Por Jorge Merchán Lima, Gerente de Seguridad de la Información, CEDIA
El incremento de ataques vinculados a credenciales expone las debilidades en la gestión de accesos. En Ecuador, la madurez es heterogénea y persisten brechas en control, visibilidad y gobierno de identidades en entornos cada vez más distribuidos.
Ejes de análisis
- La identidad como nuevo perímetro de seguridad
- Prácticas y errores frecuentes en la gestión de identidades
- Recomendaciones para fortalecer la gestión de identidades
Ecuador se encuentra en una etapa de transición en materia de gestión de identidades y accesos; durante años muchas organizaciones operaron bajo esquemas tradicionales centrados únicamente en usuario y contraseña, sin contexto de acceso ni control centralizado, un enfoque que hoy ya no responde al nivel de exposición actual.
Si observamos el comportamiento regional, entre el 60 % y el 70 % de los ciberataques exitosos en Latinoamérica se originan en credenciales comprometidas o en suplantación de identidad [1], lo que confirma que la identidad se ha convertido en uno de los principales vectores de ataque.
En el sector privado, sobre todo en industrias reguladas, sí se evidencian avances hacia modelos más robustos, con autenticación multifactor, federación de identidad y mayor trazabilidad; sin embargo, en el sector público todavía persisten entornos fragmentados, con sistemas que no conversan entre sí y con controles desiguales. Desde nuestra perspectiva, el reto en Ecuador no es únicamente tecnológico, sino también de estandarización, gobernanza e interoperabilidad entre instituciones.
La madurez es claramente heterogénea y depende mucho del sector. El financiero suele mostrar un nivel más alto por exigencias regulatorias y por la propia criticidad del negocio; sectores como retail e industria están avanzando, pero todavía con brechas operativas importantes; y en el sector público aún se observan rezagos relevantes en control de accesos, revisión de privilegios y desprovisión oportuna.
Esto se vuelve aún más sensible si consideramos que el sector educativo, muy vinculado al ecosistema de CEDIA, es actualmente uno de los más atacados a nivel global, con un promedio de 4.356 ataques semanales por organización y 3.164 en América Latina [2].
Las principales brechas siguen siendo la ausencia de MFA, cuentas activas que no se deshabilitan a tiempo, privilegios acumulados y débil control sobre accesos de terceros; y el riesgo es directo, porque aproximadamente el 80 % de los incidentes de ransomware utilizan credenciales comprometidas para moverse lateralmente dentro de la red [3]. En la práctica, una cuenta abandonada o mal administrada puede convertirse en el punto de entrada más simple para un atacante.
La identidad como nuevo perímetro de seguridad
Lo que ha cambiado es el modelo operativo de las organizaciones. El perímetro tradicional prácticamente desapareció y hoy la operación se da en entornos híbridos, distribuidos y altamente expuestos, con servicios en la nube, trabajo remoto, aplicaciones SaaS y dispositivos personales accediendo desde múltiples ubicaciones.
Más del 70 % de las organizaciones han acelerado la adopción de modelos cloud e híbridos en los últimos años [4], y eso obliga a replantear la seguridad: ya no basta con confiar en la red interna o en el firewall como barrera principal. Ahora el punto de control más importante es la identidad, porque es ahí donde se valida quién accede, desde dónde, con qué nivel de riesgo y con qué privilegios.
En sectores como el académico, esta realidad es aún más evidente, porque el acceso puede producirse desde cualquier parte del mundo y en cualquier horario; por eso, la identidad se ha convertido en el nuevo perímetro de seguridad.
Hablar de IAM no es hablar únicamente de autenticación o contraseñas, sino de un modelo operativo integral que acompaña todo el ciclo de vida de la identidad dentro de la organización. Esto implica provisión de accesos, autenticación, autorización, monitoreo, revisión periódica de privilegios y desprovisión inmediata cuando una persona cambia de rol o deja la institución.
También supone una articulación real entre Recursos Humanos, Tecnología, Seguridad y Gobernanza, porque si la información base no es confiable, el proceso completo falla. Además, hay un impacto operativo importante: entre el 30 % y el 40 % de los tickets de soporte están relacionados con problemas de contraseñas [5], lo que demuestra que una estrategia moderna de IAM no solo fortalece la seguridad, sino que también mejora la eficiencia, reduce carga operativa y disminuye errores administrativos que luego terminan convirtiéndose en brechas.
Prácticas y errores frecuentes en la gestión de identidades
En nuestra experiencia, una de las prácticas más efectivas ha sido la implementación de identidad federada y Single Sign-On, porque permite que cada institución mantenga el control sobre sus identidades sin exponer credenciales a terceros y, al mismo tiempo, simplifica la experiencia del usuario.
Cuando esto se complementa con autenticación multifactor, el impacto es muy significativo: el uso combinado de identidad centralizada y MFA puede bloquear más del 99 % de los ataques automatizados [4]. Esto tiene un efecto directo tanto en seguridad como en operación, porque reduce la superficie de ataque, mejora la trazabilidad, disminuye la fatiga del usuario frente a múltiples credenciales y permite pasar de una postura reactiva a una postura mucho más preventiva y controlada.
El error más frecuente es pensar que IAM se resuelve únicamente adquiriendo una herramienta, cuando en realidad el problema de fondo suele estar en los procesos, en la calidad del dato y en la falta de gobierno sobre la identidad. Si la información que proviene de Recursos Humanos no está actualizada, si no existe claridad sobre roles y perfiles o si no se revisan periódicamente los accesos, cualquier tecnología termina automatizando desorden.
Es muy común también, la acumulación de privilegios, especialmente cuando los usuarios cambian de puesto, proyecto o responsabilidad y conservan accesos que ya no necesitan; esto también ocurre con proveedores o terceros que mantienen permisos por tiempo indefinido.
En entornos cloud, más del 75 % de las brechas están asociadas a configuraciones incorrectas o permisos excesivos [7], lo que demuestra que el problema no es solo técnico, sino de disciplina operativa y control continuo.
Recomendaciones para fortalecer la gestión de identidades
Para fortalecer la gestión de identidades, especialmente en entornos digitales y de nube, la primera prioridad debería ser implementar autenticación multifactor en todos los servicios críticos y especialmente en cuentas privilegiadas, porque es una medida de alto impacto y rápida efectividad.
Después de eso, es fundamental avanzar hacia esquemas de Zero Trust, donde ninguna conexión o usuario se considere confiable por defecto y cada acceso deba validarse de manera continua según contexto, postura y riesgo.
Un aspecto que no puede seguir relegándose es la gestión de identidades no humanas, porque hoy existen múltiples credenciales asociadas a servicios, aplicaciones, APIs, bots y procesos automatizados; de hecho, se estima que hay al menos 10 identidades de máquina por cada identidad humana [6], y estas suelen quedar fuera de los controles tradicionales.
El primer paso siempre debe ser ganar visibilidad: identificar qué identidades existen, qué accesos tienen, cuáles ya no deberían estar activas y qué sistemas concentran mayor riesgo. Sin inventario y sin una fuente única de verdad, cualquier iniciativa de fortalecimiento nace incompleta.
Luego, conviene avanzar con medidas de alto impacto, como MFA en cuentas críticas, revisión de privilegios, desactivación de cuentas obsoletas y definición de políticas mínimas de acceso por rol.
Lo que debería evitarse es intentar una implementación total de IAM en un solo esfuerzo, porque ese enfoque tipo “Big Bang” suele generar fricción, retrasos y bajo nivel de adopción; de hecho, más del 50 % de los proyectos IAM fracasan cuando intentan desplegarse de forma integral desde el inicio [8]. Lo más efectivo es avanzar de manera progresiva, priorizando riesgos, procesos críticos y madurez organizacional.
Referencias
- [1] IBM – Data Breach
- https://www.ibm.com/think/topics/data-breach
- [2] Check Point Research – Cyber Attacks Surge Against Education Sector
- https://blog.checkpoint.com/research/cyber-attacks-surge-against-education-sector-ahead-of-back-to-school-season/
- [3] IBM Security / Threat Intelligence Reports (ransomware y credenciales)
- https://www.ibm.com/security/data-breach
- [4] Microsoft – Digital Defense Report 2023
- https://cdn-dynmedia-1.microsoft.com/is/content/microsoftcorp/microsoft/final/en-us/microsoft-brand/documents/MDDR-executivesummary-Oct2023.pdf
- [5] Avatier – Hidden Cost of Password Reset
- https://www.avatier.com/blog/hidden-cost-of-password-reset/
- [6] CyberArk – Machine Identities Report
- https://www.cyberark.com/press/machine-identities-outnumber-humans-by-more-than-80-to-1-new-report-exposes-the-exponential-threats-of-fragmented-identity-security/
- [7] Protiviti – Cloud Security Misconfiguration
- https://www.protiviti.com/nl-en/insights-paper/protect-your-cloud-environment-with-cnapp
- [8] Avatier – Why IAM Projects Fail
- https://www.avatier.com/blog/why-companies-struggle-im/