La idea original era modesta. Me senté a escribir una guía breve sobre gobierno de identidades, algo de unas pocas páginas que pudiera servir como referencia rápida. Dos meses después tenía un paper de trece secciones que cubre desde criptografía de passkeys hasta la psicología del MFA fatigue, pasando por Zero Trust, PAM, ITDR y la gestión de identidades no humanas. No fue planeado. Simplemente, cada vez que empezaba a investigar un tema, me caía por un agujero de conejo y aparecían tres cosas más que no podía ignorar.
Lo que más me sorprendió fue descubrir qué tan grande es el mapa de IAM. Yo sabía que era un área amplia, pero no dimensionaba la cantidad de dominios especializados que toca. No es solo "usuarios y contraseñas". Es arquitectura, es política organizacional, es cumplimiento normativo, es psicología del comportamiento, es criptografía aplicada. Y en cada una de esas capas hay décadas de investigación, exploits, fracasos y lecciones aprendidas.
ITDR: la pieza que no sabía que faltaba
De todo lo que investigué, lo que más me voló la cabeza fue Identity Threat Detection and Response (ITDR). Hasta que empecé a leer sobre ataques como Golden Ticket, DCSync, MFA Fatigue y AiTM phishing, no entendía del todo por qué tener buenos controles IAM no alcanza. Podés tener el RBAC más limpio del mundo, MFA en todos lados y cero cuentas huérfanas, y aún así un atacante puede clonar tickets de Kerberos o bombardear a tu CEO con notificaciones de MFA hasta que aprueba una a las 3 de la mañana. ITDR cierra ese gap: no solo gobierna quién puede hacer qué, sino que detecta activamente cuándo alguien está tratando de eludir esos controles. Para mí fue un antes y después en cómo pienso la seguridad de identidades.
Passkeys y el fin de las contraseñas
Otro tema que me dejó pensando mucho fue el de las passkeys. El concepto es elegantemente simple: un par de claves asimétricas donde la clave privada nunca sale del dispositivo, el servidor nunca ve un secreto compartido, y la autenticación es resistente a phishing por diseño. Llevamos décadas escuchando que "las contraseñas están rotas", pero FIDO2 es la primera alternativa que realmente escala y que los grandes vendors (Apple, Google, Microsoft) están adoptando en serio. Lo loco es que el cambio no es solo técnico: es un cambio de paradigma en cómo pensamos la autenticación. Y para los equipos IAM, eso implica repensar flujos enteros de provisioning, recuperación de accesos y gestión de credenciales. Me parece que en los próximos años vamos a ver una transición masiva, y el que no se prepare ahora va a correr atrás.
Identidades no humanas: el elefante en la sala
El dato que más me alarmó investigando fue que en muchas organizaciones hay más identidades no humanas que humanas. Cuentas de servicio, API keys, tokens de CI/CD, certificados. Y reciben una fracción de los controles que aplicamos a las personas. Están hardcodeadas en repositorios, tienen permisos excesivos, sus credenciales no rotan. Si un atacante compromete una cuenta de servicio, puede tener acceso persistente durante meses sin que nadie lo note. Es un vector de ataque enorme que la mayoría de las organizaciones sigue ignorando. Este es uno de esos temas que una vez que lo ves, no podés dejar de verlo en todos lados.
Lo técnico es lo de menos
La parte más difícil de escribir fue el capítulo sobre desafíos reales. Porque ahí no hay tecnología que te salve. La shadow IT, la fricción con los usuarios, la deuda técnica de sistemas legacy, el factor humano que hace que alguien apruebe un push de MFA sin pensar porque el teléfono no para de sonar. Todo eso es política organizacional, cultura, procesos. Me di cuenta de que un especialista en IAM necesita entender de criptografía pero también de cómo negociar con el negocio, de cómo hacer que la seguridad no sea un obstáculo sino un facilitador. Y eso no se enseña en los cursos técnicos.
Las organizaciones que invierten en IAM de forma seria no solo tienen mejor seguridad: operan con más eficiencia, tienen mejor experiencia de usuario y cumplen regulaciones con menos esfuerzo.
Por qué IAM es la base de todo
Cerrando el paper me quedó una convicción que antes no tenía tan clara: IAM no es un componente más de la seguridad, es la capa fundamental. Toda brecha significativa termina involucrando identidades de alguna forma. No importa si es ransomware, exfiltración de datos, un insider o un APT: en algún punto del kill chain hay una identidad que fue comprometida, mal configurada o mal gestionada. No hay firewall, EDR ni segmentación de red que compense una identidad mal gobernada.
Si trabajás en seguridad y no le estás dando a IAM la atención que merece, te recomiendo que arranques hoy. No hace falta implementar Zero Trust de golpe ni comprar la herramienta más cara. Empezá por lo básico: mapeá tus identidades, limpiá permisos, implementá MFA, automatizá el offboarding. El paper que escribí cubre todo eso en detalle, pero más que el contenido técnico, lo que espero transmitir es la idea de que IAM es un viaje, no un proyecto. Y vale la pena recorrerlo.
El paper completo está en mis manuales de estudio, pero si alguien quiere leerlo, sé que el conocimiento tiene que circular. Mientras tanto, seguramente va a haber más posts desglosando algunas de estas ideas con más profundidad.