Si hay un tema que en los últimos años pasó de ser un "nice to have" a ser una prioridad de negocio, ese es el gobierno de identidades. Y cuando hablamos de Zero Trust, la identidad no es un componente más: es el nuevo perímetro.
El modelo tradicional ya no alcanza
Hasta no hace mucho, el IAM (Identity & Access Management) se resumía en: dar de alta usuarios, asignar grupos, auditar accesos una vez al año si quedaba tiempo. Funcionaba en un mundo donde la red corporativa era el castillo y el firewall el foso.
Ese modelo asumía que si estabas dentro de la red, eras confiable. Hoy sabemos que eso es una receta para el desastre. El ransomware, el compromiso de cuentas privilegiadas y el movimiento lateral dependen exactamente de esa confianza implícita.
"Nunca confíes, siempre verifica." — El principio fundamental de Zero Trust aplica primero y ante todo a la identidad.
Los pilares de IAM en Zero Trust
En mi experiencia trabajando con plataformas como NetIQ y OneIdentity, hay cuatro pilares que sostienen una estrategia de IAM alineada con Zero Trust:
1. Governance continuo
Las campañas de certificación de accesos ya no pueden ser un ejercicio anual de 2 semanas. Necesitamos certificación continua: revisar en tiempo real quién tiene acceso a qué, detectar anomalías y revocar privilegios automáticamente cuando algo no cuadra.
2. Privileged Access Management (PAM)
Las cuentas privilegiadas son el vector más crítico. Un PAM bien implementado no se limita a guardar contraseñas en un cofre: debe registrar sesiones, hacer check-out/check-in de credenciales, rotar contraseñas automáticamente y auditar cada comando ejecutado.
3. Identity Analytics
El machine learning aplicado a la identidad permite detectar comportamientos anómalos: un admin que se conecta desde una IP inusual a las 3 AM, una cuenta de servicio que de repente solicita acceso a un recurso sensible. Todo esto debe disparar alertas o acciones automáticas.
4. Automatización de ciclo de vida
Desde el onboarding hasta el offboarding, cada cambio en el estado de un empleado (o contratista, o partner) debe reflejarse en los sistemas de identidad de forma automática y auditada. Sin planillas Excel, sin tickets manuales, sin demoras de 48 horas.
Un ejemplo concreto: NetIQ Identity Governance
Trabajando con NetIQ Identity Governance, uno de los procesos que más valor aporta es la certificación por aplicación. En lugar de pedirle a un manager que revise 500 accesos de una sola vez, se segmenta por aplicación crítica y se distribuye la revisión entre los dueños de cada sistema.
# Ejemplo conceptual: query de accesos no revisados en los últimos 90 días
# (lógica simplificada de un sistema de governance)
accessos = get_all_entitlements()
no_revisados = [a for a in accessos
if a.last_review_date < (now - 90d)]
for acceso in no_revisados:
if acceso.risk_score > 70:
auto_revoke(acceso)
notify_manager(acceso)
Este nivel de automatización no solo reduce la carga operativa, sino que minimiza la ventana de exposición de accesos innecesarios o riesgosos.
El desafío de las identidades no humanas
Un punto que muchas implementaciones subestiman son las identidades no humanas: cuentas de servicio, API keys, tokens, certificados. En un entorno cloud-native, suelen haber más identidades no humanas que humanas, y gestionarlas con el mismo rigor es fundamental.
Si una cuenta de servicio tiene permisos de administrador en producción y nunca se audita, tenés un backdoor esperando a ser descubierto.
Conclusión
El IAM ya no es solo "la herramienta que da acceso". Es el sistema nervioso de la ciberseguridad en cualquier organización moderna. Sin un gobierno de identidades sólido, no hay Zero Trust posible. Sin automatización, no hay escala. Sin analytics, no hay visibilidad.
Y al final del día, la identidad sigue siendo lo único que realmente podemos controlar.