De la seguridad perimetral a la identidad como seguridad

Por Danny Bradbury • 15 de enero de 2026

Hoy en día, es imposible ver un evento de seguridad sin encontrar la frase "confianza cero". Es una palabra de moda, sí, pero útil. En esencia, se trata de un cambio fundamental en el enfoque de la seguridad, que se aleja de la seguridad perimetral.

“Confianza cero” es un término antiguo que apareció en el lenguaje de la industria alrededor de 2010, pero sus principios se remontan a antes, al Foro de Jericó, una reunión de altos ejecutivos de ciberseguridad.

Los miembros de Jericho acuñaron el término «desperimetrización» alrededor de 2004. Esto reconocía que un perímetro de protección de «anillo de hierro» alrededor de la red empresarial ya no era suficiente. A medida que los contratistas y otros socios comerciales obtenían mayor acceso a la red, la idea de un «interior» y un «exterior» se volvió cada vez más arcana. La red, que en su día era un castillo con foso, se había convertido en una ciudad, con múltiples puertas y una multitud que entraba y salía libremente.

La desperimetrización y su sucesora, la confianza cero, centraron su atención en la protección de los activos individuales dentro de la red. La mejor manera de lograrlo es autenticar continuamente quién accedía a esos activos y qué se les permitía hacer con ellos. Esto implicó centrarse en la identidad como la nueva seguridad.

Quienes no hagan esa transición se arriesgan a más infracciones. Informe sobre el estado de la seguridad de la información del SGSI 2025 Incluso lo cifra: las brechas de autenticación se multiplicaron por diez el año pasado, del 2% al 20% de los incidentes. La filtración de datos de Verizon confirma que las credenciales siguen siendo el principal vector de ataque.

Por qué las credenciales se han convertido en la llave maestra

¿Por qué las credenciales se convirtieron en la clave de los sistemas empresariales? En parte, se debe a la evolución del edge. Hoy en día, es difícil siquiera definir el edge de la red, ya que gran parte de él se encuentra disperso entre diferentes centros de datos regionales y servicios en la nube. El trabajo híbrido también influyó, acelerando la necesidad de que las personas accedan a la red de forma remota.

Otro factor impulsor ha sido la economía del robo de información, que se ha industrializado. Este malware robó 2.1 millones de credenciales solo en 2024. según GoogleUna vez que una campaña de robo de información obtiene credenciales de inicio de sesión, estas son fáciles de vender en la red oscura, y los atacantes de robo de credenciales pueden luego usarlas para alterar las puertas digitales en Internet.

Cuando logran un éxito y desbloquean otra cuenta, los atacantes pueden estar seguros de que tendrán mucho tiempo para explotar esa cuenta secuestrada y escapar. 292 días en promedioLas violaciones de credenciales también son las que tardan más en detectarse, según IBM.

Los usuarios no humanos ahora superan en número a los humanos

Hay otra razón por la que la identidad ha cobrado cada vez mayor importancia como parte de la seguridad: las identidades no humanas. Antiguamente, los principales usuarios de los recursos informáticos empresariales eran las personas. Hoy, gracias a los microservicios, las API y una creciente generación de servicios de IA agentic, los usuarios no humanos... humanos superados en número 144:1 en las empresas durante 2025. Esto representó un aumento del 56% respecto al año anterior.

El crecimiento de los agentes de IA es especialmente relevante en este caso, ya que estos servicios se están volviendo más autónomos. A medida que las organizaciones adquieren mayor confianza en la automatización de la IA, es más probable que otorguen mayor responsabilidad a estos agentes. El porcentaje de estos servicios con acceso privilegiado aumentará.

La identidad es fundamental

Estas tendencias explican por qué los marcos de cumplimiento se centran en la identidad. La norma ISO 27001:2022 Anexo A 5.15-5.18 codifica los controles de identidad como parte de un conjunto más amplio de medidas organizativas que abarcan el control de acceso, la gestión de la identidad, la información de autenticación y los derechos de acceso.

Los marcos de control de seguridad robustos comparten un denominador común: cada identidad debe ser única, el mínimo privilegio debe ser la norma y ser auditable. La autenticación multifactor (MFA) debería ser obligatoria para el acceso privilegiado.

El enfoque de estos marcos en la identidad es oportuno, ya que los reguladores están prestando mucha más atención a esta cuestión. ENISA describe La AMF como una forma inteligente de demostrar que cumple con la norma NIS 2. Las empresas deben prestar atención, ya que esta regulación de la UE conlleva sanciones de hasta 10 millones de euros o el 2 % de la facturación global para las organizaciones que no la cumplan.

Hacia una postura de seguridad centrada en la identidad

Entonces, ¿cómo pueden las empresas adoptar una postura de seguridad basada en la identidad que sea independiente de perímetros amorfos?

Existen componentes concretos que sustentan la confianza cero. Uno de ellos es una sólida gestión de identidades y accesos, que implica garantizar que cada usuario, servicio y máquina esté identificado de forma única y autenticado continuamente.

La MFA es una forma clara de evitar el secuestro de cuentas, pero conlleva riesgos. La fatiga con la MFA es real, y los proxies también pueden usarse para interceptar sesiones de MFA, y los ladrones de información pueden robar tokens de sesión. El robo de tokens puede eludir por completo algunas MFA. En 2024, Microsoft... Se detectaron 147,000 ataques de repetición de tokens, un 111% más que el año anterior.

La autenticación sin contraseña mediante claves de acceso es otra forma de evitar que las personas sean víctimas de ataques de phishing. También puede frenar algunos comportamientos que a los usuarios finales les cuesta abandonar al intentar realizar su trabajo, como compartir contraseñas para facilitar el acceso.

Estos cambios pueden parecer abrumadores para muchas organizaciones, especialmente para aquellas que han conformado su infraestructura de TI a partir de múltiples sistemas a lo largo del tiempo, mediante adquisiciones, equipos fragmentados y cambios tecnológicos estratégicos. Sin embargo, pueden facilitar las cosas si comienzan con algunos principios clave.

Implemente los controles ISO 27001 Anexo A 5.15-5.18 como punto de partida. Estos le guiarán en la implementación de las mejores prácticas de políticas de acceso, gestión del ciclo de vida de la identidad y estándares de autenticación. Un marco como este le proporcionará una base sólida en gobernanza mediante medidas como las revisiones periódicas de acceso.

Acepte inventariar las identidades no humanas con el mismo rigor que se aplica a los empleados. Realice un análisis de brechas y determine qué se necesitaría para contabilizar exhaustivamente todas las cuentas de servicio y sus certificados TLS o claves API, por ejemplo.

En definitiva, el objetivo es aceptar que la seguridad de la identidad es ahora un componente fundamental de la gestión de la seguridad. Al fin y al cabo, no se puede proteger lo que no se puede autenticar.

danny bradbury

Danny Bradbury ha sido periodista impreso especializado en tecnología desde 1989 y escritor independiente desde 1994. Ha escrito para publicaciones nacionales en ambos lados del Atlántico y ha ganado premios por su trabajo de periodismo de investigación en ciberseguridad.

Lea más de Danny Bradbury

La seguridad cibernética 5 de Febrero de 2026

Por qué los reguladores y los inversores esperan que las empresas aborden un triple riesgo

Las organizaciones se preocupan por los riesgos de seguridad y privacidad. Y, más recientemente, han prestado atención al riesgo de la IA. Pero, ¿con qué frecuencia piensan en...?

danny bradbury

La seguridad cibernética 18 December 2025

Cómo navegar por el laberinto de cumplimiento de IA en EE. UU.

Cómo navegar por el laberinto del cumplimiento normativo de la IA en EE. UU.

En materia de regulación, el término «Estados Unidos» es un oxímoron. Las leyes estatales están lejos de estar unificadas, y cada jurisdicción tradicionalmente...

danny bradbury

La seguridad cibernética 20 November 2025

Lo que las brechas de seguridad de Salesforce nos enseñan sobre la responsabilidad compartida

2025 no ha sido un buen año para los clientes de Salesforce. Un grupo criminal sin escrúpulos lanzó una serie de ataques contra sus clientes, afectando finalmente a...

danny bradbury