Los ataques basados en la identidad se están convirtiendo en el mayor reto de la seguridad informática moderna. Dean Watson, experto jefe en soluciones de redes seguras de Infinigate (Reino Unido e Irlanda), explica cómo los proveedores de servicios gestionados pueden desarrollar servicios de gestión de identidades y accesos (IAM) resilientes, y qué tecnologías son fundamentales para ello.
La superficie de ataque de las organizaciones ha cambiado significativamente en los últimos años: los ciberdelincuentes explotan cada vez más las debilidades de la identidad humana como punto principal de acceso a datos sensibles. Ya no se trata únicamente de un robo rápido de información, sino de infiltrarse profundamente en las infraestructuras mediante identidades comprometidas y mantener acceso persistente dentro de ellas.
Por ello, los proveedores de servicios gestionados deben ofrecer mucho más que simples licencias de autenticación multifactor (MFA).
Como demuestran incidentes recientes, como el ocurrido en Figure Technology Solutions, el perfilado de empleados se ha convertido en una táctica altamente efectiva. Combinando información pública con direcciones de correo corporativo fáciles de adivinar, los atacantes reconstruyen credenciales válidas a gran escala y logran evadir los mecanismos de seguridad tradicionales.
Sin embargo, el verdadero riesgo comienza después del primer acceso exitoso. Grupos como Scattered Spider exfiltran bases de datos completas de identidad para hacerse pasar por usuarios legítimos mediante técnicas de “masquerading”. Equipados con estas llaves maestras digitales, los atacantes pueden desplazarse de forma invisible por las redes sin activar alertas de seguridad.
Para los proveedores de servicios TI, esto significa que vender únicamente licencias MFA ya no es suficiente para proteger a las empresas frente a las amenazas actuales. Un servicio moderno de identidad gestionada debe centrarse en la supervisión continua del comportamiento de los usuarios y basarse en tres pilares operativos fundamentales.
La arquitectura de los servicios de identidad resilientes
Un sistema eficaz de Identity Access Management (IAM) no es una solución estándar aplicable a todos los casos. Las necesidades, objetivos y entornos específicos de cada cliente determinan qué controles de identidad son realmente efectivos.
En lugar de centrarse exclusivamente en herramientas concretas, es más útil definir tres funciones esenciales que todo servicio gestionado debe ofrecer.
1. Coverage: eliminar los puntos ciegos
Sin visibilidad completa no puede existir una supervisión efectiva.
En este contexto, Coverage significa que la solución IAM debe actuar como una “Single Source of Truth”, es decir, como la fuente central y única de información para todo el ecosistema corporativo.
En infraestructuras complejas y heredadas, los sistemas legacy representan un riesgo importante, ya que muchos no son compatibles de forma nativa con protocolos modernos de autenticación. Un servicio gestionado resuelve este problema mediante soluciones proxy o tecnologías de contenedorización que integran estos sistemas antiguos en una gestión centralizada de identidades.
2. Correlation: de los registros al análisis del comportamiento
Debido a la complejidad de las redes modernas, revisar manualmente los datos de acceso resulta inviable.
Aquí es donde los servicios gestionados aportan valor mediante capacidades de correlación. El sistema debe analizar automáticamente la información de inicio de sesión e identificar patrones sospechosos.
Un ejemplo típico es el escenario conocido como “Impossible Travel”, en el que la misma identidad inicia sesión desde ubicaciones geográficas incompatibles en un intervalo de tiempo imposible.
El objetivo es que los sistemas automatizados detecten anomalías potenciales para que los expertos en TI solo intervengan cuando exista una amenaza real y validada.
3. Reporting: combatir la fatiga de alertas
La calidad de una solución IAM no debe medirse por la cantidad de alertas generadas, sino por la relevancia de estas.
Un sistema eficaz de reporting debe proporcionar información clara y accionable (“Actionable Intelligence”) que permita tomar decisiones rápidas.
Además, es fundamental definir rutas de escalamiento que garanticen que los responsables de seguridad y administradores solo reciban alertas ante amenazas reales, mientras que el ruido operativo sea filtrado automáticamente.
El objetivo final es reducir el tiempo medio de respuesta (Mean Time to Respond) mediante datos útiles y minimizar la sobrecarga causada por alertas innecesarias.
Tecnologías habilitadoras para los servicios gestionados
Para implementar correctamente estos tres pilares, las organizaciones necesitan tecnologías que vayan más allá de los modelos tradicionales de asignación estática de permisos.
La autenticación basada en riesgos (Risk-Based Authentication, RBA) actúa como una capa dinámica de control que solo solicita verificaciones adicionales cuando se superan determinados umbrales de riesgo.
En lugar de imponer barreras rígidas de autenticación para todos los usuarios, el sistema evalúa cada sesión individualmente utilizando datos contextuales.
La base de datos necesaria para ello proviene de las soluciones User and Entity Behaviour Analytics (UEBA). Mediante algoritmos de aprendizaje automático, UEBA crea perfiles de comportamiento habituales, incluyendo horarios de trabajo típicos, dispositivos utilizados o ubicaciones IP frecuentes.
Cuando una actividad se desvía significativamente de estos patrones normales, el sistema solicita automáticamente una verificación adicional o bloquea preventivamente el acceso.
FIDO2 como nuevo estándar
A pesar de los avances en analítica y automatización, las contraseñas siguen siendo el punto más débil de cualquier arquitectura de seguridad.
Por ello, la integración de passkeys basadas en FIDO2 se está convirtiendo en el estándar para los servicios gestionados.
Los tokens físicos y las passkeys basadas en software eliminan prácticamente los vectores de ataque relacionados con phishing y password guessing.
Las organizaciones que implementan FIDO2 de manera consistente pueden neutralizar aproximadamente el 90 % de los intentos de acceso anómalos, ya que dejan de existir credenciales transferibles que puedan ser robadas mediante ingeniería social.
Implementación: una hoja de ruta operativa para partners de canal
La construcción de un servicio gestionado de identidad requiere una transformación sistemática del modelo operativo.
1. Construir resiliencia interna (Self-Audit)
Antes de ofrecer soluciones de identidad a sus clientes, los proveedores de servicios gestionados deben asegurar primero su propia infraestructura.
Dado el aumento de ataques dirigidos a la cadena de suministro, es imprescindible proteger los accesos administrativos mediante MFA y FIDO2.
Esto no solo reduce riesgos internos, sino que además sirve como referencia validada para futuros proyectos de clientes.
2. Estandarizar el stack tecnológico
En el ámbito de los servicios gestionados, la rentabilidad depende en gran medida de la estandarización.
Los proveedores no necesitan soportar decenas de soluciones IAM distintas. Concentrarse en una o dos plataformas principales —frecuentemente incluyendo Microsoft Entra ID— permite desarrollar una experiencia técnica más profunda y desplegar flujos de trabajo automatizados de forma eficiente en múltiples entornos de clientes.
3. Desarrollar un concepto de onboarding
La migración de directorios de usuarios existentes suele representar el mayor desafío operativo al iniciar el servicio.
Un proceso defectuoso puede provocar interrupciones críticas para el negocio si las estructuras de permisos se transfieren incorrectamente o si usuarios legítimos quedan excluidos.
Por ello, adquiere gran importancia un manual de onboarding estandarizado que regule paso a paso la migración de identidades, la integración de sistemas legacy y la creación inicial de perfiles de usuario sin interrumpir la operación.
4. Revisiones continuas
La protección de identidades nunca debe considerarse un estado estático.
Las amenazas evolucionan constantemente, al igual que los requisitos de compliance y regulación.
Por este motivo, una solución madura debe incluir revisiones trimestrales para adaptar políticas y umbrales de riesgo a nuevos patrones de ataque.
El objetivo es mejorar continuamente las tasas de detección mientras se reducen simultáneamente los falsos positivos.
Conclusión: la identidad como fundamento de la ciberresiliencia
El desplazamiento de los vectores de ataque hacia la capa de identidad obliga a empresas y proveedores de servicios TI a replantear sus estrategias de ciberseguridad.
A medida que técnicas como el masquerading permiten eludir las barreras de seguridad tradicionales, la supervisión continua y la correlación de patrones de acceso se convierten en elementos centrales de la defensa moderna.
Para los partners de canal, la creación de valor ya no se limita a la venta de licencias, sino que se orienta hacia la protección continua de las infraestructuras de identidad.
Un servicio resiliente de identidad gestionada requiere no solo herramientas tecnológicas, sino también la integración operativa entre monitorización avanzada y procesos rápidos de respuesta.
Cuando los tres pilares —Coverage, Correlation y Reporting— se implementan de forma consistente y se refuerzan mediante estándares como FIDO2, los riesgos relacionados con identidades no solo pueden detectarse, sino también neutralizarse de manera proactiva.
El Dr. Jakob Jung es redactor jefe de Security Storage y Channel Germany. Lleva más de 20 años trabajando en el periodismo especializado en TI. A lo largo de su carrera ha colaborado con Computer Reseller News, Heise Resale, Informationweek, Techtarget (almacenamiento y centros de datos) y ChannelBiz. Además, colabora como freelance con numerosas publicaciones del sector de las TI, entre las que se incluyen Computerwoche, Channelpartner, IT-Business, Storage-Insider y ZDnet. Sus temas principales son el canal, el almacenamiento, la seguridad, los centros de datos, los sistemas ERP y CRM.
Contacto – Contacto por correo electrónico: jakob.jung@security-storage-und-channel-germany.de