Identity and Access Management / IAM: identidad, autenticación, autorización y control de acceso

Identity and Access Management / IAM es el conjunto de procesos, políticas y tecnologías utilizadas para administrar identidades digitales y controlar el acceso a sistemas, aplicaciones, APIs, servidores y recursos empresariales.

Su función principal es responder preguntas críticas de seguridad: quién es el usuario, cómo demuestra su identidad, qué permisos tiene, a qué recursos puede acceder, quién aprobó esos permisos y cuándo deben revocarse.

IAM es una base técnica para cualquier arquitectura de acceso seguro. Sin una gestión correcta de identidad, controles como VPN, ZTNA, PAM, API Gateway o Zero Trust pueden quedar débiles o mal aplicados.

Qué es Identity and Access Management / IAM

Identity and Access Management / IAM, o gestión de identidad y acceso, permite administrar el ciclo de vida de usuarios, cuentas, roles, grupos, permisos y mecanismos de autenticación dentro de una organización.

IAM no se limita a crear usuarios y contraseñas. También incluye alta y baja de cuentas, asignación de permisos, autenticación multifactor, inicio de sesión centralizado, revisión de privilegios, integración con aplicaciones y auditoría de accesos.

En términos prácticos, IAM define quién puede entrar, a qué puede entrar y bajo qué condiciones.

Por qué IAM es importante en ciberseguridad

Muchas brechas de seguridad no comienzan con una vulnerabilidad técnica compleja, sino con credenciales robadas, contraseñas débiles, cuentas abandonadas, permisos excesivos o accesos que nunca fueron revocados.

IAM ayuda a reducir esos riesgos mediante control centralizado de identidades, políticas de acceso, autenticación fuerte y trazabilidad. También permite aplicar el principio de mínimo privilegio: cada usuario o servicio debe tener solo los permisos necesarios para cumplir su función.

En modelos como Zero Trust Architecture / ZTA, IAM es fundamental porque las decisiones de acceso se basan en identidad, contexto, dispositivo, recurso solicitado y nivel de riesgo.

Identidad, autenticación y autorización

En IAM conviene separar tres conceptos que suelen confundirse:

• Identidad: representa a una persona, servicio, dispositivo o cuenta dentro de un sistema.
• Autenticación: verifica que esa identidad realmente pertenece a quien intenta acceder.
• Autorización: determina qué puede hacer esa identidad después de autenticarse.

Por ejemplo, un usuario puede autenticarse correctamente, pero eso no significa que deba tener permiso para administrar servidores, consultar datos sensibles o modificar configuraciones críticas.

Una arquitectura segura debe controlar las tres capas: identidad confiable, autenticación fuerte y autorización bien definida.

Componentes principales de IAM

Una estrategia IAM puede incluir distintos componentes, según la madurez y tamaño de la organización:

• Directorio de usuarios: repositorio central de identidades, grupos y atributos.
• SSO: inicio de sesión único para acceder a varias aplicaciones con una identidad centralizada.
• MFA: autenticación multifactor para reducir el riesgo de credenciales comprometidas.
• RBAC: control de acceso basado en roles.
• ABAC: control de acceso basado en atributos, contexto o condiciones.
• Ciclo de vida de usuarios: alta, modificación, suspensión y baja de cuentas.
• Auditoría: registro de accesos, cambios de permisos y eventos relevantes.

No todas las organizaciones necesitan implementar todos los componentes desde el primer día. Lo importante es empezar por controlar identidades, permisos y autenticación en los recursos más críticos.

MFA: autenticación multifactor

La autenticación multifactor / MFA agrega una capa de seguridad adicional al inicio de sesión. En lugar de depender solo de una contraseña, exige al menos otro factor, como una aplicación autenticadora, llave física, certificado, biometría o mecanismo equivalente.

MFA no elimina todos los riesgos, pero reduce la probabilidad de que una contraseña robada sea suficiente para acceder a sistemas críticos.

Debe priorizarse en accesos administrativos, VPN, ZTNA, aplicaciones privadas, correo corporativo, paneles de nube, sistemas financieros, APIs administrativas y herramientas de soporte.

SSO: inicio de sesión único

Single Sign-On / SSO permite que un usuario acceda a varias aplicaciones mediante una identidad centralizada. Esto mejora la administración, reduce cuentas dispersas y facilita aplicar políticas uniformes de autenticación.

SSO puede mejorar la experiencia del usuario, pero también concentra riesgo si no se acompaña de MFA, monitoreo, políticas de sesión y revisión de permisos.

La ventaja real de SSO no es solo comodidad. Es gobernar mejor el acceso a múltiples sistemas desde un punto central.

RBAC y ABAC

RBAC, o control de acceso basado en roles, asigna permisos según el rol del usuario. Por ejemplo: administrador, operador, auditor, técnico, ventas o usuario final.

ABAC, o control de acceso basado en atributos, permite decisiones más granulares. Puede considerar área, ubicación, horario, dispositivo, sensibilidad del recurso, tipo de operación o estado de cumplimiento.

RBAC suele ser más fácil de implementar. ABAC puede ser más flexible, pero requiere mejor diseño de atributos, políticas y gobierno de identidad.

IAM en Zero Trust y ZTNA

IAM es una pieza central de Zero Trust. Si una organización no sabe quién accede, con qué permisos y bajo qué condiciones, no puede aplicar confianza cero de forma seria.

En Zero Trust Network Access / ZTNA, las políticas de acceso dependen directamente de IAM. La plataforma necesita saber quién es el usuario, a qué grupo pertenece, qué aplicación solicita, qué dispositivo usa y si cumple las condiciones definidas.

Sin IAM bien diseñado, ZTNA puede convertirse en otra capa de acceso mal gobernada.

IAM en APIs y aplicaciones privadas

Las aplicaciones privadas y APIs también dependen de una gestión correcta de identidad. No basta con validar que existe un token; también se debe verificar qué identidad representa, qué permisos tiene y si está autorizada para realizar la operación solicitada.

En API Security, muchos riesgos están relacionados con fallas de autenticación y autorización. Por eso, IAM debe integrarse con controles como OAuth 2.0, OpenID Connect, scopes, claims, roles, políticas por cliente y revisión de permisos.

Para aplicaciones y APIs expuestas mediante API Gateway, Reverse Proxy y WAF, IAM ayuda a definir quién puede entrar, qué rutas puede consultar y qué acciones puede ejecutar.

IAM y accesos privilegiados

IAM administra identidades en general, pero los accesos privilegiados requieren controles adicionales. Administradores de servidores, routers, bases de datos, firewalls, nube, hipervisores o sistemas críticos no deben gestionarse igual que usuarios normales.

Para esos casos se recomienda combinar IAM con Privileged Access Management / PAM, Bastion Host, MFA, registro de sesión y políticas de acceso temporal.

El objetivo es evitar cuentas compartidas, privilegios permanentes, accesos sin bitácora o credenciales administrativas dispersas.

Errores comunes en IAM

Algunos errores frecuentes son:

• Mantener cuentas de exempleados o proveedores inactivos.
• Asignar permisos por persona y no por rol o función.
• No exigir MFA en accesos críticos.
• Permitir cuentas administrativas compartidas.
• No revisar permisos periódicamente.
• No registrar cambios de privilegios.
• Usar contraseñas débiles o reutilizadas.
• No separar usuarios normales de administradores.

Estos errores pueden convertir una cuenta comprometida en una ruta directa hacia aplicaciones internas, APIs, servidores o información sensible.

Buenas prácticas de IAM

Una estrategia IAM sólida debe aplicar controles simples pero consistentes:

• Centralizar identidades siempre que sea posible.
• Aplicar MFA en accesos críticos.
• Asignar permisos por rol, función o necesidad operativa.
• Eliminar cuentas inactivas o sin propietario.
• Revisar privilegios de forma periódica.
• Separar cuentas administrativas de cuentas de uso diario.
• Registrar cambios de permisos y accesos relevantes.
• Revocar accesos cuando un usuario cambia de puesto o termina relación con la organización.

La gestión de identidad debe verse como un proceso continuo, no como una configuración inicial que se hace una sola vez.

Conclusión

Identity and Access Management / IAM es una base esencial de la ciberseguridad empresarial. Permite administrar identidades, autenticación, autorización y permisos de forma controlada.

Sin IAM, tecnologías como VPN, ZTNA, PAM, API Gateway o Zero Trust pierden efectividad. El acceso seguro depende de saber quién accede, qué puede hacer y bajo qué condiciones.

Una organización que busca proteger aplicaciones privadas, APIs, servidores e infraestructura crítica debe comenzar por ordenar sus identidades, reducir privilegios excesivos, aplicar MFA y revisar accesos de forma periódica.

Ver también

• Arquitecturas de acceso seguro para infraestructura, aplicaciones privadas y APIs
• Zero Trust Architecture / ZTA: modelo de confianza cero para infraestructura empresarial
• Zero Trust Network Access / ZTNA: acceso seguro a aplicaciones privadas sin exponer la red
• VPN empresarial: acceso remoto cifrado, alcances, riesgos y limitaciones
• VPN vs ZTNA: diferencias técnicas, riesgos y criterios de selección
• Privileged Access Management / PAM y Bastion Host: administración segura de servidores, routers y sistemas críticos
• API Security: seguridad de APIs, riesgos principales y controles recomendados
• Segmentación de red, VLANs y microsegmentación: reducción de superficie de ataque

Referencias técnicas

• NIST: Identity and Access Management Resource Center
• NIST SP 800-63B-4: Digital Identity Guidelines, Authentication and Authenticator Management
• NIST SP 800-53 Rev. 5: Security and Privacy Controls for Information Systems and Organizations
• CISA: Zero Trust Maturity Model