El perímetro tradicional de seguridad, basado en firewalls y segmentación de red, se ha disuelto. La adopción masiva del cloud, el trabajo híbrido, las arquitecturas de microservicios y la explosión de dispositivos conectados han difuminado los límites de la red corporativa, dejando a las organizaciones sin un punto único de control. En este nuevo escenario, la identidad emerge como el denominador común que atraviesa redes, endpoints, aplicaciones y entornos multicloud, convirtiéndose en el nuevo perímetro de seguridad.

El fin del perímetro clásico

Rodrigo Jiménez del Val, responsable de Ingeniería y Arquitectura de Ciberseguridad en CyberProof (UST), lo explica con claridad: “El perímetro tradicional —basado en firewalls y segmentación de red— se ha disuelto”. La razón es la transformación digital: los datos y las aplicaciones ya no residen dentro de un único centro de datos protegido, sino que se distribuyen en múltiples nubes, dispositivos y ubicaciones. En este contexto, la identidad se convierte en el único elemento común que permite verificar quién accede a qué, desde dónde y con qué privilegios.

El modelo Zero Trust —“nunca confíes, verifica siempre”— sitúa la identidad como primer pilar de la estrategia de seguridad, según el marco NIST SP 800-207. Además, la regulación europea impulsa esta tendencia: el artículo 21 de la directiva NIS2 exige controles IAM, MFA para accesos críticos y principios Zero Trust a unas 160.000 entidades en la UE, mientras que el artículo 9 del reglamento DORA (aplicable desde enero de 2025) obliga a las entidades financieras a implementar controles de gestión de identidades y accesos en su marco de riesgo TIC.

La identidad como punto de control central

Martín Trullás, director de Soluciones Avanzadas de Ingram Micro España, señala que “durante años, la ciberseguridad se ha apoyado en un perímetro relativamente definido: redes corporativas, sistemas internos, etc. Pero ese modelo ha evolucionado de la mano del cloud, el trabajo híbrido y la proliferación de dispositivos y aplicaciones distribuidas”. El Thales 2026 Data Threat Report confirma que el robo de credenciales es el principal vector de ataque contra la infraestructura cloud, citado por el 67% de las organizaciones que han sufrido incidentes. “Si la identidad falla, el resto de los controles pierde eficacia”, subraya Eutimio Fernández, responsable Regional de Ventas para Iberia en Thales Cybersecurity Products.

Óscar Vierge, director de Cuentas Estratégicas de Serval Networks, añade: “Hoy en día, un empleado accede a los datos críticos de la empresa desde su casa, un aeropuerto o una cafetería; el nuevo punto de contacto y el único elemento común en cada transacción es la identidad”. Las organizaciones ya no operan desde redes corporativas cerradas, sino en entornos híbridos y distribuidos con usuarios remotos, aplicaciones SaaS, infraestructuras multicloud, API, workloads efímeros y agentes automatizados. “El firewall perimetral sigue siendo necesario, pero ya no es donde se decide la seguridad”, afirma Rafael Rosell Tejada, director de Ingresos (CRO) en S2GRUPO.

El Verizon DBIR muestra año tras año que la mayoría de las brechas implican abuso de credenciales o identidades legítimas. Incidentes como Okta en 2023, Midnight Blizzard contra Microsoft en 2024 o la campaña contra clientes de Snowflake comparten patrón: no se explota una vulnerabilidad técnica, sino una identidad válida. “El atacante ya no entra, inicia sesión”, sentencia Rosell Tejada. Por eso, IAM, PAM e Identity Threat Detection and Response (ITDR) ocupan una posición estratégica, junto con Zero Trust, que sustituye la confianza implícita por verificación continua basada en contexto y riesgo.

El riesgo de las identidades no humanas

Javier Torres, Arquitecto de Soluciones de Ciberseguridad en Westcon-Comstor Iberia, alerta sobre “el problema más subestimado del sector”: las identidades máquina —claves API, tokens, workloads automatizados, agentes de IA— ya superan en número a las humanas, pero muchos programas IAM siguen diseñados para personas. “El resultado es un punto ciego estructural: máquinas que operan con privilegios excesivos, credenciales que no rotan y accesos que nadie revoca”, explica. Eutimio Fernández añade que “una identidad humana comprometida tiene un radio de acción limitado; pero una identidad máquina comprometida puede moverse lateralmente, acceder a datos sensibles o desencadenar procesos automatizados a gran escala”. El informe Bad Bot 2026 de Thales muestra que el 53% del tráfico global de Internet es automatizado y el 27% de los ataques de bots se dirigen a API.

La solución, según Torres, pasa por tratar las identidades no humanas con el mismo rigor que las humanas: inventario completo, rotación automática de credenciales, almacenamiento en bóvedas seguras y visibilidad continua. “El objetivo es que tengan el mismo ciclo de vida, trazabilidad y controles de seguridad que los usuarios humanos”, concluye.

CIEM: gestión de permisos en la nube

Cloud Infrastructure Entitlement Management (CIEM) se centra en aplicar el principio de mínimo privilegio en entornos cloud. Ross McKerchar, CISO de Sophos, explica que “los permisos de acceso se multiplican en entornos cloud modernos; cada aplicación, carga de trabajo e integración introduce derechos que permanecen activos mucho después de caducar su finalidad”. CIEM proporciona visibilidad continua de los permisos en entornos multi-cloud, pero McKerchar advierte que “la visibilidad por sí sola no es suficiente. En Sophos, consideramos que CIEM es más eficaz cuando se combina con ITDR. CIEM reduce la superficie de ataque al identificar permisos excesivos, mientras que ITDR supervisa cómo se usan las identidades y responde ante comportamientos sospechosos”.

Carlos Arnal Cardenal, responsable de Marketing de Producto en WatchGuard Technologies, aclara la diferencia con IAM: “IAM gestiona identidades en toda la organización, mientras que CIEM se especializa en la parte cloud, donde los entornos cambian más rápido y las herramientas tradicionales se quedan cortas”. Su valor real está en pasar de “creemos que está bien configurado” a evidencia medible.

Errores frecuentes y tendencias

Gorka Sainz, director de Ingeniería de Sistemas de Fortinet Iberia, señala como errores comunes la gestión excesivamente permisiva de accesos, cuentas con privilegios innecesarios, usuarios activos tras cambios de rol, carencias en MFA y fragmentación de herramientas IAM. Vincent Nguyen, director de ciberseguridad en Stoïk, añade cinco tendencias clave: consolidación de ITDR como categoría propia, gobernanza específica de identidades no humanas (NHI Management), convergencia de IAM, CIEM, ITDR, PAM y secrets management en plataformas unificadas (Identity Fabric), la entrada masiva de agentes de IA como nueva clase de identidad, y la combinación de regulación (NIS2, DORA, Cyber Resilience Act) y seguro cyber que empujan la gobernanza de identidad de buena práctica a obligación demostrable.

Marcos Arévalo Pérez, consultor IAM en Factum, pronostica que “vamos a seguir viendo una apuesta fuerte por modelos Zero Trust, accesos más contextuales y privilegios mucho más controlados, sobre todo en cuentas críticas. También creo que el passwordless va a crecer en el ámbito del usuario”. Finalmente, Carlos Arnal Cardenal advierte que “las soluciones dominantes en seguridad de identidad hoy tienden a estar diseñadas para grandes corporaciones, pero el grueso del tejido empresarial son pymes que dependen de MSP para diagnosticar sus riesgos y operar la tecnología. Atender bien ese modelo es una decisión de diseño, no un añadido”.

Para profundizar en cómo la gobernanza de identidades se relaciona con la inteligencia artificial, te recomendamos nuestro artículo Snowflake compra Natoma: la gobernanza de agentes IA como nueva frontera empresarial. Además, la disciplina de tokens y la seguridad en entornos cloud son cruciales; consulta Opus 4.8: Claude más inteligente, disciplina de tokens más urgente. Para una base sólida, no te pierdas nuestro artículo sobre Hardening y mantenimiento de servidores Linux.

Fuente original: ComputerWorld. Análisis y adaptación por ForgeNEX.