Seguridad de Identidad: IAM y autenticación moderna

·

La identidad se ha convertido en el nuevo perímetro de seguridad. Cuando las aplicaciones viven en la nube, los empleados trabajan desde casa y los proveedores acceden a sistemas internos, el firewall corporativo deja de ser la frontera que protege a la organización. Lo que protege de verdad es la respuesta correcta a dos preguntas: ¿quién eres? (autenticación) y ¿qué tienes permitido hacer? (autorización). La gestión de identidades y accesos, conocida por sus siglas en inglés IAM (Identity and Access Management), es la disciplina que responde a ambas de forma sistemática, auditable y reproducible.

Este artículo recorre los componentes técnicos del IAM moderno, los protocolos estándar que lo sustentan, la normativa aplicable en España y la Unión Europea, y los pasos concretos para implantar autenticación robusta sin entorpecer la experiencia del usuario.

Qué es IAM y por qué el perímetro ya no basta

IAM es el conjunto de políticas, procesos y tecnologías que garantiza que las personas y los servicios adecuados accedan a los recursos adecuados, en el momento adecuado y por los motivos adecuados. Comprende cuatro funciones nucleares: la autenticación (verificar la identidad), la autorización (decidir qué puede hacer esa identidad), la administración (alta, baja y modificación de cuentas a lo largo de su ciclo de vida) y la auditoría (registro de quién accedió a qué y cuándo).

El modelo de seguridad dominante en 2026 es Zero Trust («confianza cero»), formalizado por el NIST en la publicación especial SP 800-207. Su principio rector es «nunca confíes, verifica siempre»: ninguna petición se considera fiable por el hecho de provenir de la red interna. Cada acceso se evalúa de forma continua en función de la identidad, el estado del dispositivo, la ubicación y el contexto. IAM es el motor que hace operativo Zero Trust, porque toda decisión de acceso parte de una identidad verificada.

Autenticación: contraseñas, MFA y el camino hacia passwordless

La contraseña, por sí sola, es un factor débil. Según los informes anuales de brechas de seguridad, las credenciales robadas o reutilizadas siguen siendo el vector de intrusión más común. La autenticación multifactor (MFA) mitiga este riesgo exigiendo dos o más factores de categorías distintas: algo que sabes (contraseña, PIN), algo que tienes (un teléfono, una llave física) y algo que eres (huella, rostro).

No todos los segundos factores ofrecen la misma protección. El envío de códigos por SMS es vulnerable al intercambio fraudulento de SIM (SIM swapping) y a la interceptación de la red SS7; las directrices del NIST SP 800-63B desaconsejan el SMS como factor de alta garantía. Las aplicaciones de códigos temporales (TOTP, basadas en el estándar RFC 6238) son notablemente más seguras. El máximo nivel actual lo aportan las llaves de seguridad FIDO2/WebAuthn, resistentes al phishing porque la credencial criptográfica está vinculada al dominio legítimo y nunca abandona el dispositivo.

El horizonte es la autenticación passwordless mediante passkeys, claves de acceso basadas en criptografía asimétrica que sustituyen por completo a la contraseña. El usuario se autentica con la biometría o el PIN de su dispositivo, y este firma un reto criptográfico. No hay secreto compartido que robar, por lo que el phishing tradicional deja de funcionar.

SSO y federación: SAML, OAuth 2.0 y OpenID Connect

El inicio de sesión único (SSO, Single Sign-On) permite que un usuario se autentique una sola vez y acceda después a múltiples aplicaciones sin volver a introducir credenciales. Esto reduce la fatiga de contraseñas, disminuye los tickets de soporte y centraliza el control de accesos. Tres protocolos sostienen el SSO moderno:

ProtocoloFunción principalFormatoCaso de uso típico
SAML 2.0Autenticación y SSO empresarialXMLAplicaciones corporativas, SSO B2B
OAuth 2.0Autorización delegada (acceso a recursos)Tokens JSON/JWTAPIs, acceso de terceros a datos
OpenID ConnectAutenticación sobre OAuth 2.0JWT (ID Token)Login social, apps web y móviles

Conviene no confundirlos: OAuth 2.0 es un marco de autorización, no de autenticación; resuelve cómo una aplicación obtiene permiso para acceder a recursos en nombre del usuario. OpenID Connect (OIDC) añade una capa de identidad sobre OAuth 2.0 y emite un token de identidad (ID Token) firmado que sí prueba quién es el usuario. SAML sigue siendo el caballo de batalla del SSO empresarial clásico, especialmente en integraciones con proveedores de identidad consolidados.

Autorización: del RBAC al ABAC y el principio de mínimo privilegio

Una vez verificada la identidad, hay que decidir qué puede hacer. El control de acceso basado en roles (RBAC) agrupa permisos en roles (por ejemplo, «contabilidad», «administrador de sistemas») y asigna roles a los usuarios. Es sencillo de gobernar y suficiente para la mayoría de organizaciones. El control de acceso basado en atributos (ABAC) es más granular: las decisiones dependen de atributos del usuario, del recurso y del contexto (departamento, hora, ubicación, sensibilidad del dato), y se expresan como políticas evaluables en tiempo real.

Sobre cualquiera de los dos modelos rige el principio de mínimo privilegio: cada identidad recibe solo los permisos imprescindibles para su función, y nada más. Su complemento operativo es el acceso just-in-time, que concede privilegios elevados de forma temporal y los revoca automáticamente, reduciendo la superficie de ataque de las cuentas privilegiadas.

Ciclo de vida de la identidad y aprovisionamiento

Una identidad nace cuando alguien se incorpora, cambia cuando se mueve de puesto y debe morir el día que se va. El aprovisionamiento automatizado mediante el estándar SCIM (System for Cross-domain Identity Management) sincroniza altas, bajas y modificaciones entre el directorio corporativo y las aplicaciones SaaS. El mayor riesgo aquí es el deprovisioning tardío: cuentas de exempleados que siguen activas semanas después de la baja. Una gobernanza de identidad madura ejecuta revisiones de acceso periódicas y desactiva cuentas huérfanas de forma sistemática.

Marco normativo: RGPD, NIS2 y esquemas de certificación

El Reglamento General de Protección de Datos (RGPD) exige aplicar medidas técnicas apropiadas para garantizar la seguridad del tratamiento (artículo 32), entre las que el control de accesos y la trazabilidad son piezas centrales. En España, la Agencia Española de Protección de Datos (AEPD) orienta sobre la implantación de estas medidas. La Directiva NIS2, traspuesta al ordenamiento de los Estados miembros, refuerza las obligaciones de ciberseguridad para sectores esenciales e importantes e incluye expresamente el control de accesos y la autenticación multifactor entre las medidas exigibles. A nivel de gestión, la norma ISO/IEC 27001 y su catálogo de controles ISO/IEC 27002 detallan los requisitos de gestión de identidades, autenticación y revisión de accesos dentro de un sistema de gestión de seguridad de la información.

Gestión de accesos privilegiados (PAM)

No todas las identidades son iguales. Las cuentas privilegiadas —administradores de sistemas, de bases de datos, de dominio— concentran un poder desproporcionado y son el objetivo predilecto de cualquier atacante: comprometer una de ellas suele equivaler a comprometer la organización entera. La gestión de accesos privilegiados (PAM, Privileged Access Management) es la disciplina específica que protege estas cuentas mediante bóvedas de credenciales que rotan las contraseñas automáticamente, sesiones supervisadas y grabadas, y elevación de privilegios just-in-time que concede los permisos durante una ventana acotada y los revoca al terminar.

El principio que sostiene PAM es que nadie debería tener acceso administrativo permanente «por si acaso». Cada uso de un privilegio elevado deja rastro auditable, se justifica con un motivo y caduca solo. Combinado con MFA y con el registro centralizado de eventos, PAM cierra una de las brechas más explotadas en los incidentes graves de seguridad: las credenciales de administración olvidadas, compartidas o nunca rotadas.

Errores comunes que comprometen un despliegue IAM

Preguntas frecuentes

¿MFA y 2FA son lo mismo? La verificación en dos pasos (2FA) es un caso particular de MFA con exactamente dos factores. MFA es el término genérico para dos o más factores.

¿SSO no aumenta el riesgo al concentrar el acceso en una sola credencial? El SSO concentra el punto de autenticación, por eso debe protegerse con MFA robusta. A cambio elimina la proliferación de contraseñas débiles y reutilizadas, que es un riesgo mayor en la práctica.

¿Las passkeys eliminan la necesidad de MFA? Una passkey combina en un solo gesto posesión (el dispositivo) e inherencia o conocimiento (biometría o PIN), por lo que ya constituye autenticación fuerte resistente al phishing; no requiere un segundo factor adicional.

¿Por dónde empezar si no tengo IAM? Por activar MFA en las cuentas privilegiadas y de administración, inventariar las identidades existentes y eliminar las cuentas huérfanas. Es el cambio de mayor impacto con menor coste.

Conclusión

La seguridad de la identidad no es un producto que se compra una vez, sino una práctica continua de verificación. La organización que adopta MFA resistente al phishing, centraliza el acceso con SSO sobre protocolos estándar, aplica el mínimo privilegio mediante RBAC o ABAC y automatiza el ciclo de vida de las cuentas elimina de un plumazo los vectores de intrusión más explotados: credenciales robadas, cuentas huérfanas y privilegios olvidados. El destino es un entorno passwordless gobernado por Zero Trust, donde cada acceso se evalúa por su contexto y donde robar una contraseña deja de tener sentido porque ya no hay contraseñas que robar. En Summum Sistemas diseñamos arquitecturas IAM que avanzan hacia ese destino sin sacrificar la productividad de los equipos.