

Algunas implementaciones de IAM utilizan un enfoque llamado "federación de identidades", en el que sistemas dispares comparten información de identidad entre sí. Un sistema actúa como proveedor de identidad, utilizando estándares abiertos como Security Assertion Markup Language (SAML) y OpenID Connect (OIDC) para autenticar de forma segura a los usuarios en otros sistemas.

Los inicios de sesión sociales, cuando una aplicación permite a una persona utilizar su cuenta de Facebook, Google u otra cuenta para iniciar sesión, son un ejemplo común de federación de identidades.

Además de MFA y 2FA, muchas soluciones de IAM admiten métodos de autenticación avanzados como el inicio de sesión único (SSO), la autenticación adaptativa y la autenticación sin contraseña.

El inicio de sesión único (SSO) permite a los usuarios acceder a varias aplicaciones y servicios con un solo conjunto de credenciales de inicio de sesión. El portal de SSO autentica al usuario y genera un certificado o token que actúa como clave de seguridad para otros recursos. Los sistemas SSO utilizan protocolos como SAML y OIDC para compartir claves entre proveedores de servicios.

La autenticación adaptativa, también llamada autenticación basada en riesgos, cambia los requisitos de autenticación en tiempo real a medida que cambian los niveles de riesgo. Los esquemas de autenticación adaptativa utilizan inteligencia artificial (IA) y machine learning (ML) para analizar el contexto de un inicio de sesión, incluidos factores como el comportamiento del usuario, la posición de seguridad del dispositivo y el tiempo. Cuanto más arriesgado es un inicio de sesión, más autenticación requiere el sistema.

Por ejemplo, un usuario que inicia sesión desde su dispositivo y ubicación habituales podría necesitar ingresar solo su contraseña. Ese mismo usuario que inicia sesión desde un dispositivo no confiable o intenta ver información especialmente confidencial podría necesitar proporcionar más factores, ya que la situación ahora presenta más riesgos para la organización.

Los esquemas de autenticación sin contraseña reemplazan las contraseñas, notoriamente fáciles de robar, con credenciales más seguras. Las claves de acceso, como las basadas en el popular estándar FIDO, son una de las formas más comunes de autenticación sin contraseña. Utilizan criptografía de clave pública para verificar la identidad de un usuario.

Las herramientas de control de acceso permiten a las organizaciones definir y hacer cumplir políticas de acceso granulares a los usuarios humanos y no humanos. Además del RBAC, los marcos de control de acceso comunes incluyen:

• Control de acceso obligatorio (MAC), que aplica políticas definidas de forma centralizada a todos los usuarios en función de los niveles de autorización o las puntuaciones de confianza.
  
  
• Control de acceso discrecional (DAC), que permite a los propietarios de los recursos establecer sus propias reglas de control de acceso para esos recursos. 
  
  
• Control de acceso basado en atributos (ABAC), que analiza los atributos de los usuarios, objetos y acciones, como el nombre de un usuario, el tipo de recurso y la hora del día, para determinar si se concederá acceso.

Las herramientas de gestión de acceso privilegiado (PAM) supervisan la seguridad de las cuentas y el control de acceso para las cuentas de usuario con privilegios elevados, como los administradores del sistema. Las cuentas privilegiadas cuentan con protecciones especiales porque son objetivos de alto valor que los actores malintencionados pueden utilizar para causar daños graves. Las herramientas PAM aíslan las identidades privilegiadas del resto, utilizando bóvedas de credenciales y protocolos de acceso justo a tiempo para mayor seguridad.

Las herramientas de gestión de credenciales permiten a los usuarios almacenar de forma segura contraseñas, claves de acceso y otras credenciales en una ubicación central. Las herramientas de gestión de credenciales pueden mitigar el riesgo de que los empleados olviden sus credenciales. También pueden fomentar una mejor higiene de la seguridad al facilitar a los usuarios el establecimiento de contraseñas diferentes para cada servicio que utilizan.

La administración de secretos protege las credenciales, incluidos certificados, claves, contraseñas y tokens, para usuarios no humanos, como aplicaciones, servidores y cargas de trabajo. Las soluciones de gestión de secretos suelen almacenar secretos en una bóveda central segura. Cuando los usuarios autorizados necesiten acceder a un sistema sensible, pueden obtener el secreto correspondiente de la bóveda. 

Las herramientas de gobierno de la identidad ayudan a las organizaciones a auditar la actividad de los usuarios y a garantizar el cumplimiento de la normativa

Las funciones principales de las herramientas de gobierno de identidades incluyen la auditoría de los permisos de los usuarios para corregir los niveles de acceso inadecuados, la información de registro de la actividad de los usuarios, la aplicación de políticas de seguridad y la señalización de infracciones.

Las herramientas de detección y respuesta a amenazas de identidad (ITDR) detectan y corrigen automáticamente las amenazas basadas en la identidad y los riesgos de seguridad, como la escalada de privilegios y los errores de configuración de las cuentas. Las herramientas ITDR son relativamente nuevas y aún no son estándar en todas las implementaciones de IAM, pero son un componente cada vez más común de las estrategias de seguridad de identidad empresarial.

La gestión de identidades y accesos de clientes (CIAM) regula las identidades digitales de los clientes y otros usuarios externos a una organización. Las funciones principales de CIAM incluyen capturar datos de perfil de clientes, autenticar a los usuarios y facilitar el acceso seguro a servicios digitales, como sitios de comercio electrónico.

Las soluciones de gestión de identidades y accesos basadas en la nube, también llamadas herramientas de “identidad como servicio” (IDaaS), adoptan un enfoque de software como servicio (SaaS) para IAM.

Las herramientas IDaaS pueden ser útiles en redes complejas donde usuarios distribuidos inician sesión desde Windows, Mac, Linux y dispositivos móviles para acceder a recursos ubicados en el sitio y en nubes privadas y nube pública. Estas redes pueden ser propensas a la fragmentación y a las brechas de visibilidad, pero las soluciones IAM en la nube pueden escalar para adaptarse a diferentes usuarios, aplicaciones y activos en un solo sistema de identidad.

Las herramientas IDaaS también permiten a las organizaciones externalizar algunos de los aspectos de la implementación de sistemas IAM que requieren más tiempo y recursos, como la creación de directorios y el registro de la actividad de los usuarios. 

A medida que las organizaciones adoptan entornos multinube, IA, automatización y teletrabajo, necesitan facilitar el acceso seguro para más tipos de usuarios a más tipos de recursos en más ubicaciones. Las soluciones IAM pueden mejorar tanto la experiencia del usuario como la ciberseguridad en redes descentralizadas, agilizando la gestión del acceso y protegiendo contra ciberamenazas comunes.

Transformación digital es la norma para las empresas actuales, lo que significa que la red de TI centralizada y totalmente en las instalaciones es en gran medida cosa del pasado. Las soluciones y estrategias de seguridad centradas en el perímetro no pueden proteger eficazmente las redes que abarcan dispositivos dentro y fuera de las instalaciones, servicios basados en la nube, aplicaciones web y equipos de usuarios humanos y no humanos repartidos por todo el mundo.

Como resultado, las organizaciones están haciendo de la seguridad de identidades un pilar central de sus estrategias de ciberseguridad. En lugar de centrarse en la red periférica, puede ser más eficaz proteger a los usuarios individuales y su actividad, independientemente de dónde se produzca.

Al mismo tiempo, las organizaciones deben asegurarse de que los usuarios tengan el acceso bajo demanda que necesitan para hacer su trabajo y no se vean obstaculizados por medidas de seguridad demasiado onerosas.

Los sistemas IAM ofrecen a los equipos de TI y seguridad una forma centralizada de definir y aplicar políticas de acceso adaptadas y conformes para usuarios individuales en toda la organización.

Las herramientas de IAM también pueden autenticar a los usuarios de forma segura y ayudar a rastrear cómo las entidades utilizan sus permisos, capacidades importantes para defenderse de los ciberataques basados en la identidad, que son el método elegido por muchos ciberdelincuentes en la actualidad.  

Según el informe "Cost of a Data Breach" de IBM, el robo de credenciales es la principal causa de vulneraciones de datos, y representa el 16 % de los ataques. Estos ataques basados en credenciales, en los que los hackers utilizan cuentas de usuarios legítimos para acceder a datos confidenciales,cuestan 4,67 millones de dólares y tardan una media de 292 días en detectarse y contenerse.

Las herramientas de IAM pueden dificultar que los hackers lleven a cabo estos ataques. Por ejemplo, MFA hace que los ciberdelincuentes necesiten algo más que una contraseña para entrar. Incluso si se hacen cargo de una cuenta, el movimiento lateral es limitado porque los usuarios solo tienen los permisos que necesitan para hacer su trabajo y nada más. Y las herramientas ITDR pueden facilitar la detección y detención de actividades sospechosas en las cuentas de los usuarios autorizados. 

Según el informe "Cost of a Data Breach", la tecnología IAM es un factor clave para reducir los costes de las violaciones, ya que reduce el coste de un ataque en 222 883 dólares de media.

Un tejido de identidad es una arquitectura de identidad integral que une todos los sistemas de identidad de una red en un todo integrado. Las soluciones holísticas de IAM que conectan aplicaciones dispares y cubren todas las funciones básicas de IAM son herramientas importantes para crear estos tejidos.

Los tejidos de identidad son cada vez más populares a medida que las organizaciones buscan abordar los desafíos que surgen del uso de muchas aplicaciones diferentes con diferentes sistemas de identidad. Según un informe, el equipo medio utiliza 73 aplicaciones SaaS diferentes. Cuando estas aplicaciones tienen sus propios sistemas de identidad, la fragmentación crea quebraderos de cabeza logísticos y lagunas de seguridad.

Para combatir estos problemas, las organizaciones están invirtiendo en herramientas de orquestación de identidades, que ayudan a que los sistemas de identidad dispares se comuniquen entre sí.

Las soluciones integrales de IAM que gestionan todos los aspectos clave de la IAM (administración de identidades, gestión de accesos, gobierno, auditoría, PAM y CIAM) ayudan a facilitar esta organización. El objetivo es crear un tejido de identidad en toda la red que permita a la organización gestionar la información de identidad y el acceso de todas las aplicaciones, usuarios y activos en una sola plataforma.

Además de simplificar IAM, el enfoque integrado también puede impulsar la seguridad. Según el X-Force Threat Intelligence Index, la consolidación de soluciones de identidad es una de las formas más efectivas de controlar la expansión de la identidad y protegerse contra los ataques basados en la identidad.

La IA tradicional basada en reglas ha sido parte del funcionamiento de IAM durante mucho tiempo, automatizando flujos de trabajo como autenticación y registros de auditoría. Sin embargo, la llegada de la IA generativa presenta nuevos desafíos y nuevas oportunidades.

Entre las nuevas aplicaciones con modelos de lenguaje de gran tamaño (LLM) y los agentes de IA, la IA generativa está preparada para impulsar un aumento significativo del número de identidades no humanas en la red empresarial. Estas identidades ya superan en número a los seres humanos en una proporción de 10:1 en una empresa típica¹. Esa proporción podría aumentar considerablemente en poco tiempo.  

Estas identidades no humanas son objetivos habituales de los atacantes, ya que suelen tener niveles de acceso relativamente altos y credenciales mal protegidas.

Sin embargo, las herramientas IAM pueden mitigar los riesgos de que los ciberdelincuentes se apoderen de las cuentas de IA. Las técnicas y herramientas comunes de gestión de acceso privilegiado, como la rotación automática de credenciales y las bóvedas de credenciales seguras, pueden dificultar que los piratas informáticos roben credenciales.

La IA también tiene casos de uso positivos para la IAM. Según el IBM Institute for Business Value, muchas organizaciones ya utilizan la IA para ayudar a gestionar la verificación y autorización de usuarios (62 %) y para controlar el riesgo, el cumplimiento normativo y la seguridad (57 %). Las herramientas de IA generativa pueden mejorar estos usos.

Por ejemplo, algunas herramientas de IAM están implementando chatbots con tecnología LLM que permiten a los equipos de seguridad utilizar el lenguaje natural para analizar conjuntos de datos de seguridad, crear nuevas políticas y sugerir niveles de acceso personalizados para los usuarios.