La identidad es un derecho fundamental: nos da nombre, nacionalidad y reconocimiento legal; es la llave que abre la puerta a derechos sociales, políticos y civiles.
Con la evolución tecnológica, esa identidad también ha dado el salto al mundo virtual, dando origen a la identidad digital, que hoy no se otorga únicamente a las personas, sino también a máquinas, aplicaciones y dispositivos. En otras palabras, existen identidades humanas y no humanas, ambas igual de críticas para operar en el actual entorno de negocios.
Revisemos rápidamente cada una de ellas. Las identidades humanas son aquellas que la gente utiliza a diario, como usuarios, contraseñas, biometría, cuentas de correo o accesos a plataformas. Las identidades no humanas, por su parte, están formadas por identificadores únicos como tokens, certificados digitales o claves API asignadas a aplicaciones, bots, servicios en la nube o dispositivos que operan de forma automática.
La correcta integración y manejo de ambas dentro de los esquemas de gestión de identidades y accesos (IAM) es clave para evitar robos de identidad y ciberataques. Sin embargo, estas identidades se han convertido en uno de los blancos favoritos de los ciberdelincuentes.
AL, un terreno fértil
A nivel global, y particularmente en México y América Latina (AL) las identidades digitales están bajo presión constante.
De acuerdo con un reporte de Eye Security, el 97% de los incidentes observados involucran credenciales comprometidas. Es decir, los atacantes no siempre “tiran la puerta”; muchas veces simplemente entran con llaves válidas que se dejaron expuestas.
Herramientas como Business Email Compromise (BEC) y el secuestro de cuentas representan más del 70% de los incidentes registrados. En la mayoría de los casos, el eslabón más débil sigue siendo el factor humano.
La región enfrenta un escenario complejo debido a una amplia gama de factores, incluyendo una digitalización acelerada, impulsada por la adopción de aplicaciones móviles, el crecimiento del ecosistema Fintech y la banca digital, y una mayor inclusión financiera.
Sin embargo, este avance convive con controles de seguridad insuficientes y una cultura de ciberseguridad aún en maduración. Organizaciones latinoamericanas en sectores como el financiero, energético y manufacturero están bajo creciente presión, muchas veces con falta de personal especializado, infraestructura de identidad limitada y mecanismos de autenticación débiles.
En México, además, las filtraciones de datos personales en instituciones públicas han puesto en evidencia que las bases de datos con información sensible son un blanco prioritario. Esto incrementa el riesgo de fraude financiero, suplantación de identidad y uso indebido de datos personales.
Tendencias globales de gran impacto
Ahora bien, algunas dinámicas internacionales están redefiniendo el panorama regional. Echemos un breve vistazo a cada una de ellas:
- La economía del acceso y evolución del crimen. El ciberdelito se ha profesionalizado. Hoy existen mercados clandestinos donde se venden credenciales robadas, tokens de acceso y datos personales. El ransomware, por ejemplo, ya no siempre depende de vulnerabilidades técnicas, muchas veces utiliza accesos legítimos previamente comprometidos.
- La inteligencia artificial como arma de doble filo. La IA está potenciando ataques más sofisticados: campañas de phishing automatizadas, correos y mensajes hiperrealistas, y ataques que imitan comportamientos humanos para evadir controles.
Lo anterior eleva el nivel de riesgo tanto para individuos como para organizaciones.
Para las personas, la suplantación de identidad puede significar fraudes financieros, control indebido de cuentas bancarias por parte de terceros, extorsión, daño reputacional y bloqueo de acceso a servicios médicos o trámites gubernamentales.
Para las organizaciones, en tanto, las consecuencias incluyen acceso no autorizado a sistemas críticos, secuestro de cuentas privilegiadas, interrupciones operativas, pérdida de confianza de clientes y reguladores y, en casos extremos, sanciones económicas y penalizaciones.
Recomendaciones clave
Desde Minsait se proponen cinco líneas de acción esenciales enfocadas a cuidar las identidades digitales humanas y no humanas de forma efectiva.
1) Detectar y responder a amenazas a las identidades. Identity Threat Detection and Response (ITDR) permite identificar uso indebido de credenciales válidas, movimientos laterales, abuso de privilegios e incluso ataques que superan la autenticación multifactor. Analiza comportamientos, detecta escalamiento de privilegios y activa respuestas automatizadas.
2) Gestionar accesos privilegiados. El Privileged Access Management (PAM) protege cuentas críticas, especialmente las administrativas. Incluye prácticas como acceso Just in Time, resguardo seguro de credenciales en bóvedas digitales (vaulting), monitoreo y grabación de sesiones y rotación automática de credenciales.
3) Gobernanza y administración de identidades. Una estrategia de Identity Governance and Administration (IGA) evita la acumulación indebida de privilegios, y sirve de marco para ITDR y PAM. IGA establece el entorno necesario para ofrecer certificaciones periódicas de acceso, validando las credenciales mediante procesos automatizados para periodos específicos; asimismo, realiza la segregación de funciones para que las credenciales tengan acceso de mínimo privilegio, automatiza el ciclo de vida de las identidades y elimina las identidades “huérfanas”.
4) Autenticación sin contraseñas y resistente al phishing. El enfoque passwordless reemplaza las contraseñas tradicionales por métodos más robustos como biometría, llaves físicas o notificaciones seguras en dispositivos móviles.
5) Protección de identidades no humanas. Cuentas de servicio, API Keys, tokens, secretos en entornos DevOps y cargas en la nube deben gestionarse con el mismo rigor que las identidades humanas. En la región, este sigue siendo uno de los puntos más descuidados.
Protección para el perímetro
En México y América Latina hay una realidad inminente: el perímetro ya no es más la red, es la identidad. Protegerla implica adoptar modelos como Zero Trust, monitoreo 24×7, gobernanza permanente, control de privilegios y estrategias integradas de prevención de fraude digital.
La protección integral de identidades reduce significativamente la exposición a ransomware, BEC y fraude financiero. Pero no basta con tecnología, es necesario un enfoque de gobernanza que defina reglas claras, roles y responsabilidades en torno a identidades humanas y no humanas.
Si antes servidores y redes debían ser protegidos, hoy también deben protegerse las identidades digitales. Personas, aplicaciones y máquinas comparten el mismo ecosistema y riesgo. De ahí que es fundamental entender cuál es este nuevo perímetro y actuar en consecuencia para no solamente reducir la exposición a los ciberataques, sino para fortalecer la confianza, un elemento clave para impulsar el crecimiento y la innovación en la región.
