La identidad ha sido considerada durante mucho tiempo como la piedra angular de la ciberseguridad, pero su capacidad para mantenerse por sí sola está disminuyendo. A medida que los actores de amenazas aprovechan cada vez más la IA y las técnicas de phishing sofisticadas, el enfoque tradicional de simplemente verificar la identidad del empleado está demostrando ser insuficiente. El auge de SaaS, las políticas de BYOD y los modelos de trabajo híbrido significan que una credencial válida ya no equivale automáticamente a una conexión segura. ## El punto ciego post-autenticación Si bien la autenticación multifactor (MFA) fue diseñada para cerrar esta brecha, los kits de phishing modernos ahora permiten a los atacantes interceptar y proxyficar la autenticación en tiempo real, robando tokens de sesión incluso después de completar con éxito la MFA. La víctima completa involuntariamente todas las verificaciones de seguridad, mientras que el atacante obtiene acceso con una cookie de sesión válida. La **Publicación Especial 800-207 de NIST**, la base de la arquitectura Zero Trust, previó este desafío. Enfatiza la necesidad de ir más allá de la confianza implícita después de la autenticación inicial e incorporar la postura de seguridad del dispositivo en las decisiones de acceso. En la práctica, muchas organizaciones todavía tratan la autenticación como un evento único. Se verifica la identidad, se pasa la MFA y comienza una sesión, manteniendo la confianza hasta que expira el token. Críticamente, un token de sesión en el navegador de un atacante parece idéntico a uno en el navegador del usuario, lo que hace que los registros de autenticación tradicionales no puedan diferenciarlos. ## Dónde falla Zero Trust Muchas implementaciones de Zero Trust priorizan la identidad, centrándose en fortalecer la autenticación, aplicar MFA, reducir la dependencia de contraseñas e implementar políticas de inicio de sesión basadas en riesgos. Sin embargo, la verificación del dispositivo a menudo se aplica de manera inconsistente, deteniéndose frecuentemente en el inicio de sesión o limitándose a flujos de trabajo basados en navegador dentro de marcos de acceso condicional. Los protocolos heredados, las herramientas de acceso remoto y las integraciones de API a menudo heredan la confianza implícitamente una vez que se establece la identidad. Esto crea un modelo de seguridad fragmentado. Los dispositivos personales y de terceros pueden estar débilmente controlados o no gestionados en absoluto. La confianza de la sesión persiste incluso si la postura del dispositivo se degrada a mitad de sesión. Las señales de identidad y las señales del endpoint residen en herramientas separadas con integración limitada. La identidad se examina intensamente al iniciar sesión, pero el acceso rara vez se reevalúa de manera significativa. ## El dispositivo: La pieza que falta Una contraseña robada utilizada desde una laptop controlada por un atacante no debería tratarse igual que la misma contraseña utilizada desde un endpoint corporativo cifrado y compatible. Sin embargo, esto es precisamente lo que sucede cuando el acceso se rige únicamente por la identidad. La postura del dispositivo proporciona información crítica que la identidad por sí sola no puede. ¿Está cifrado el dispositivo? ¿Está activa y actualizada la protección del endpoint? ¿Está parcheado el sistema operativo? ¿Ha desviado la configuración de la política? ¿Es este hardware aprobado? Crucialmente, estas respuestas deben mantenerse actualizadas durante toda la sesión. Las actualizaciones pueden retrasarse, la protección del endpoint puede deshabilitarse y se puede instalar software no autorizado. Las condiciones al iniciar sesión no son necesariamente las mismas que las condiciones posteriores en la sesión. La verificación continua del dispositivo reduce el valor de las credenciales robadas y los tokens interceptados al vincular el acceso no solo a la identidad, sino también a un endpoint confiable y saludable. ## Cuatro principios para un modelo más sólido Un enfoque más robusto combina la identidad con la verificación continua del dispositivo. Esto se traduce en las siguientes prácticas: 1. **Verificar continuamente tanto al usuario como al dispositivo:** El acceso debe ser condicional a la salud del dispositivo, no solo a la identidad. Deben ocurrir ajustes en tiempo real a los niveles de confianza si la protección del endpoint se deshabilita o el cifrado se desactiva a mitad de sesión. Esto mitiga efectivamente los riesgos asociados con credenciales robadas, repetición de tokens, fatiga de MFA y endpoints controlados por atacantes. 2. **Vincular el acceso a hardware aprobado:** Implementar controles basados en dispositivos para registrar hardware confiable y diferenciar entre endpoints corporativos, personales y de terceros. Las credenciales válidas utilizadas desde un dispositivo no reconocido no deberían otorgar acceso simplemente porque la MFA fue exitosa. 3. **Aplicar una aplicación proporcional:** Evitar controles rígidos que conduzcan a soluciones alternativas. Una estrategia de postura madura puede aplicar restricciones condicionales, privilegios reducidos o períodos de gracia limitados en el tiempo en lugar de recurrir a bloqueos duros. Este equilibrio es crucial para equipos híbridos y remotos. 4. **Habilitar la remediación de autoservicio:** Si la confianza está ligada a la salud del dispositivo, los usuarios necesitan una forma de restaurar esa confianza. Las correcciones guiadas para el cifrado, las actualizaciones del sistema operativo o la protección del endpoint empoderan a los empleados para resolver problemas de postura sin requerir intervención de TI o perder acceso innecesariamente. Soluciones como **Specops Device Trust** operacionalizan este modelo al extender las decisiones de confianza más allá de la identidad y mantener la aplicación a medida que cambian las condiciones. Autentica continuamente a los usuarios y verifica sus dispositivos en plataformas Windows, macOS, Linux y móviles, no solo al iniciar sesión.  La identidad sigue siendo importante, pero ya no puede soportar todo el peso de las decisiones de acceso por sí sola.