¿Qué es la identidad digital?
Una identidad digital es el conjunto verificable de atributos, credenciales y señales de comportamiento que representan a una persona, aplicación o dispositivo en entornos digitales. Sirve para autenticar, autorizar y auditar accesos durante todo su ciclo de vida, aplicando privilegio mínimo y cumplimiento.
Representada y documentada digitalmente en línea, una identidad digital proporciona una colección de características almacenadas y autenticadas digitalmente asociadas con una persona identificable de manera única. Se utiliza para autenticar a los usuarios cuando se requiere una prueba de identidad validada para acceder a servicios en línea o realizar transacciones u operaciones.
Igual que las identidades físicas, una identidad digital debe cumplir requisitos para ser válida y confiable. Sus tres rasgos clave son:
Personal e intransferible: solo la persona (o entidad) titular puede usarla.
Reutilizable: una vez emitida, sirve en múltiples servicios y procesos.
Fácil de usar: accesible sin fricción ni conocimientos técnicos avanzados.
Una identidad digital se puede utilizar para:
- Acceder a cuentas existentes
- Establecer credibilidad para acceder a los servicios
- Abrir una nueva cuenta
A menudo, una identidad digital da a conocer la presencia de un individuo o entidad dentro de aplicaciones, redes, sistemas locales o entornos de nube. Podría ser una persona, organización, aplicación o dispositivo.
Los propietarios de sitios web y los anunciantes también los utilizan para identificar y rastrear a los usuarios. En estos casos, se utiliza una identidad digital para la personalización, lo que permite ofrecer contenido y publicidad altamente específicos.
Identidades digitales frente a usuarios
Los usuarios y las identidades digitales mantienen una relación de uno a muchos respecto a las cuentas. Sin embargo, a diferencia de una identidad digital (el conjunto de rasgos únicos que conforman la identidad en línea de una persona), usuario se refiere a la persona o entidad que opera o interactúa con un recurso y las actividades asociadas.
Por ejemplo, en un entorno cloud, una identidad agrupa las credenciales y atributos que permiten autenticarse, mientras que el usuario es la persona con nombre, dirección de correo electrónico y otras propiedades. Un usuario puede tener asociada una identidad digital; no obstante, para acceder a la mayoría de aplicaciones y servicios, los usuarios deben disponer de una identidad digital (o crearla).
Tipos de identidades digitales
Las identidades digitales se dividen en tres categorías principales: humana, máquina y nube.
Identidad digital humana
Una identidad digital humana proporciona acceso a diversos recursos. Ejemplos de identidad digital humana en un entorno empresarial son:
- Clientes
- Empleados
- Partners
- Proveedores
Identidad digital de máquinas
Una identidad de máquina se utiliza para autenticar en una red o sistema a usuarios no humanos, como aplicaciones, servidores y software, así como dispositivos móviles, de Internet de las cosas (IoT) y otros.
Identidad digital en la nube
Una identidad digital en la nube se utiliza para proporcionar acceso a recursos y servicios informáticos basados en la nube.
Se pueden utilizar diferentes identidades digitales dependiendo de las actividades que se realicen. Algunos ejemplos son:
- Identidad digital ciudadana: Los gobiernos la usan para dar a los ciudadanos acceso a sistemas en línea. Ejemplos de uso de la identidad digital de un ciudadano:
- Solicitar documentos oficiales
- Encontrar un número de identificación personal
- Presentar declaraciones de impuestos
- Identidad digital de banca en línea: Las entidades financieras utilizan la identidad digital para ofrecer a los clientes acceso a la información de sus cuentas y realizar transacciones (por ejemplo, pagar facturas o negociar valores).
- Identidad digital de empleado: La asigna el empleador y se utiliza para distintos fines, como:
- Acceder a la red interna
- Entrar en un edificio de oficinas
- Utilizar otros recursos de la empresa
- Identidad digital de cliente o de compras en línea: Se emplea para permitir que los clientes realicen compras en línea de forma segura. Además, ayuda a los comercios a gestionar datos de clientes para:
- Mejorar el servicio al cliente
- Personalizar campañas de marketing
- Prevenir el fraude detectando patrones inusuales
- Realizar un seguimiento de las transacciones, preferencias e información demográfica de los clientes
Hay 4 categorías principales de uso de identidad digital: una credencial, un personaje, un usuario y una reputación.
La identidad digital como personaje: Cuando actúa como personaje, una persona crea una personalidad para distinguirse en línea. Es una forma de autoexpresión construida a partir de descripciones, comentarios, interacciones y actividades generadas por el propio usuario. Esta identidad se nutre en gran medida de elementos de aplicaciones personales, como perfiles de citas, redes sociales y entornos de metaverso.
La identidad digital como credencial: Cuando se utiliza como credencial, la identidad digital se apoya en información específica para validar a un usuario. Suele derivarse de documentos emitidos por autoridades públicas, como certificados de nacimiento, permisos de conducir, pasaportes o números de la seguridad social. Según el contexto, las direcciones de correo electrónico también pueden encajar en esta categoría.
La identidad digital como reputación: Esta modalidad se origina en entidades acreditadas y autorizadas. Contiene información sobre el historial de una persona en ámbitos concretos, como trayectoria profesional, formación académica, puntuación crediticia o antecedentes penales.
La identidad digital como usuario: Basada en el papel de la persona como usuaria de recursos y servicios en línea, se construye a partir de señales de comportamiento digital. Entre sus elementos figuran el historial de navegación, las compras en línea, las inscripciones a seminarios web y los correos electrónicos abiertos.
Identidades digitales frente a cuentas
Existen similitudes entre una identidad digital y una cuenta, pero no son lo mismo. Ambas contienen información de identificación personal (PII) y datos confidenciales, además de ser un medio para de que los usuarios obtengan acceso a recursos en línea (por ejemplo, aplicaciones, plataformas, redes o sitios web). Sin embargo, eso es todo lo que tienen en común.
Una cuenta es un tipo de identidad digital, pero no representa toda la presencia en línea de una persona. Los usuarios suelen tener varias cuentas (por ejemplo, red y correo electrónico del trabajo, red y correo electrónico personal, sitios web y servicios en la nube).
Atributos de la identidad digital
Los atributos de la identidad digital describen sus propiedades. La definición de estos atributos puede abarcar desde credenciales y nombres legales hasta el historial de navegación y los datos de ubicación. Los datos de atributos de identidad digital se agrupan en tres categorías:
Acumulados (por ejemplo, historial de transacciones o registros médicos)
Asignados (por ejemplo, número de la seguridad social o tutela)
Inherentes (por ejemplo, fecha de nacimiento o huella digital)
Identificadores de identidades digitales
Estos identificadores son los datos que conforman una identidad digital. El identificador asociado a una identidad digital puede variar según cómo se utilice (por ejemplo, acceder a una red corporativa, navegar por un sitio de comercio electrónico o iniciar sesión en una cuenta bancaria). Los identificadores de identidad digital pueden incluir:
- Datos biométricos (por ejemplo, huellas dactilares, escaneo de retina o escaneo facial)
- Fechas de nacimiento
- Actividad de navegación
- Direcciones de correo electrónico
- Identificadores emitidos por el gobierno (por ejemplo, números de la seguridad social, números de permiso de conducir y números de pasaporte)
- Direcciones IP
- Historial de compras
- Historial de búsqueda
- Nombres de usuario y contraseñas
Vectores de ataque a la identidad digital
A los ciberdelincuentes no les faltan tácticas creativas para comprometer identidades digitales. Aunque priorizan las cuentas privilegiadas, las no privilegiadas también son objetivos valiosos. Entre los principales vectores de ataque se incluyen:
- El abuso de funciones de autoservicio, especialmente la recuperación de contraseñas, es muy común. Los atacantes explotan flujos de “¿Has olvidado tu contraseña?” para adivinar credenciales, restablecer accesos y secuestrar cuentas mediante identidades falsas.
- Cuentas canario (decoy accounts). Los atacantes crean cuentas señuelo que imitan perfiles legítimos para reconocer sistemas internos y entender procesos antes de lanzar el ataque principal. Suelen usarse solo para reconocimiento, no para la intrusión definitiva.
- Relleno de credenciales (credential stuffing) consiste en aprovechar la reutilización de contraseñas en múltiples servicios. Con credenciales robadas, los bots automatizan intentos de inicio de sesión en otras plataformas para tomar control de cuentas.
- Configuraciones erróneas (misconfigurations). Los errores de configuración abren brechas de seguridad que sirven como punto de entrada. Fallos en controles, permisos o políticas facilitan el secuestro de cuentas y el movimiento lateral.
- Pulverización de contraseñas (password spraying). Variante de fuerza bruta que prueba contraseñas comunes contra muchos usuarios para eludir bloqueos por intentos fallidos. Busca suplantar identidades digitales y obtener acceso no autorizado.
- Ataques de acceso privilegiado. Se ejecutan con credenciales privilegiadas robadas o tras escalar privilegios y moverse lateralmente, con el fin de controlar múltiples cuentas y sistemas críticos.
- Ingeniería social se refiere al conjunto de tácticas que manipulan a los usuarios para que entreguen datos personales o de acceso. El atacante puede hacerse pasar por una autoridad, un compañero o un banco para robar credenciales o códigos de un solo uso (OTP) y así secuestrar identidades digitales.
Algunos ejemplos de tácticas de ingeniería social utilizadas para robar identidades digitales son:
- Phishing: un tipo frecuente de ingeniería social que atrae objetivos a través del correo electrónico
- Smishing: lo mismo que phishing, pero usando mensajes de texto en lugar de correo electrónico
- Phishing selectivo y caza de ballenas: versiones de phishing dirigidas respectivamente a usuarios específicos y ejecutivos.
¿Cómo proteger la identidad digital?
Las mejores prácticas para protegerse de las amenazadas en ciberseguridad y proteger la identidad digital, son:
Implementar un almacén de identidades digitales
Obtén visibilidad y conocimientos mediante el uso de un almacén de identidad digital como depósito central para almacenar y administrar datos de identidad para todos los usuarios (por ejemplo, humanos, sistemas, dispositivos y fuentes de datos), procurando garantizar que se incluya la TI en la sombra.
Seguir el principio de privilegio mínimo
Revisa y ajusta continuamente los derechos y roles de identidad digital de los usuarios para ajustarlos a las necesidades reales. La identidad digital de cada persona debe brindarles exactamente la cantidad adecuada de accesos a los recursos adecuados en el momento adecuado.
Los administradores de TI deben utilizar una cuenta estándar para realizar cualquier actividad que no requiera explícitamente privilegios para limitar la exposición de cuentas privilegiadas. Esto ayuda a mitigar las amenazas, ya que la mayoría del malware depende de privilegios para el movimiento lateral.
Implementar fuertes controles de acceso
Los controles de seguridad del acceso a la identidad digital deben utilizar roles y gestión de políticas. Estos deben usarse para asignar acceso a datos y aplicaciones solo según se necesite, así como para administrar y supervisar el aprovisionamiento y el desaprovisionamiento. Además, se debe implementar la separación de funciones (SoD) para evitar combinaciones de acceso arriesgadas.
Supervisar cada identidad digital en busca de riesgos
El acceso a la identidad digital debe monitorearse continuamente con el registro de las actividades de todos los usuarios en función de su acceso para crear alertas de manera proactiva cuando se detecte actividad sospechosa.
Realizar evaluaciones de identidad digital
Analiza cada identidad digital para identificar el acceso y el riesgo de SoD por usuario, rol y proceso comercial. Esto también ayuda a identificar las actualizaciones de acceso que deben realizarse, establecer líneas de base de comportamiento y optimizar directamente las políticas y controles de seguridad.
Eliminar privilegios no utilizados u obsoletos
Si una identidad digital queda obsoleta o tiene privilegios no utilizados, es preciso desaprovisionar la cuenta y revocar todos los privilegios no utilizados o innecesarios.
Educar a los usuarios sobre los vectores de amenazas a la identidad digital
El robo de identidades digitales pone en riesgo todos los sistemas y recursos. Educar a los usuarios sobre los riesgos de las identidades digitales ayuda a reducir las probabilidades de pérdida o robo. Capacitar e incorporar la concienciación sobre seguridad en la cultura corporativa puede proteger las identidades digitales y ayudar a fortalecer las superficies de ataque.
Fortalecer los sistemas
Las salvaguardas de la identidad digital también se logran manteniendo los sistemas reforzados, lo que debería ser parte de los esfuerzos generales de seguridad. Los sistemas de protección deben eliminar aplicaciones no utilizadas u obsoletas y privilegios relacionados, así como cerrar puertos innecesarios o arriesgados.
Instalar todas las actualizaciones y parches de manera oportuna
La protección de la identidad digital se respalda mediante la eliminación de las vulnerabilidades del sistema causadas por software o firmware obsoletos. Instalar a tiempo las actualizaciones y parches mejora la postura de seguridad básica y minimiza la superficie de ataque.
Digital identity: una oportunidad y una amenaza
La rápida sustitución de la identidad analógica de un usuario por una identidad digital o digital identity avanza a gran velocidad a pesar de los riesgos. Además de las entidades corporativas, los gobiernos recurren cada vez más a digital identity como alternativa a las opciones analógicas.
El éxito de la identidad digital depende de usar con eficacia las herramientas de ciberseguridad existentes junto con capacidades nuevas, diseñadas específicamente para abordar estos desafíos (las soluciones IAM). Aprender cómo funciona identidad digital, así como sus fortalezas y debilidades, ayuda a proteger esta potente tecnología.
