Gestión de la identidad: Cómo eliminar las identidades en la sombra en 2026

El pasado 14 de abril de 2026 marcó un punto de inflexión en la historia de la ciberseguridad global. Durante la celebración del “Identity Management Day” (Día de la Gestión de la Identidad), la comunidad tecnológica internacional no solo se limitó a intercambiar mejores prácticas, sino que emitió un manifiesto de urgencia ante un fenómeno que está devorando la privacidad corporativa y personal: la “Identidad en la Sombra” (Shadow Identity). En un ecosistema digital donde la gestión de la identidad se ha consolidado como el único perímetro de seguridad real, el enfoque de este año se centró en desmantelar el rastro de permisos fragmentados y derechos excedentes que los brokers de datos, potenciados por inteligencia artificial, utilizan para reconstruir perfiles que los usuarios creían haber borrado para siempre.

La identidad como el nuevo perímetro: El paradigma de 2026

Para entender la relevancia de las iniciativas presentadas en 2026, debemos aceptar que el modelo tradicional de “castillo y foso” (firewalls y VPNs) ha muerto. En la actualidad, más del 80% de las brechas de seguridad corporativas no se producen por “hackeos” técnicos al sistema, sino por el uso de credenciales legítimas comprometidas. Como bien se enfatizó durante la cumbre, en 2026 ya no se “ataca” una red; simplemente se “inicia sesión” en ella mediante identidades robadas o mal gestionadas.

La gestión de la identidad ya no es una función de soporte de IT, sino el sistema operativo mismo de la confianza digital. Con la proliferación del trabajo híbrido y la adopción masiva de nubes múltiples, la identidad es el único elemento que acompaña al usuario, al dispositivo y a la carga de trabajo en todo momento. Sin embargo, esta expansión ha traído consigo el “Identity Sprawl” o dispersión de la identidad, donde un empleado promedio maneja ahora más de 50 aplicaciones distintas, cada una con un conjunto único de privilegios, tokens y metadatos.

La anatomía de la “Identidad en la Sombra” y el riesgo del OAuth

El concepto central de este año, la “Shadow Identity”, se refiere al rastro invisible pero persistente de permisos que dejamos al utilizar protocolos de autorización rápida como OAuth 2.0 y OpenID Connect. Cuando un usuario hace clic en “Iniciar sesión con Google” o “Continuar con Apple”, se genera un vínculo técnico que a menudo sobrevive mucho tiempo después de que el usuario ha dejado de utilizar la aplicación.

Estos fragmentos de identidad incluyen:

• Tokens de acceso persistentes: Muchos de los cuales no tienen fecha de caducidad automática, permitiendo a terceros acceder a datos de perfil incluso años después de la última interacción.
• Entitlements (Atribuciones) excesivas: Aplicaciones de productividad que solicitan permisos para “leer, escribir y borrar” correos electrónicos cuando solo necesitan acceso al calendario.
• Metadatos de comportamiento: Información sobre tiempos de conexión, ubicación geográfica y patrones de uso que los brokers de datos recolectan de forma silenciosa.

El peligro radica en que estos fragmentos son el combustible de los nuevos “AI-driven data brokers”. En 2026, estas entidades utilizan algoritmos de aprendizaje profundo para recolectar el “exhausto digital” (la basura de datos que dejamos atrás) y reconstruir perfiles de identidad con una precisión del 90%. Esto significa que, aunque un usuario elimine su cuenta en una red social, su identidad digital puede ser recreada combinando los permisos activos en otras diez aplicaciones menores que aún conservan sus tokens de acceso.

MFA resistente al phishing: El adiós definitivo a los códigos SMS

Uno de los anuncios más contundentes del Identity Management Day 2026 fue la publicación de nuevos estándares de “Identidad Resiliente” que prohíben el uso de SMS o correos electrónicos como factores de autenticación multifactor (MFA) en entornos críticos. La evolución de los ataques de intercambio de SIM (SIM swapping) y la sofisticación de los proxies de phishing en tiempo real han vuelto obsoletos los códigos de un solo uso (OTP).

La nueva línea de base para una gestión de la identidad 100% segura se basa ahora en el “Phishing-Resistant MFA”, utilizando principalmente dos tecnologías:

1. Hardware Keys (Llaves físicas): Dispositivos FIDO2/WebAuthn como YubiKeys o llaves Titan de Google, que requieren una presencia física y un gesto del usuario (como un toque táctil) para liberar una prueba criptográfica que no puede ser interceptada ni replicada por un atacante remoto.
2. Passkeys (Claves de paso): Credenciales criptográficas vinculadas al dispositivo (device-bound) que utilizan la biometría nativa (Face ID, Touch ID, Windows Hello) para autenticar al usuario sin necesidad de contraseñas. A diferencia de las contraseñas, las passkeys están ligadas al dominio específico del sitio web, lo que impide que un usuario entregue accidentalmente sus credenciales en un sitio de phishing.

NIST (National Institute of Standards and Technology) ha finalizado sus guías SP 800-63-4, elevando estas tecnologías al nivel de Garantía de Autenticador 3 (AAL3), el estándar máximo requerido para infraestructuras críticas y manejo de datos gubernamentales.

El auge de las Identidades No Humanas (NHIs)

Un dato alarmante revelado durante la jornada es que en 2026, las identidades no humanas (NHIs) —como bots de IA, agentes de automatización, cuentas de servicio y scripts de CI/CD— superan a las identidades humanas en una proporción de 144 a 1. Estos agentes operan a menudo con privilegios administrativos que exceden los de sus creadores y, lo que es peor, rara vez son sometidos a procesos de “offboarding” o desactivación.

La gestión de la identidad en 2026 exige un gobierno estricto sobre estos agentes. La arquitectura de “Identity Fabric” (Tejido de Identidad) se propone como la solución: una capa lógica unificada que gestiona tanto a humanos como a máquinas mediante APIs, permitiendo la visibilidad total de quién (o qué) tiene acceso a qué datos, en qué momento y con qué propósito.

Framework de Resiliencia de la Identidad: Pasos para el usuario y la empresa

Para mitigar el sprawl y erradicar las identidades en la sombra, la iniciativa de este año ha propuesto un marco de trabajo de cuatro pasos fundamentales para alcanzar la “Resiliencia de la Identidad”:

1. Auditoría de Permisos OAuth

Es imperativo que tanto usuarios individuales como administradores de IT realicen una limpieza semanal de las aplicaciones conectadas. En 2026, las herramientas de “Identity Threat Detection and Response” (ITDR) permiten automatizar la revocación de tokens de aplicaciones que no han registrado actividad en los últimos 30 días.

2. Implementación de CAEP (Continuous Access Evaluation Protocol)

Ya no basta con verificar la identidad al momento del inicio de sesión. El protocolo CAEP permite que las aplicaciones reaccionen en tiempo real ante cambios en el contexto de seguridad. Por ejemplo, si un dispositivo es reportado como robado o si un usuario cambia de ubicación geográfica de forma “imposible”, todas las sesiones activas se revocan instantáneamente en todas las aplicaciones conectadas al tejido de identidad.

3. Adopción de “Zero Standing Privilege” (ZSP)

El modelo de 2026 dicta que ninguna identidad debe tener permisos permanentes. Mediante sistemas de Gestión de Acceso Privilegiado (PAM) de nueva generación, los permisos se otorgan de forma efímera (“Just-in-Time”) y desaparecen tan pronto como la tarea se completa. Esto reduce drásticamente la superficie de ataque, ya que no hay “cuentas maestras” que los atacantes puedan comprometer de forma estática.

4. Limpieza del Rastro de Datos mediante plataformas de “DROP”

Inspirados por la legislación pionera en California, se promueve el uso de plataformas de “Delete Request and Opt-out” (DROP). Estas herramientas permiten a los usuarios emitir una orden de eliminación global de sus datos personales a través de miles de brokers de datos registrados, combatiendo directamente la capacidad de la IA para reconstruir perfiles borrados.

Los brokers de datos y la “Reconstrucción Fantasma”

El mayor desafío que enfrenta la gestión de la identidad hoy es la persistencia de la información en manos de terceros. Los brokers de datos han evolucionado de simples vendedores de listas de correos a arquitectos de perfiles psicográficos. Utilizando IA generativa, estos brokers pueden predecir con un 70% de precisión la personalidad y los hábitos de un usuario basándose únicamente en su “exhausto digital”.

Esto crea lo que los expertos llaman “Reconstrucción Fantasma”: incluso si logras eliminar tu nombre y correo de una base de datos, los brokers conservan tus identificadores de dispositivo, tus patrones de navegación y tus conexiones con otras identidades. Al combinar estas piezas, la IA vuelve a generar tu perfil, asignándole un nuevo ID pero manteniendo toda la información histórica. Erase your digital footprint en 2026 no es solo borrar una cuenta; es colapsar activamente las conexiones de privilegios y entitlements que alimentan este ciclo de re-creación de datos.

Conclusión: Hacia una soberanía digital proactiva

El Identity Management Day 2026 nos ha recordado que la privacidad ya no es un estado pasivo, sino una práctica de mantenimiento constante. La gestión de la identidad se ha convertido en la herramienta de defensa personal y corporativa más poderosa del siglo XXI. Aquellos que ignoren su “Identidad en la Sombra” y sigan confiando en métodos de autenticación obsoletos como los SMS, estarán dejando las puertas de su vida digital abiertas de par en par para que la inteligencia artificial las atraviese.

La misión para lo que resta de 2026 es clara: debemos transitar hacia identidades resistentes, dinámicas y, sobre todo, soberanas. Reducir nuestro “sprawl” digital no es solo una cuestión de orden; es un acto de resistencia frente a un sistema que busca convertir cada uno de nuestros movimientos en un activo monetizable e indestructible.