Durante años, la identidad se asumió como la piedra angular de la seguridad en las empresas: si el sistema podía verificar quién estaba entrando, se daba por hecho que el acceso podía concederse sin mayores reparos. Esa lógica funcionaba cuando el personal trabajaba desde equipos corporativos en redes controladas y en horarios previsibles. Hoy, sin embargo, el panorama ha cambiado radicalmente y la seguridad basada exclusivamente en identidad resulta insuficiente frente a la realidad de la fuerza laboral moderna.
El trabajo ya no sucede en un único lugar ni sobre un único dispositivo. Personas que se conectan desde casa, desde cafeterías, con portátiles corporativos, dispositivos personales o equipos de terceros hacen que el contexto de cada conexión sea mucho más variable. Una autenticación exitosa nos dice "quién" está accediendo, pero no nos informa de forma fiable sobre "qué riesgo" implica ese acceso.
Ese matiz es crucial: el mismo usuario que inicia sesión desde un equipo parcheado y gestionado representa un riesgo muy distinto al que inicia sesión desde un equipo sin actualizaciones, sin controles de seguridad o directamente comprometido. Sin embargo, muchos modelos de acceso siguen otorgando privilegios basándose principalmente en la identidad y dejando el estado del dispositivo como algo secundario o estático. Como consecuencia, la confianza se mantiene incluso cuando el punto final empeora su perfil de riesgo después del inicio de sesión.
Los atacantes lo saben y lo aprovechan. Romper autenticaciones fuertes o vulnerar MFA suele ser más costoso que reutilizar credenciales válidas o tokens de sesión, o bien explotar dispositivos desprotegidos. El informe de incidentes de Verizon muestra con claridad la persistencia del problema: las credenciales robadas están implicadas en un porcentaje muy elevado de las brechas detectadas (Verizon DBIR). Esto subraya que el reto no es únicamente "detectar al impostor", sino también "verificar el contexto desde el que se produce el acceso".
Además, hay caminos de acceso que históricamente han quedado fuera de las políticas condicionadas modernas: protocolos antiguos, herramientas de acceso remoto o flujos no basados en navegador suelen recibir menos verificación contextual. Cuando las señales de identidad y las del endpoint se tratan en silos —herramientas diferentes que no comparten contexto— la visibilidad se fragmenta y las decisiones resultan inconsistentes.
La comunidad de seguridad lleva tiempo promoviendo principios de «Zero Trust» que parten de no dar por sentado que algo es seguro por pertenecer a una red o por una autenticación previa. Instituciones como el NIST documentan estas ideas y cómo deben aplicarse en arquitecturas modernas (NIST SP 800-207), y proveedores de plataformas publican guías para llevarlas a la práctica (Microsoft Zero Trust). Sin embargo, la adopción real tropieza con la complejidad técnica y con la fricción que la seguridad puede introducir en el trabajo cotidiano.
Para que Zero Trust funcione en el ámbito laboral no basta con autenticar usuarios: hay que verificar continuamente las condiciones del endpoint y del entorno. El estado de un dispositivo cambia con frecuencia: configuraciones que dejan de ser seguras, controles de seguridad desactivados, parches pendientes. Si la verificación se limita al instante del login, la confianza perdura mientras el riesgo del dispositivo puede aumentar mucho después. Por eso son cada vez más comunes las soluciones que extienden las decisiones de acceso más allá de la identidad y las mantienen durante toda la sesión.
Implementar esa verificación continua no significa convertir la seguridad en un obstáculo. Al contrario, las mejores aproximaciones buscan equilibrar protección y usabilidad. Esto pasa por permitir remediaciones dirigidas que el propio usuario pueda ejecutar, políticas que gradúen la respuesta según el riesgo y controles que diferencien entre endpoints corporativos, personales o de terceros. De este modo, se reduce la capacidad de los atacantes de aprovechar credenciales válidas desde dispositivos no confiables sin interrumpir el trabajo legítimo de las personas.
La evidencia práctica indica que cuando los controles de identidad y de endpoint se integran y se evalúan de manera continua, la resiliencia mejora. Organizaciones y proveedores están construyendo herramientas que inspeccionan el estado del equipo en tiempo real y que pueden limitar o adaptar el acceso sin cortar por completo la productividad. Por ejemplo, existen plataformas que permiten aplicar restricciones basadas en el cumplimiento del dispositivo, ofrecer pasos de remediación automáticos y mantener la verificación a lo largo de la sesión en Windows, macOS, Linux y móviles.
Es importante también entender por qué algunas áreas siguen siendo más vulnerables: protocolos obsoletos o aplicaciones legadas que no son compatibles con controles avanzados siguen representando vectores accesibles para los atacantes. Del mismo modo, las técnicas como el abuso de tokens de sesión o las campañas de "MFA fatigue" han demostrado que el eslabón débil no siempre está en la contraseña, sino en cómo se aplica y mantiene la confianza. Instituciones como la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) y organizaciones del sector publican recomendaciones prácticas para mitigar estos riesgos y endurecer las defensas contra abusos de sesiones y de autenticación (CISA).
Para las empresas la pregunta deja de ser si deben confiar en la identidad y pasa a ser cómo articular esa confianza con señales de dispositivo y contexto en tiempo real. En ese punto aparecen soluciones comerciales que integran ambas dimensiones y proponen políticas dinámicas que se adaptan a las condiciones. Un ejemplo de proveedor en este espacio es Specops, que integra capacidades de verificación continua y controles basados en el estado del endpoint a través de tecnologías como Infinipoint. Estas propuestas buscan aplicar Zero Trust no solo sobre quién se autentica, sino también sobre desde dónde y en qué condiciones (Specops, Infinipoint).
Como periodista que sigue la evolución de la ciberseguridad, veo que la agenda para los próximos años es clara: las organizaciones deben dejar de tratar la identidad como una garantía absoluta y empezar a diseñar controles que consideren la salud del endpoint y el contexto de acceso de forma continua. Esa transformación exige invertir en integración entre herramientas, redefinir procesos de soporte para ofrecer remediaciones ágiles y, sobre todo, comunicar a las personas por qué estos cambios son necesarios. La seguridad efectiva no consiste en frenar al usuario legítimo, sino en hacer que el acceso legítimo sea también seguro.
Si tu equipo está replanteando la estrategia de acceso, conviene revisar recursos de referencia sobre Zero Trust y gestión de identidad, contrastar opciones técnicas y considerar pilotos que midan impacto en seguridad y productividad. En un entorno en el que iniciar sesión es a menudo más sencillo que forzar una brecha, la pregunta relevante ya no es "¿quién es?" sino "¿desde qué y con qué nivel de confianza?"
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...