Connect with us

Entrevistas

“Desde siempre hemos tratado las identidades como un elemento crítico de seguridad”

Albert Barnwell

Sales Manager Iberia

CyberArk

Publicado el

La gestión de identidades y accesos se ha convertido en un elemento crucial de la seguridad y eficiencia de TI, especialmente en un momento en el que las empresas sufren ataques constantes e intentos continuados de suplantación de la identidad.

Más preocupante aún no es que estos ataques de suplantación de la identidad encuentren su objetivo en personas clave dentro de una organización (administrador de sistemas, CIO, CEO, CISO, técnicos de redes, etc.) sino que cada vez más, apuntan a las propias máquinas: aplicaciones, chatbots o algoritmos que tienen accesos privilegiados dentro de una infraestructura IT y cuyo control resulta crítico.

Con Albert Barnwell, sales manager Iberia de CyberArk, hemos tenido la oportunidad de charlar sobre cómo la gestión de estas identidades (personas y máquinas) va a ser cada vez más crítico para garantizar la seguridad de las empresas. Además, nos ha hablado sobre la posición que ocupa la compañía en el panorama global de la ciberseguridad y qué planes tiene para seguir creciendo a partir de la adquisición de Venafi el pasado mes de mayo. Esto es lo que nos ha contado.

[MCPRO] El mercado de la gestión de identidades y accesos ha crecido notablemente en los últimos años y aquí CyberArk ocupa un lugar destacado. ¿Qué papel juega la gestión de identidades en una estrategia integral de ciberseguridad?

[Albert Barnwell] Hoy en día, la gestión de identidades es un tema crítico tanto para las empresas como para las personas. Hemos observado un crecimiento significativo en el número de ataques que explotan las identidades como vector principal. Esto incluye desde fraudes y suplantaciones hasta técnicas avanzadas para comprometer cuentas y acceder a datos sensibles. Los atacantes buscan vulnerabilidades en identidades para causar daño, robar información o comprometer sistemas empresariales.

A nivel tecnológico, también hemos visto cómo evoluciona el panorama. Por ejemplo, la inteligencia artificial está siendo utilizada tanto para mejorar la seguridad como para facilitar ataques más sofisticados. Aunque muchas empresas están invirtiendo en soluciones para mitigar estos riesgos, el volumen de datos y las crecientes interconexiones siguen siendo un desafío. En cuanto a las identidades, es importante diferenciar entre dos tipos principales:

Por un lado, tenemos las identidades humanas, como las de los empleados que acceden a sistemas de la propia empresa. Aquí CyberArk se ha especializado en la gestión de accesos privilegiados, que son los más sensibles ya que permiten controlar los sistemas críticos.

Por otro, las identidades de máquina son las que están asociadas a aplicaciones, bots, scripts, y otras formas de automatización. Por ejemplo, cuando un chatbot interactúa contigo o una aplicación se conecta a otra de manera automatizada, se crean identidades de máquina. Estas también necesitan gestionarse y protegerse porque los atacantes las están explotando cada vez más.

Una tendencia preocupante es que muchas veces las identidades de máquina no se diseñan pensando en la seguridad desde el principio. Las empresas suelen priorizar la funcionalidad y dejan la seguridad como una tarea secundaria.

[MCPRO] ¿Cómo se gestionan las identidades de máquina y qué diferencias hay con las identidades humanas?

[Albert Barnwell] La protección de identidades humanas ha avanzado significativamente en los últimos años, incorporando tecnologías como la biometría, la autenticación multifactor (MFA) y otras capas de seguridad como dispositivos de localización o verificaciones contextuales. Estos mecanismos están diseñados para garantizar que la persona que intenta acceder sea quien dice ser y tenga los permisos adecuados.

En el caso de las identidades de máquina, la situación es más compleja y relativamente reciente. Para proteger estas identidades, es esencial gestionar correctamente los permisos de acceso que se les otorgan y nos encontramos con dos grandes enfoques.

En primer lugar, la gestión de secretos. Nos referimos aquí a la protección de contraseñas, claves API o tokens que estas máquinas utilizan para autenticarse y comunicarse con otros sistemas. Además, tenemos el uso de certificados digitales. Al igual que los certificados que usamos en muchos trámites, muchas máquinas se autentican utilizando este tipo de credenciales. Los certificados aseguran que una máquina es legítima y puede establecer conexiones seguras.

[MCPRO] Y sin embargo, no resulta sencillo gestionar estos certificados e identidades máquina…

[Albert Barnwell] Uno de los grandes problemas con los certificados hoy en día es similar al que enfrentábamos con las contraseñas hace 10 o 20 años. Muchos procesos de gestión de certificados son manuales, lo que genera errores como la falta de renovación de certificados críticos o el uso de credenciales que no se rotan adecuadamente. Esto deja brechas de seguridad que los atacantes pueden explotar fácilmente. La solución pasa por automatizar estos procesos y garantizar que el ciclo de vida de los certificados esté bien gestionado desde el inicio.

En el ámbito de las identidades de máquina, el desafío es aún mayor porque estas identidades suelen tener los mismos privilegios de acceso que una identidad humana. Por ejemplo, una aplicación crítica de negocio puede tener acceso a bases de datos sensibles, sistemas ERP o incluso plataformas financieras. Sin embargo, la protección se ha centrado históricamente en las identidades humanas, dejando a menudo las identidades de máquina más vulnerables.

Además, los atacantes están aprovechando nuevas vías, como la explotación de bibliotecas comprometidas o la manipulación de aplicaciones mediante la introducción de vulnerabilidades en su ciclo de vida.

El nivel de madurez de seguridad de las empresas también influye en cómo priorizan sus esfuerzos. Normalmente, las organizaciones comienzan asegurando las identidades humanas. Una vez que esta base está cubierta, dependiendo del presupuesto y la criticidad de las aplicaciones, pueden pasar a proteger las identidades de máquina. Sin embargo, estas últimas suelen quedar relegadas a fases posteriores debido a la percepción de menor urgencia o falta de recursos.

Los atacantes, conscientes de estas lagunas, tienden a enfocar sus esfuerzos en comprometer aplicaciones o sistemas automatizados porque, a menudo, están menos protegidos.

[MCPRO] Llegados a este punto, ¿cómo se diferencia CyberArk de sus competidores en la gestión y protección de identidades?

[Albert Barnwell] En CyberArk llevamos más de 25 años en el mercado, lo que nos otorga una sólida experiencia y trayectoria. Contamos con una base global de más de 5.000 empleados y desde nuestros inicios nos hemos enfocado en la gestión y protección de cuentas privilegiadas, que son clave en la seguridad de cualquier organización. Este enfoque nos ha convertido en referentes en el sector.

Lo que nos diferencia es nuestra estrategia de evolución continua. Desde siempre hemos tratado las identidades como un elemento crítico de seguridad, independientemente de su tipo.

En la actualidad, cualquier identidad, ya sea humana o de máquina, puede convertirse en privilegiada en algún momento, y eso representa un riesgo significativo si no se gestiona adecuadamente. Por eso, hemos aplicado todo nuestro conocimiento sobre la gestión de cuentas de alto riesgo a cualquier tipo de identidad, ya sea una cuenta de un usuario, un administrador, un desarrollador, o incluso una identidad de máquina.

En el caso de las identidades humanas, como las de los administradores o desarrolladores que gestionan entornos críticos en las empresas, implementamos controles que aseguran que están siempre protegidas, minimizando los riesgos de accesos no autorizados o ataques. Pero también hemos extendido esta misma protección a las identidades de máquinas, de modo que ambas deben estar sujetas a los mismos controles de seguridad para garantizar que no se conviertan en vectores de ataque.

Lo que nos hace únicos es nuestra capacidad para abordar la seguridad de manera integral, lo que nos permite proteger no solo el presente, sino también los entornos futuros, en los que las máquinas tendrán un rol cada vez más importante.

[MCPRO] ¿Cómo es vuestro cliente más habitual en España?

[Albert Barnwell] En España, el mercado de CyberArk se centra principalmente en grandes empresas, aunque también hemos incrementado nuestra presencia en el segmento de medianas empresas e incluso en las pymes. Pero actualmente, más del 50% de nuestras implementaciones están dirigidas a grandes compañías de sectores como finanzas y banca, tecnología, gestión de infraestructuras críticas o manufactura.

Si bien los clientes financieros y tecnológicos continúan siendo los más importantes, otras industrias están adoptando nuestras herramientas a medida que reconocen la importancia de proteger sus identidades y sistemas. Además, el mercado en España está creciendo en todos los niveles.

Por ejemplo, hemos observado un crecimiento exponencial en empresas tecnológicas, que, por la naturaleza de su negocio, están más expuestas a ciberamenazas y necesitan proteger datos críticos. En estas organizaciones, la ciberseguridad se percibe como una necesidad estratégica, lo que impulsa una adopción más rápida de nuestras soluciones.

[MCPRO]  Uno de los temas recurrentes en el sector es la enorme cantidad de soluciones de seguridad que conviven dentro de una empresa, por lo que añadir una más siempre es complicado…¿cómo afrontáis este dilema?

[Albert Barnwell] Así es. Una de las principales resistencias que encontramos en las empresas es la percepción de que la ciberseguridad es un costo adicional y no una prioridad inmediata. En muchos casos, CISOs deben justificar la inversión en seguridad frente a otros proyectos de negocio críticos y no siempre es fácil.

Además, el costo y la complejidad de implementar múltiples soluciones de diferentes fabricantes es otro obstáculo importante. Lo que estamos viendo es una tendencia hacia la consolidación de soluciones. Vemos cómo más fabricantes están desarrollando plataformas integrales que permiten a las empresas reducir costes y simplificar sus operaciones.

En este sentido, nuestras soluciones se integran fácilmente con las de otros fabricantes y plataformas. Además, somos una empresa 100% canal y trabajamos en colaboración con otros fabricantes para garantizar la compatibilidad e integración de nuestras soluciones.

[MCPRO] ¿Cómo utiliza CyberArk la inteligencia artificial y cómo aborda las amenazas que esta tecnología puede generar?

[Albert Barnwell] CyberArk utiliza la IA para optimizar procesos y mejorar nuestras herramientas. Pero es verdad que los actores maliciosos también emplean esta tecnología para potenciar sus ataques.

En nuestras herramientas la IA juega un papel destacado a la hora de automatizar procesos, definir políticas de seguridad o detectar actividades sospechosas en tiempo real. Al mismo tiempo es verdad que los atacantes hacen uso de la IA para mejorar sus técnicas de suplantación de identidad, desarrollar ataques de phishing más sofisticados o incluso burlar las defensas.

Lo que intentamos es que nuestros clientes estén siempre un paso por delante, poniendo en sus manos por ejemplo herramientas que les ayudan a identificar intentos de suplantación y otros basados en IA. Por supuesto, nada de esto es sencillo.

[MCPRO]  En todo esto va a tener una importancia muy significativa vuestra reciente compra de Venafi. ¿Cómo se integra esta adquisición en vuestra estrategia?

[Albert Barnwell] La reciente adquisición de Venafi representa un paso importante en nuestra estrategia de consolidarnos como una plataforma integral de gestión de identidades. Venafi es líder en la automatización y gestión de certificados, lo que como ya hemos comentado, es crítico para asegurar la identidad de las máquinas.

Hay que tener en cuenta que muchas empresas manejan cientos de certificados de forma manual, lo que genera riesgos como certificados no renovados o mal gestionados, que pueden convertirse en vectores de ataque. Ahí Venafi automatiza este proceso. Pero es que, además, la frecuencia de renovación de certificados ha aumentado significativamente. Se ha pasado de una exigencia de renovación anual o semestral a otra de 90 días, lo que incrementa la carga de trabajo para las empresas.

Ahora mismo, estamos en proceso de integrar las soluciones de Venafi con nuestra infraestructura tecnológica, pero mantendremos cierto grado de autonomía en los equipos de Venafi para acelerar su crecimiento.

[MCPRO]  Para terminar, ¿de qué forma está creciendo CyberArk y qué objetivo se marca para los próximos años?

[Albert Barnwell] A nivel global, CyberArk mantiene un ritmo de crecimiento anual de doble dígito y creemos que precisamente la adquisición de Venafi no solo refuerza este crecimiento, sino que también apunta a diversificar nuestra oferta.

Nuestro objetivo es seguir creciendo de forma orgánica e inorgánica, por lo que seguiremos explorando oportunidades estratégicas que pudieran reforzar nuestra posición en el mercado. La mejor prueba la tenemos en España. En pocos años hemos pasado de ser diez empleados a formar un equipo de más de 60 personas, lo que nos permite acompañar a nuestros clientes durante todo el ciclo de vida de sus proyectos.

Periodista tecnológico con más de una década de experiencia en el sector. Editor de MuyComputerPro y coordinador de MuySeguridad, la publicación de seguridad informática de referencia.

Advertisement
Advertisement

Lo más leído