Un ex-empleado del área de operaciones deja la empresa en términos amistosos. Su cuenta de acceso al sistema de gestión de proveedores permanece activa. Tres meses después, esa cuenta es usada para modificar datos de facturación de ciento veinte proveedores. La investigación forense tarda semanas porque nadie registró cuándo se desactivó —o si se desactivó— la cuenta originalmente.
El control que falló no fue técnico. Fue un proceso que nadie ejecutó.
IAM como función estratégica, no operativa
En la mayoría de las organizaciones, la gestión de identidades y accesos vive en el área de TI como una función de soporte: crear cuentas cuando llega alguien, desactivarlas cuando se va, restablecer contraseñas cuando alguien las olvida. Esa visión es correcta pero radicalmente incompleta.
IAM es el mecanismo que determina qué puede hacer cada persona, sistema o proceso dentro de la organización. Cuando ese mecanismo no está bien diseñado, los atacantes no necesitan explotar vulnerabilidades técnicas: simplemente usan accesos que ya existen, con permisos que nadie ha revisado, desde credenciales que deberían haberse desactivado hace meses. El 80% de las brechas en entornos cloud involucra identidades comprometidas o mal configuradas, según datos de CrowdStrike. En entornos on-premise el patrón no es muy distinto.
Elevar IAM al rango de función estratégica significa reconocer que las decisiones de quién accede a qué —y bajo qué condiciones— son decisiones de riesgo de negocio, no configuraciones técnicas rutinarias.
Las cinco preguntas que un programa de IAM maduro puede responder
La primera: ¿quién tiene acceso a qué sistema hoy? No en teoría, no según el organigrama, sino en el sistema de identidades real con los permisos efectivos actuales. Si la respuesta requiere varios días y varios equipos para construirse, el programa de IAM tiene una brecha fundamental de visibilidad.
La segunda: ¿ese acceso sigue siendo necesario? Los accesos se otorgan con facilidad y raramente se revocan de forma proactiva. Un empleado que cambia de área, un proyecto que termina, un sistema que se migra —en todos esos casos, los accesos anteriores tienden a persistir. La acumulación de accesos que ya no son necesarios es la definición operativa del exceso de privilegio.
La tercera: ¿cómo se verifica que quien accede es quien dice ser? La autenticación con contraseña sola ya no es suficiente. El MFA —autenticación multifactor— es el control con mayor impacto por unidad de esfuerzo en IAM. Microsoft reporta que el MFA bloquea más del 99% de los ataques automatizados de compromiso de cuentas. Y aun así, hay organizaciones que no lo tienen habilitado en todos sus sistemas críticos.
La cuarta: ¿qué hace cada identidad con su acceso? El monitoreo de comportamiento —detectar cuándo una cuenta accede a sistemas que normalmente no usa, en horarios inusuales o desde ubicaciones atípicas— es lo que permite identificar una cuenta comprometida antes de que el daño sea irreversible. Sin ese monitoreo, el atacante que ya tiene credenciales válidas opera con invisibilidad total.
La quinta: ¿qué pasa cuando alguien deja de necesitar acceso? El ciclo de vida completo de una identidad incluye su creación, su mantenimiento y su revocación oportuna. El tercer paso es el más frecuentemente omitido. Un proceso de offboarding que garantice la desactivación inmediata de todos los accesos cuando alguien sale de la organización —o cambia de rol— es uno de los controles más simples y más impactantes que existen.
¿Qué hacer al respecto?
El punto de partida es siempre el mismo: el inventario. Saber exactamente qué identidades existen, qué accesos tienen, cuándo fue el último inicio de sesión de cada una y quién es el responsable de negocio de ese acceso. Sin ese inventario, cualquier iniciativa de IAM opera sobre suposiciones.
El segundo paso es formalizar el proceso de offboarding como un proceso de seguridad, no solo de recursos humanos. Cuando alguien sale de la organización, la desactivación de todos sus accesos —no solo su cuenta principal, sino también los accesos a sistemas SaaS, repositorios de código, plataformas de nube y herramientas colaborativas— debe ocurrir el mismo día, con evidencia documentada de que se ejecutó. Ese proceso requiere coordinación entre recursos humanos, TI y seguridad, y debe estar automatizado al máximo posible para eliminar el riesgo de que alguien lo omita por error.
El tercer paso es implementar revisiones de acceso periódicas con responsables de negocio, no solo con TI. El equipo de TI puede saber que una cuenta existe. El líder de área es quien sabe si la persona que tiene esa cuenta todavía necesita ese acceso para hacer su trabajo. Sin esa conversación, los accesos se acumulan indefinidamente.
¿Tu organización puede garantizar hoy que ningún ex-empleado del último año tiene accesos activos a algún sistema corporativo?
Acciones inmediatas
- Genera un reporte de cuentas activas que no han tenido inicio de sesión en los últimos 60 días. Ese reporte, que la mayoría de los directorios de usuarios puede generar en minutos, revela el inventario de cuentas huérfanas o abandonadas. Cada una es un acceso que un atacante puede usar sin que nadie lo detecte como inusual porque la cuenta lleva meses inactiva.
- Verifica el proceso de offboarding de los últimos tres ex-empleados y confirma que todos sus accesos fueron desactivados. Incluye no solo la cuenta corporativa principal sino los accesos a sistemas SaaS, plataformas de nube, repositorios de código y herramientas de colaboración. La brecha entre lo que el proceso dice que se hace y lo que realmente ocurrió es el diagnóstico más rápido de la madurez de tu ciclo de vida de identidades.
- Habilita MFA en todos los sistemas con acceso a datos sensibles o con permisos de administración, sin excepción. Si hay cuentas exentas de MFA por razones operativas, documenta explícitamente el riesgo que eso representa y el plan para resolverlo. La excepción no documentada es el riesgo más difícil de defender en una auditoría o en una investigación post-incidente.
- Agenda la primera revisión formal de accesos con los líderes de las tres áreas con mayor acceso a información sensible. La revisión no necesita ser exhaustiva en el primer ciclo: necesita establecer el proceso. Una hora de revisión con el director de finanzas sobre quién tiene acceso al sistema de nómina genera más impacto inmediato que semanas de análisis técnico interno.
- Mapea qué sistemas críticos no tienen logging de acceso activo o no generan alertas por comportamiento inusual. Un sistema al que se puede acceder sin que nadie sepa quién entró, cuándo y qué hizo, es un sistema donde el atacante opera con invisibilidad total durante todo el tiempo que necesite. Ese mapa define la prioridad de inversión en monitoreo de identidades.
Si tu organización quiere evaluar y fortalecer su programa de gestión de identidades y accesos como pilar de su estrategia de ciberseguridad, contáctanos en https://tbsek.mx/contacto/.
