¿Qué es una identidad en ciberseguridad?
- Glosario IAM
- ¿Qué es una identidad en ciberseguridad?
Una identidad en ciberseguridad es un conjunto único de atributos que se utilizan para representar a una entidad con fines de identificación y autenticación. Aunque la identidad se asocia generalmente con las cuentas de usuario, una entidad también puede ser una máquina, una aplicación, un servicio o un agente de IA. Cada una requiere su propia identidad para que los sistemas puedan reconocerla y verificarla, determinar qué tiene permitido hacer, a qué recursos puede acceder y qué acciones puede realizar. La identidad en ciberseguridad crea la base para dos funciones de seguridad principales: la autenticación y la autorización. Sin una forma de establecer la identidad, ni la autenticación ni la autorización son posibles, lo que convierte a la gestión de identidades en una parte crucial de una estrategia de seguridad.
Por qué las identidades importan en ciberseguridad
Cada solicitud de acceso está vinculada a una identidad. Ya sea que un usuario inicie sesión en un servicio, una aplicación consulte una base de datos o un script ejecute un proceso, cada identidad se utiliza para determinar si una solicitud puede autenticarse y qué acceso debe autorizarse. Dado que una sola identidad comprometida puede otorgar acceso a información sensible y sistemas críticos, las identidades son objetivos de alto valor para los ciberdelincuentes.
El principal desafío es la dispersión de identidades, que es la proliferación de identidades no gobernadas en entornos locales, híbridos y en la nube. A medida que las organizaciones adoptan más servicios en la nube e integraciones de terceros, el número de identidades crece de manera acelerada, lo que hace cada vez más difícil monitorearlas y gestionarlas. La IA también está acelerando el crecimiento de identidades en las organizaciones, y con frecuencia los equipos de TI y seguridad carecen de visibilidad sobre el número de identidades o su radio de impacto.
Las cuentas huérfanas, las licencias sobreprovisionados y las cuentas de servicio no monitorizadas amplían la superficie de ataque. Dado que los ataques basados en identidad, como el robo de credenciales y el phishing, se encuentran de manera constante entre los vectores de ataque más prevalentes en ciberseguridad, las credenciales deben protegerse para garantizar que las identidades permanezcan seguras.
¿Qué atributos conforman una identidad en ciberseguridad?‑
Una identidad se define por un conjunto único de características que permiten a los sistemas reconocer, verificar y distinguir una entidad de otra. Estos atributos varían según el tipo de entidad, pero algunos de los más comunes incluyen:
- Nombre de usuario
- Dirección de correo electrónico
- Dirección IP
- Certificados
- Claves criptográficas
- Señales de comportamiento
- Roles and permissions
- Membresías de grupo
- Metadatos
- Información de la sesión
Ningún atributo por sí solo define completamente una identidad. Cuando se evalúan en conjunto, estos atributos permiten a los sistemas de seguridad tomar decisiones contextuales al identificar anomalías de comportamiento, aplicar controles de acceso dinámicos y reducir la dependencia de cualquier factor individual que pueda ser falsificado o comprometido.
Tipos de identidades en ciberseguridad
Las identidades en ciberseguridad van más allá de las cuentas de usuario individuales, ya que cualquier entidad que interactúe con un entorno digital puede tener una identidad. Estas entidades se dividen en cuatro categorías principales:
- Identidades humanas
- Identidades no humanas (NHI)
- Identidades de máquina y de aplicación
- Acciones y recursos
Identidades humanas
Las identidades humanas representan a personas que se autentican e interactúan directamente con los sistemas, incluidos empleados, clientes, administradores y usuarios privilegiados. Estas identidades suelen estar vinculadas a credenciales individuales como nombres de usuario y contraseñas, y están regidas por proveedores de identidad (IdP). Dado que las identidades humanas son frecuentemente blanco de ciberataques, requieren controles de autenticación sólidos y monitoreo continuo.
Identidades no humanas (NHI)
Las NHI son identidades digitales que incluyen cuentas de servicio, aplicaciones, cargas de trabajo, API y agentes de IA. Estas identidades suelen depender de credenciales como claves de API, secretos, tokens y certificados para autenticarse. A diferencia de las identidades humanas, las NHI generalmente operan de forma continua en segundo plano, lo que hace que los equipos de seguridad las pasen por alto con facilidad. Esto es exactamente lo que las hace tan peligrosas: las NHI tienden a tener privilegios excesivos y a permanecer sin gestión durante períodos prolongados. Sin una gobernanza adecuada, las NHI se convierten en puntos de entrada para que los ciberdelincuentes obtengan acceso no autorizado de forma silenciosa, se muevan lateralmente y escalen privilegios.
Identidades de máquina y de aplicación
Las identidades de máquina forman parte de la infraestructura física y virtual que compone los entornos digitales. Los servidores, los endpoints y los dispositivos de Internet de las cosas (IoT) deben autenticarse antes de poder comunicarse a través de una red. Las identidades de aplicación abarcan la capa de software, incluidas las bases de datos, los servicios en la nube y las plataformas SaaS que se autentican entre sí de forma regular para funcionar. Esta comunicación entre servicios es una parte clave de la infraestructura en la nube moderna, y la identidad es lo que la hace segura. Sin identidades de máquina y de aplicación autenticadas, las organizaciones no tienen una forma fiable de garantizar que solo los sistemas de confianza intercambien datos.
Acciones y recursos como contexto de identidad
Las acciones y los recursos no tienen identidades de la misma manera que los usuarios y las máquinas, pero están asociados con identidades y políticas de acceso. Las acciones como consultas, ejecuciones y conexiones de red siempre se realizan en el contexto de una identidad, lo que genera contexto conductual y registros esenciales para la detección de amenazas y el cumplimiento normativo. Los recursos como archivos, entradas de bases de datos y unidades compartidas suelen estar regidos por políticas de acceso que definen qué identidades pueden interactuar con ellos y qué pueden hacer. En conjunto, las acciones y los recursos proporcionan las capas contextuales y conductuales necesarias que permiten a los sistemas evaluar el riesgo, detectar actividad sospechosa y aplicar controles más estrictos cuando la actividad se desvía de la norma.
Identidad, autenticación y autorización
Aunque están estrechamente relacionados, la identidad, la autenticación y la autorización son tres conceptos distintos que funcionan en secuencia para regular el acceso en sistemas seguros. La identidad se refiere a quién o qué es una entidad, junto con el conjunto de atributos que la definen. La autenticación es el proceso mediante el cual se verifica esa identidad, confirmando que la entidad es quien dice ser a través de una contraseña, un certificado o un dato biométrico.
La autenticación multifactor (MFA) refuerza esto al requerir dos o más de estos factores. En cambio, la autorización es lo que la identidad verificada tiene permitido hacer, como leer un archivo pero no modificarlo, o ejecutar una acción específica. En conjunto, estos tres conceptos forman la columna vertebral del control de acceso, y un fallo en cualquiera de las capas puede comprometer la seguridad de todo el sistema.
Cómo las organizaciones gestionan y protegen las identidades
La gestión de identidades es una parte fundamental de los modelos de seguridad de confianza cero. En lugar de otorgar acceso amplio basado en la ubicación en la red o un único inicio de sesión, la confianza cero asume que ninguna identidad debe ser de confianza por defecto y requiere la verificación continua de identidades y solicitudes de acceso. La seguridad basada en identidad hace que las prácticas sólidas de gestión de identidades sean esenciales. A continuación se presentan varias formas en que las organizaciones pueden gestionar y proteger las identidades:
- Reforzar el acceso con privilegios mínimos A cada identidad se le deben otorgar únicamente los permisos mínimos necesarios. El acceso de privilegio mínimo debe aplicarse en cada capa y revisarse periódicamente para eliminar los permisos que ya no son necesarios y reducir el riesgo de explotación.
- Utiliza MFA en todas partes: La MFA requiere que una entidad verifique su identidad mediante dos o más factores. Debe aplicarse de forma universal, especialmente en cuentas privilegiadas y usuarios con acceso remoto a sistemas críticos.
- Implementar la gestión de acceso privilegiado (PAM): Las soluciones PAM proporcionan control centralizado sobre cuentas privilegiadas. Permiten a las organizaciones aplicar controles de acceso granulares, exigir verificación adicional para operaciones críticas y mantener registros de auditoría detallados.
- Rotar credenciales y secretos automáticamente: Las credenciales que rara vez o nunca cambian son vulnerabilidades persistentes. La rotación automatizada garantiza que las credenciales y los secretos de todas las identidades se actualicen periódicamente, lo que limita la ventana de oportunidad para los ciberdelincuentes.
- Monitorear y registrar la actividad de sesión: El monitoreo y la grabación continuos de sesiones crean un registro en tiempo real de lo que las identidades hacen con su acceso. Combinado con análisis de comportamiento, el monitoreo de sesiones permite a las organizaciones identificar amenazas que eluden la autenticación al aprovechar credenciales legítimas pero comprometidas.
- Proteger identidades de máquina y flujos de trabajo automatizados: Las máquinas tienen identidades que deben gestionarse con el mismo estándar que los usuarios humanos. Las organizaciones deben mantener un inventario completo de identidades de máquina y garantizar que los flujos de trabajo automatizados operen bajo permisos auditados periódicamente.
- Gobernar agentes de IA: Los agentes de IA consultan sistemas e interactúan con infraestructura de forma autónoma con creciente frecuencia, por lo que deben tratarse como identidades distintas sujetas a la misma gobernanza que las demás entidades. Sin una gobernanza adecuada de identidades para los agentes de IA, las organizaciones corren el riesgo de que identidades altamente capaces queden sin supervisión, poniendo en peligro sus entornos.