IAM: Confianza Verificada y el futuro de la gestión de la ciberseguridad.
- fernandagutierrez94
- 24 mar
- 6 Min. de lectura
A diferencia de lo que muchos expertos afirman, el concepto tradicional de perímetro no ha desaparecido; simplemente se ha desplazado.
El cambio fundamental que IAM está atravesando, está en que la identidad se ha convertido en el nuevo punto de control para cada interacción, ya sea un acceso humano o una decisión tomada por un agente de Inteligencia Artificial (IA).
El desafío que enfrentan los equipos dentro de los departamentos técnicos es que la mayoría de las organizaciones todavía tratan la confianza como un apretón de manos inicial y único, basado en contraseñas y verificaciones estáticas. Este enfoque es insuficiente ya que los atacantes explotan estas brechas mediante ingeniería social e suplantación de identidad impulsada por IA. La Confianza Verificada invierte este modelo: pasando de de "confiar una vez" a "verificar siempre".
La brecha de confianza: Lo que se percibe vs la realidad operativa
Existe una desconexión crítica entre lo que los directivos creen que tienen y lo que realmente han implementado. Según los datos de la encuesta de IDC a 794 organizaciones, el 51% de las empresas cree que está a la vanguardia o por delante de sus pares en el establecimiento de una identidad digital confiable. Sin embargo, solo el 9% cumple con los criterios técnicos para ser considerados líderes en Confianza Verificada.
Esta Confianza Verificada no es una actualización de seguridad; es una estrategia de resiliencia. Se define como la seguridad continua en la cual cada interacción digital está vinculada a una identidad verificada de forma independiente y que permanece confiable a lo largo del tiempo. Para lograrlo, las decisiones deben tomarse por transacción, utilizando señales contextuales como la biometría con detección de vida, la postura del dispositivo y los patrones de comportamiento.
Comparativa de madurez y adopción técnica
Métrica de Control | Rezagados (Sin inversión) | Líderes de Confianza Verificada | Impacto Operativo |
Estado de adopción | 94.6% explorando | 94.4% operando a escala | Los líderes consolidan ventaja competitiva. |
Flujos de confianza verificados | Solo 16.2% verifica la mayoría (75-100%) | 69% verifica casi todos los flujos | Reducción drástica de puntos ciegos en API y servicios. |
Uso de Biometría (con vida) | 12.9% | 80.3% | Mitigación activa contra riesgos de falsificaciones profundas (Deepfakes). |
Credenciales Digitales / Billeteras | 18.3% | 83.1% | Verificación sin fricción con alta seguridad. |
Registros de Explicabilidad | 20.4% | 84.5% | Transparencia total para auditoría y gestión de riesgos. |
El Retorno de Inversión de la Verificación Continua
La implementación de modelos IAM con base en confianza dinámica impacta directamente en la cuenta de resultados y en la eficiencia operativa. Los datos muestran que las organizaciones que adoptaron la verificación de identidad continua y contextual lograron mejoras medibles en áreas que afectan el Retorno de Inversión en los siguientes aspectos:
Conversión de clientes: Mejora superior al 51%. Los líderes superan a los principiantes en 22.5 puntos porcentuales en este indicador.
Reducción de pérdidas por fraude: Disminución superior al 43%. Al evaluar señales en tiempo real, se previenen transacciones maliciosas sin bloquear a los usuarios legítimos.
Eficiencia en el alta de empleados: Mejora de más del 47%. Esto reduce el tiempo necesario para que un trabajador sea productivo desde su primer día.
Preparación para el cumplimiento: Mejora del 44%. Los artefactos de auditoría se generan automáticamente, reduciendo la carga de trabajo manual.
Asumir la confianza después de un inicio de sesión es como cerrar la puerta principal pero dejar las ventanas abiertas. Los atacantes hoy se centran en flujos de recuperación, aprobaciones entre pares y transacciones privilegiadas, a menudo utilizando suplantación de identidad por IA.
IAM, Gobernanza de Privilegios y la Identidad de la IA
Uno de los mayores desafíos para un CIO es la proliferación de identidades no humanas, como cuentas de servicio, API y agentes de IA. Estos componentes amplían las brechas de control y elevan el riesgo operativo si no se gestionan adecuadamente.
La Gobernanza de Identidad y Acceso debe fusionarse con los controles de Gestión de Accesos Privilegiados (PAM) para manejar estas entidades. Los líderes informan una adopción superior al 73% en mecanismos críticos como el privilegio Justo a Tiempo (JIT) aprobaciones de control dual y registros de explicabilidad.
El desafío de los agentes de IA
La IA autónoma es la sobretensión que pone a prueba la resiliencia de su infraestructura. IDC identifica dos vertientes críticas:
IA para la Identidad: El uso de modelos para automatizar la seguridad del centro de operaciones de seguridad (SOC). El 85% de los líderes ya tiene esto en producción o a gran escala.
Identidad para la IA: Los controles que evitan que la IA actúe sin supervisión. Aquí, la complejidad de la gobernanza ralentiza el despliegue empresarial.
No se puede añadir la confianza a la IA como un parche posterior. Usted necesita registros de confianza, autorización delegada y credenciales verificables integradas en el flujo de trabajo de cada agente.
Barreras de adopción: Por qué se estancan los proyectos
El progreso en la implementación de Confianza Verificada suele detenerse por razones distintas dependiendo de la madurez de la empresa.
El 70.4% de los líderes encuestados identifica la complejidad de la integración como su principal obstáculo. Gestionar identidades a través de entornos híbridos y cumplir con normativas cambiantes genera una fricción técnica natural.
Cuando los sistemas de identidad se enmarcan como centros de costos, la inversión se estanca. Sin embargo, cuando se presentan como controles que reducen el riesgo y desbloquean el crecimiento (por ejemplo, reduciendo las tasas de abandono en el registro de clientes), la conversación presupuestaria se vuelve mucho más sencilla.
Los 5 salvaguardas críticos para la era de la IA
Para escalar la confianza en redes donde conviven humanos y vehículos autónomos de datos, IDC propone cinco elementos que deben implementarse como un sistema integrado, no como puntos aislados:
Credenciales Verificables: Pruebas de identidad criptográficamente seguras que eliminan las conjeturas en el acceso a escala.
Monitoreo de Riesgos en Tiempo Real: Capacidad para detectar anomalías y amenazas emergentes en el momento en que ocurren, permitiendo intervenciones proactivas.
Monitoreo Continuo: Validación constante del comportamiento y el cumplimiento durante toda la sesión, no solo en el acceso inicial.
Registros de Explicabilidad: Documentación transparente de por qué se aprobó o denegó cada acceso, esencial para auditorías y transparencia ante incidentes.
Procedencia de Datos: Seguimiento del origen e integridad de los datos para evitar manipulaciones dentro de la red.
Evolución del presupuesto: De IT a la responsabilidad compartida
La era en la que el gasto en gestión de identidades pertenecía exclusivamente a IT ha terminado. Aunque IT mantiene la mayor parte (49.3%), el área de seguridad ya comanda el 25.3% de la inversión.
Un dato revelador es el surgimiento de modelos de responsabilidad compartida, presentes en el 15.5% de las empresas líderes, frente a solo el 2.1% de los rezagados.
Esta diversificación indica que la identidad ya no es una función técnica, sino un sistema de confianza empresarial vinculado directamente a los ingresos y la resiliencia. De hecho, el 33.8% de los líderes espera que sus presupuestos en esta área crezcan más del 25% en los próximos 24 meses.
La transición desde la "Puerta Cerrada" hacia el "Tejido de Confianza"
Los datos de IDC de 2026 apuntan hacia una conclusión técnica es clara: la gestión de identidades ha dejado de ser una herramienta de administración para convertirse en la infraestructura de seguridad más crítica de la empresa moderna. No obstante, la mayoría de los departamentos de IT están atrapados en una "deuda de confianza" acumulada por años de parches reactivos.
El hecho de que el 51% de las empresas se autodenomine líder mientras solo el 9% cumple los estándares reales revela una complacencia peligrosa. Esta brecha de percepción es el lugar preferido de los atacantes.
Si su seguridad tecnológica tiene como base el inicio de sesión inicial, está operando con una falsa sensación de seguridad. La realidad técnica es que la confianza se degrada con el tiempo; una sesión que fue segura hace diez minutos puede estar comprometida ahora por un cambio en la postura del dispositivo o un comportamiento anómalo del usuario.
La IA como catalizador de crisis
El informe subraya que los agentes de IA son la nueva "Shadow IT". Son poderosos, omnipresentes y, a menudo, carecen de gobernanza. El riesgo aquí no es solo una filtración de datos, sino una "colisión en cadena" operativa donde un bot mal configurado o comprometido realiza miles de transacciones antes de que los controles estáticos noten algo inusual. La implementación de registros de explicabilidad y autorización delegada no es opcional; es el cinturón de seguridad necesario para que la IA no destruya la resiliencia operativa.
Otro aspecto clave es la fragmentación de herramientas (apilar IDaaS, IGA, CIAM, MFA, PAM) ha creado una complejidad que hoy es el principal enemigo de la agilidad. El 91.5% de los líderes reconoce que una plataforma de identidad unificada es "muy importante". Esta unificación no busca simplemente ahorrar costos, sino permitir que la orquestación comparta contexto entre el usuario, el dispositivo y la aplicación en milisegundos.
En Nubuss comprendemos con claridad que las organizaciones que sigan tratando la identidad como un gasto de IT serán desplazadas por aquellas que la operen como un facilitador de ingresos.
La Confianza Verificada permite decir "sí" más rápido a los usuarios legítimos y "no" de forma automática a las amenazas. Su prioridad no debe ser comprar una herramienta nueva, sino instrumentar la verificación continua en sus flujos de mayor impacto: creación de cuentas, acceso privilegiado e interacciones de agentes de IA.
Comentarios