Durante años, la seguridad de TI fue un castillo con foso. El firewall era la muralla: adentro estaban tus servidores, tus archivos y tu gente, y adentro se confiaba; afuera estaba el peligro. Tenía sentido cuando todo lo importante vivía dentro del edificio. Pero el trabajo se mudó —a la nube, al SaaS, al teléfono personal, a la casa del empleado— y la muralla se quedó rodeando un castillo medio vacío.
Hoy tus correos viven en Microsoft 365, tu CRM en un servicio que renta alguien más, tus archivos en almacenamiento que no ves. ¿Qué tienen todos en común? Que se entra con una identidad: un usuario y su credencial. Y ahí está el giro que lo cambia todo: si un atacante consigue credenciales válidas, no derriba ninguna muralla. Entra por la puerta principal, con la llave correcta, y para el sistema es un usuario legítimo más.
Por qué la identidad es el nuevo perímetro
Cuando el recurso a proteger ya no está detrás de tu firewall sino en la nube de un tercero, el control que te queda no es la red: es quién puede entrar y qué puede hacer una vez dentro. Por eso el robo de credenciales lleva años siendo uno de los principales vectores de intrusión: es más barato robar una llave que forzar una puerta. La identidad dejó de ser un trámite administrativo y se volvió el plano de control de la seguridad.
Dos preguntas que no son la misma: autenticación y autorización
Toda identidad se juega en dos momentos que conviene no confundir. La autenticación responde "¿eres quien dices ser?" —la contraseña, el segundo factor, la huella—. La autorización responde "¿qué tienes permitido tocar?" —a qué archivos, sistemas y acciones llegas—. Un buen control de identidad exige las dos: verificar bien la entrada y limitar con precisión el alcance. Fallar en la primera deja pasar al impostor; fallar en la segunda convierte una cuenta comprometida cualquiera en un desastre total.
Las cinco piezas de esta serie
Entender la identidad como perímetro significa entender dónde vive y cómo se gobierna. Cada pieza tiene su artículo:
- Dónde vive la identidad on-premise: el veterano que sigue mandando en la mayoría de las empresas. → Active Directory.
- Dónde vive en la nube: y por qué no es lo que crees. → Entra ID (ex Azure AD).
- Las dos a la vez: el escenario real de casi todos. → Identidad híbrida.
- Cómo se gobierna el acceso: roles, mínimo privilegio y el ciclo de vida de una cuenta. → IAM en cristiano.
- Las llaves maestras: por qué las cuentas de administrador son otro juego. → PAM.
El error de fondo: tratar la identidad como un trámite
En muchas empresas, crear y borrar usuarios es una tarea mecánica que se despacha entre el alta de RRHH y un ticket de soporte. El problema es que cada cuenta es una puerta, y cada permiso, una llave. Tratar eso como papeleo —y no como el control de seguridad más importante que tienes— es cómo terminan las cuentas del empleado que se fue hace meses todavía activas, los permisos que se acumulan sin que nadie los revise, y el administrador que usa su cuenta de máximo poder para revisar el correo. La identidad bien hecha empieza por reconocer que es seguridad, no logística.
La puerta principal: primero, cerrar bien la entrada
Todo lo que sigue en esta serie se apoya en un cimiento no negociable: verificar bien quién entra. El control más rentable que existe para eso es el MFA y el acceso condicional —el segundo factor y las reglas de "desde dónde, con qué equipo, en qué condiciones se permite entrar"—. Ninguna arquitectura de identidad elegante sirve si la puerta principal se abre solo con una contraseña robada.
La pregunta que vale la pena hacerse
Si mañana se filtrara la contraseña de un empleado cualquiera —no un administrador, uno normal—, ¿qué tan lejos llegaría quien la use? Si la respuesta te incomoda, tu perímetro no es tu firewall: es tu identidad, y aún no la estás tratando como tal. Por dónde empezar a ordenarla es lo que hacemos en un assessment de seguridad.