IAM incluye autenticación, autorización, gestión de roles, aprovisionamiento y desaprovisionamiento de usuarios, revisión de accesos y control de cuentas privilegiadas.
Qué es IAM
IAM significa Identity and Access Management, o gestión de identidades y accesos. Es el conjunto de procesos, políticas y controles técnicos que permiten definir quién puede acceder a qué recursos, en qué condiciones y con qué nivel de privilegio. En una empresa moderna, IAM abarca cuentas de usuario, autenticación, alta y baja de identidades, roles, permisos, accesos privilegiados, revisión periódica de autorizaciones y control de aplicaciones conectadas. No es solo una cuestión administrativa. Es uno de los pilares que determina si una organización puede operar de forma segura, escalar sin perder control y responder con rapidez cuando una cuenta ha sido comprometida.
Por qué importa
IAM importa porque muchas brechas no empiezan con malware sofisticado, sino con una identidad mal protegida o mal gestionada. Un usuario con permisos excesivos, una cuenta sin MFA, un exempleado que conserva acceso o una aplicación SaaS conectada sin control pueden convertirse en punto de entrada real. En muchos entornos el problema no es la ausencia de herramientas, sino la falta de gobierno sobre identidades: permisos acumulados, cuentas privilegiadas sin supervisión, accesos heredados y ausencia de revisiones. Cuando IAM está bien resuelto, la organización reduce superficie de ataque, limita movimiento lateral, mejora trazabilidad y convierte la identidad en un plano controlado en vez de en un punto ciego.
Puntos clave
Un buen modelo IAM aplica principios como mínimo privilegio, separación de funciones, MFA, acceso condicional y revisión periódica de permisos.
IAM no se limita a empleados. También debe cubrir terceros, cuentas de servicio, aplicaciones integradas, dispositivos y accesos temporales.
La calidad de IAM impacta directamente en auditoría, cumplimiento y respuesta a incidentes, porque define quién accede, cómo accede y qué evidencias existen.
Sin gobierno de identidades, la organización tiende a acumular permisos heredados, excepciones permanentes y cuentas olvidadas que elevan el riesgo real.
Ejemplo: IAM evita exposición por accesos heredados
Una empresa había crecido rápido y cada incorporación se resolvía sumando permisos sobre permisos. Un responsable de proyectos mantenía accesos históricos a entornos financieros, documentación legal y paneles de administración que ya no necesitaba. Tras una revisión IAM, se redefinieron roles, se retiraron permisos heredados y se activaron controles de acceso condicional y MFA. Semanas después, una credencial de ese usuario fue comprometida en un ataque de phishing. El atacante logró probar acceso, pero quedó bloqueado por segundo factor y, además, incluso si hubiera entrado, ya no habría tenido acceso lateral a sistemas críticos. El trabajo IAM no evitó el phishing, pero sí evitó que una cuenta corriente actuara como llave maestra.
Errores habituales
- Pensar que IAM es solo crear usuarios y resetear contraseñas. En realidad implica gobierno, modelo de roles, trazabilidad, recertificación de accesos y control de privilegios.
- No retirar accesos cuando cambia rol o cuando una persona deja la organización. El acceso huérfano es uno de los fallos más repetidos y más peligrosos.
- Diseñar roles demasiado amplios por comodidad. Eso reduce trabajo inicial, pero multiplica riesgo, dificulta auditoría y favorece movimiento lateral en caso de compromiso.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿IAM es solo para empresas grandes?
No. Cualquier empresa con correo corporativo, herramientas cloud, accesos remotos o terceros conectados necesita cierto nivel de IAM. En organizaciones pequeñas puede ser más simple, pero sigue siendo crítico controlar altas, bajas, MFA, permisos y accesos privilegiados.
¿Qué relación hay entre IAM y MFA?
MFA es una pieza dentro de IAM. IAM define el modelo global de identidades y accesos; MFA es uno de los controles que fortalece la autenticación dentro de ese modelo. Tener MFA ayuda, pero no resuelve por sí solo roles mal definidos o permisos excesivos.
¿Qué suele revisarse primero en un proyecto IAM?
Lo habitual es revisar inventario de identidades, cuentas privilegiadas, accesos de terceros, uso de MFA, roles existentes, cuentas inactivas y procesos de alta y baja. Esa base permite identificar riesgo real antes de rediseñar permisos o automatizar flujos.
¿IAM ayuda en cumplimiento normativo?
Sí. IAM aporta evidencias clave para auditoría y cumplimiento porque permite demostrar control de accesos, segregación de funciones, revisión periódica de permisos y trazabilidad sobre identidades y privilegios.