La identidad es hoy el verdadero perímetro de la ciberseguridad

Durante años, la ciberseguridad se construyó alrededor de sistemas, infraestructura y controles visibles. Pero hoy el negocio ya no gira alrededor de perímetros claros ni de oficinas centralizadas.

Antes de levantarse, alguien, casi siempre fuera de agenda, lanza una pregunta incómoda:

“¿Quién controla realmente los accesos en la organización?”

El silencio suele durar más que cualquier explicación técnica.

La escena es familiar. Junta de comité de ciberseguridad. El reporte avanza con orden: incidentes del trimestre, avances del plan, indicadores en verde. Alguien pregunta si estamos “mejor que el año pasado”. La respuesta es afirmativa. Se cierra el punto y se pasa al siguiente tema.

No es una pregunta operativa. Es una pregunta estratégica. Y, sin embargo, pocas veces está en el centro de la conversación.

Durante años, la ciberseguridad se construyó alrededor de sistemas, infraestructura y controles visibles. Tenía sentido. Pero hoy el negocio ya no gira alrededor de perímetros claros ni de oficinas centralizadas. Gira alrededor de personas, proveedores, automatización y accesos distribuidos. En ese contexto, el verdadero perímetro ya no es la red. Es la identidad.

Quién puede hacer qué, cuándo y en nombre de quién dentro del negocio define mucho más el riesgo real que cualquier arquitectura tecnológica.

Por eso la identidad debería estar explícitamente en la estrategia de ciberseguridad, en el plan director o en el marco que guía las decisiones del año. No como un apéndice técnico, sino como un eje central. Y, por consecuencia, debería reflejarse en los indicadores con los que la alta dirección y el consejo evalúan madurez y exposición al riesgo.

Aquí aparece una confusión frecuente, incluso en organizaciones avanzadas: medir desempeño no es lo mismo que medir riesgo. Los KPIs (indicadores clave de desempeño) muestran si algo se está haciendo: tiempos de respuesta, cumplimiento de procesos, cobertura de controles. Son necesarios para operar. Los KRIs (indicadores clave de riesgo) muestran la probabilidad de que algo salga mal: acumulación de accesos privilegiados, identidades sin un responsable claro, cuentas activas que sobreviven a las personas, dependencias críticas concentradas en un solo rol.

Ambos son importantes, pero cumplen funciones distintas. El problema es que muchas estrategias de ciberseguridad se quedan en KPIs que tranquilizan, mientras los KRIs que realmente anticipan un incidente no están definidos, no se miden o no se discuten a nivel ejecutivo.

La identidad debería ser uno de esos KRIs centrales.

En investigaciones reales de incidentes este patrón se repite. En es muy común en los casos que atendemos que el detonante no fue un ataque sofisticado ni una falla tecnológica. Fue el mal uso de una cuenta privilegiada. Una cuenta válida, con permisos excesivos o los suficientes, utilizada de forma indebida. El acceso existía, estaba autorizado y nadie lo había cuestionado.

Ahí se rompe la narrativa cómoda de “falló la tecnología”. No falló. Falló la forma en que se gobernaban las identidades.

Incluso los administradores necesitan límites. Especialmente los administradores. El acceso total y permanente no es una muestra de confianza; es una concentración de riesgo. La gestión de accesos privilegiados (PAM) no es una sofisticación innecesaria, sino el reconocimiento de que el poder operativo también debe estar acotado, revisado y auditable.

Este riesgo se amplifica de manera dramática en las PYMES. En muchas, el administrador de red tiene acceso a todo: sistemas, datos, respaldos, usuarios. No por mala intención, sino por practicidad. “Siempre se ha hecho así”. Pero cuando una sola identidad concentra toda la operación, el negocio queda atado a una persona, a una cuenta y a un punto único de falla. Un modelo basado en roles y privilegios controlados no frena la operación; la vuelve sostenible.

Y aquí aparece un actor que rara vez ocupa el lugar que debería en estas conversaciones: Recursos Humanos.

RH suele participar al inicio y al final del ciclo: altas y bajas, pero la identidad no es un evento puntual; es un proceso vivo. Cambios de rol, promociones, proyectos temporales, accesos excepcionales que nunca se revocan. Todo eso ocurre en el día a día del negocio, y RH es quien mejor entiende el contexto humano detrás de esas decisiones.

Cuando RH está fuera de la estrategia de ciberseguridad, la identidad se convierte en un problema técnico. Cuando está dentro, se convierte en una herramienta de gobierno. No para vigilar personas, sino para asegurar que los accesos reflejen la realidad organizacional, no la historia acumulada de decisiones pasadas.

Dar accesos es fácil. Quitarlos incomoda. Revisarlos exige disciplina. Por eso se otorgan mucho más de lo que se auditan. Y por eso la identidad termina siendo uno de los riesgos más subestimados en los comités.

Centrar la estrategia de ciberseguridad en la identidad no significa obsesionarse con controles ni frenar al negocio. Significa aceptar que el riesgo ya no entra por donde solía entrar. Entra por accesos heredados, privilegios no revisados y confianzas que nadie cuestiona porque “siempre han estado ahí”.

En simulaciones de crisis basadas en identidad, la reacción suele ser distinta. No hay un atacante externo evidente. Hay confusión interna. “¿Esa cuenta era válida?”, “¿ese proveedor debía tener ese acceso?”, “¿quién autorizó esto?”. La conversación deja de ser técnica y se vuelve estratégicamente incómoda.

Y ahí es donde el consejo debería sentirse interpelado. Porque si la identidad es hoy el verdadero perímetro del negocio, no puede quedar fuera de la estrategia, del plan director ni de los KRIs que guían la toma de decisiones.

La pregunta relevante ya no es cuántas herramientas tenemos, sino cuántas identidades pueden afectar el negocio hoy… y si realmente sabemos por qué tienen ese poder.

Al final, los incidentes más costosos no ocurren porque alguien rompe una barrera, sino porque nadie recuerda por qué esa puerta seguía abierta. La identidad es hoy el verdadero perímetro de la ciberseguridad.

Autor: Forbes. Andrés Velázquez.