Identidad digital en la administración pública o cuando el perímetro ya no existe

identidad digital
Comparte la noticia

La pregunta parecía sencilla pero, en cuanto se lanzó sobre la mesa, desató casi una hora de debate. ¿En qué punto se encuentra la gestión de identidades en las Administraciones Públicas? Varios responsables de tecnología e innovación de varias entidades que se reunieron en un encuentro de la comunidad ByTC, patrocinado por Semperis y SailPoint, dieron, en parte, respuesta a esta cuestión.

Se ha avanzado, pero queda mucho camino por recorrer, y la pandemia fue, para bien o para mal, el detonante que obligó a acelerar un proceso que llevaba años postergado. Este fue el primer análisis de la situación y eel punto de partida del encuentro de la comunidad ByTIC.

Uno de los primeros conceptos que apareció en la conversación fue la obsolescencia del modelo tradicional de seguridad perimetral. Durante años, las organizaciones solían construir una frontera clara que marcaba la diferencia entre lo que estaba dentro y lo que estaba fuera de la red corporativa. Ese modelo, según coincidieron los participantes, ya no responde a la realidad operativa de las administraciones públicas actuales.

Miguel Ángel Abeledo, CISO del Grupo Tragsa, aseguraba que «estamos cruzando el legacy, lo que es la gestión de identidad clásica del on-prem y del mundo del Active Directory frente a la evolución hacia el Zero Trust, que supone salir del perímetro y controlar la identidad con mecanismos más gobernados por el usuario y controlando la actividad más que el acceso al perímetro. En ese sentido, el grado de madurez todavía queda mucho por hacer porque estamos todavía en ese salto que hay que hacer hacia infraestructuras modernas.»

Por su parte, Francisco Javier Gómez, Jefe Ciberseguridad del puesto de trabajo digital de RENFE, ilustraba ese cambio con la experiencia concreta de su organización. Para una empresa cuya actividad es intrínsecamente móvil, el confinamiento de 2020 no supuso el mismo shock que para otras entidades. «El tema de la pandemia nos hizo ver que realmente la gente ya no está trabajando en la oficina. Y con esto nos dimos cuenta de otra cosa: que teníamos muchísimo adelantado, porque somos una empresa en movilidad, tenemos a más de la mitad de la compañía dando vueltas por toda España», señalaba. Sin embargo, ese desplazamiento del perímetro trajo consigo otra consecuencia quizá menos deseada y prevista: «dejar toda la seguridad en manos de quien antes era el mayor enemigo de la seguridad, que es el usuario. Con unas herramientas, una concienciación, una educación, le estamos diciendo: tú vas a poder estar donde quieras, no te voy a estar controlando», señalaba.

La pandemia como punto de inflexión real

La irrupción del teletrabajo generalizado fue mencionada de forma recurrente como el momento en que muchas organizaciones tuvieron que hacer frente a sus carencias en materia de gestión de accesos e identidades. José Luis Merino, jefe de Ciberseguridad del Ayuntamiento de Alcobendas, explicaba cómo la situación cambió radicalmente la percepción inicuos de los propios empleados. «Los retos que tenemos en cuanto a la identidad han cambiado muchísimo desde la pandemia a esta parte. La gente que está teletrabajando se piensa que puede hacer lo mismo que podía hacer cuando estaba en local. Los accesos los hemos cambiado y la dificultad es que la gente entienda, gente que no tiene competencias digitales, que no se puede acceder como antes», detallaba

Mientras, José Arbues, Director del centro de Inteligencia Institucional de la Universidad Complutense de Madrid, confesaba que por aquel entonces «nos creíamos que ya habíamos construido todos nuestros castillos VPN de cincuenta niveles distintos de seguridad. Cuando llegó la pandemia estábamos súper preparados para trabajar en remoto. Y os puedo decir que el 99,9% de los incidentes de seguridad son por temas de suplantación de identidad.» Esa cifra puso en evidencia que la sofisticación técnica de una infraestructura no garantiza por sí sola la protección frente al vector de ataque más frecuente.

Avanzada la conversación, Daniel Gaspar, Enterprise Sales Director de Semperis, introdujo el concepto de lo que denominó «identidades en la sombra», es decir, las cuentas de servicio. Esas cuentas técnicas que permiten que las aplicaciones se comuniquen entre sí y que operan de forma autónoma sin un propietario humano identificable, representan uno de los flancos menos controlados en la gran mayoría de organizaciones.

«La gente lo que hace es darle a la aplicación todos los privilegios para que no falle, porque es una aplicación que usa el alcalde o el director y no puede fallar nunca. Si alguien suplanta esa cuenta de servicio, tenemos un problema. Y el problema con muchas de las audiencias con quienes yo hablo es que no saben cuántas tienen, no saben qué aplicación conecta de origen al destino y mucho menos saben quién es el responsable de esa cuenta», señaló Gaspar. La llegada de la inteligencia artificial agentiva añade una capa adicional de complejidad a este escenario, ya que los agentes de IA operan precisamente a través de este tipo de cuentas, multiplicando el número de identidades no humanas que circulan por las redes corporativas.

Cuentas compartidas, sindicatos y el problema del teléfono

Uno de los debates más concretos y directos surgió en torno a la cuestión de las cuentas compartidas y los dispositivos móviles. Francisco Javier Gómez reconocía que en Renfe «nuestro mayor problema son las cuentas compartidas. Son cosas peligrosas porque igual que tienes acceso a ese equipo, una vez que estás dentro, ya sabes que tienes acceso a todo. Y ahora esto ya no es tanto un problema de seguridad técnico o estructural, sino más bien de pegarnos con los sindicatos” porque los que trabajan en un sitio van a tener que cambiar la forma de trabajo, van a tener que meter su propio usuario o su huella

La negativa de los sindicatos a aceptar el uso del teléfono personal como factor de autenticación fue uno de los obstáculos prácticos más discutidos. En el caso de Renfe, el problema se agudiza porque parte de los trabajadores no tiene teléfono de empresa, por lo que solicitar un número personal para enviar un código de verificación entra en conflicto con la normativa de protección de datos. El Ayuntamiento de Alcobendas encontró una fórmula alternativa a través del reglamento de teletrabajo. «El usuario acepta que pone a disposición de su trabajo una serie de recursos, y dentro de ese listado está que también pone a disposición el teléfono. Si queréis teletrabajar, estáis consintiendo que se utilice el teléfono para hacer el doble factor en el acceso. Choca un poco con la parte de la privacidad, pero es la única forma que hemos conseguido de que podemos hacerlo», explicó José Luis Merino.

Sin embargo, Miguel Ángel Abeledo aportaba al debate una sentencia judicial que complica aún más el panorama regulatorio. Según explicaba, «hay una sentencia muy reciente en la que el Tribunal Supremo ha avalado que no se le puede exigir al empleado, aunque sea mediante consentimiento, que use su dispositivo personal. La única vía para evitar dispositivos descontrolados que puedan inyectar amenazas es el dispositivo corporativo con un MDM (sistema de gestión de dispositivos móviles) bueno, aunque el tema de la partición también tiene sus complicaciones, porque si tienes el ámbito separado, el propio empleado desconfía de si lo están localizando o rastreando.»

El cementerio de identidades

Pero más allá de estas cuestiones legales, otro de los asuntos que generó la atención durante el encuentro de ByTIC fue el de las identidades huérfanas, aquellas que permanecen activas en los sistemas mucho después de que el empleado o colaborador haya dejado la organización. Ana Martínez, Sales Executive de SailPoint, puso el foco en el problema con un caso ilustrativo: una aerolínea cuyos jubilados y sus familias conservaban beneficios vinculados a cuentas activas, y en la que incluso había identidades de personas fallecidas cuyos familiares seguían aprovechando esos privilegios. La expresión «cementerio de identidades» circuló por la mesa en un claro síntoma de que todos reconocían haber visto situaciones similares en cada una de sus organizaciones.

Meintras, Marta Muñoz, Jefa de Sección Gestión de procedimientos Oficina Municipal Investigación de Consumo del Ayuntamiento de Madrid, describía detalladamente el funcionamiento de sus procesos de baja de usuarios y de identidades, asegurando que en su caso es un proceso que está completamente automatizados. «En el momento que tú te jubilas, en ese mismo momento dejas de poder acceder. Es automático.» Sin embargo, aclaró que el período de cuarentena de las cuentas antes de su eliminación definitiva varía, porque a veces es necesario mantener el acceso a correos electrónicos para resolver reclamaciones pendientes. María José Candel, Directora de transformación digital del Instituto Cervantes, señaló que la dispersión geográfica de su plantilla, con empleados en decenas de países, añade una complejidad adicional a este proceso, especialmente en territorios con marcos normativos o infraestructuras de red diferentes a los europeos.

Francisco Javier Gómez plantaba en este punto una práctica extendida también en entidades privadas con estructuras similares a las públicas, conocida por su experiencia en el sector priado. «Lo que se hace es que cuando se ve que un usuario no ha entrado en dieciséis meses, se le anula», imponiendo la inactividad como criterio de baja automática. Esta posible solución fue bien recibido, aunque varios participantes señalaron que en el sector público la casuística es más compleja debido a los distintos tipos de vinculación contractual.

Quién tiene acceso a qué: la pregunta sin respuesta fácil

Por eso, Ana Martínez planteó una pregunta directa a los asistentes: “¿sabéis dentro de vuestras organizaciones quién tiene permisos sobre qué aplicaciones?”. Las respuestas fueron un intercambio de experiencias, que aunque en su mayoría puede darse como una negativa a ese conocimiento (o no del todo), también dejaron entrever y que los cambios de puesto o de responsabilidades agravan constantemente esa situación.

Así, José Arbues describía con detalle los mecanismos que emplea la Complutense para hacer un seguimiento de esos cambios, aunque reconoció que la automatización está lejos de ser completa. «Los cambios en el puesto son, a veces, traumáticos. Yo tengo a dos personas dedicadas que cada semana revisan el Boletín Oficial de la Complutense con los cambios en todos los departamentos.» Ante la pregunta de si esos cambios se reflejan de forma automática en los sistemas de recursos humanos, la respuesta fue negativa: los cambios se registran, pero no se replican automáticamente en todas las aplicaciones.

Martínez subrayó que la solución a este problema pasa por el principio de mínimo privilegio. Es decir, «que cada persona tenga simplemente los accesos que necesita para desempeñar su puesto, y si cambian de puesto, que automáticamente alguien sepa que su perfil ha cambiado. En banca y seguros llevan muchos años trabajando en esto porque los reguladores se lo exigían. Ahora en el sector público nos encontramos con que el Esquema Nacional de Seguridad, el teletrabajo, la transformación digital y la necesidad de que todos los servicios al ciudadano estén disponibles de forma digital nos lo están exigiendo también». Además, en su opinión, la identidad “no es un proyecto, es un programa, porque nunca se acaba. Hay nuevas aplicaciones, las personas cambian, los permisos cambian, los modelos de autorización cambian. Las organizaciones cambian y las soluciones tienen que adaptarse.»

Miguel Ángel Abeledo coincidió en señalar los beneficios de la automatización, especialmente en lo que respecta a las auditorías, puesto que «es un dolor de cabeza demostrar al auditor que haces una revisión eficaz de los privilegios de acceso en una organización con cientos de servidores de ficheros y miles de servidores. Estoy deseando que avance la implantación de estas herramientas para poder hacerlo de forma más automatizada.»

Una parte significativa del debate giró en torno al papel de los propios usuarios como vector de riesgo y, al mismo tiempo, como primera línea de defensa. La referencia al virus «I love you» de principios de siglo, traída a colación por María José Candel, funcionó como metáfora de una constante histórica: por sofisticados que sean los sistemas técnicos, el ser humano sigue siendo el punto de entrada más frecuente para los atacantes.

Candel fue directa al respecto al reconocer que, “por más sistemas que pongamos, por más recursos que pongamos, al final el agujero está en el usuario. Siempre lo hemos dicho desde el primer día que empezamos a tener problemas. Yo he vivido casos, por poner un ejemplo, en que hackearon a un notario y a mí me llegó un correo del notario diciéndome que pinchara aquí. Yo no piqué porque me pareció raro el mensaje y llamé por teléfono, pero que es muy complicado que el usuario no pique.»

Marta Muñoz habló del esfuerzo formativo del Ayuntamiento de Madrid, donde la demanda de cursos sobre ciberseguridad no deja de crecer entre los funcionarios: «Cada vez son mayores los cursos que se hacen para todos los funcionarios y personal del ayuntamiento, y la verdad es que cada vez es más demandado que aparezca el tema de la ciberseguridad, el manejo del correo electrónico y las contrapartidas que puedes tener si haces un mal uso. Siempre que traemos a un experto en criptoactivos, identidad digital y demás, salimos con la sensación de: madre mía, en qué mundo nos movemos.»

Mientras, Francisco Javier Gómez relató una iniciativa de sensibilización que llevó directamente al aula de su hijo en segundo de bachillerato. «Me fui con un aparato que, según entraba por la puerta con el móvil, si no estaba protegido, en un segundo tenía el móvil, lo tenía todo en el ordenador. Los chavales tomaron conciencia. Eso sería perfecto: poner estos aparatos en la entrada de cada puesto de trabajo, con una pantalla grande que empezara a mostrar lo fácil que es que te hackeen el móvil.»

Miguel Ángel Abeledo fue incluso aún más allá, extendiendo la responsabilidad de la higiene digital al ámbito personal de los empleados. «Siempre lo digo en las sesiones de concienciación: antivirus en vuestro teléfono personal, separado absolutamente del entorno corporativo; un gestor de contraseñas; y proteger al máximo vuestro correo de uso doméstico. Pierdes el Gmail, estás perdido, porque no te das cuenta de que te están espiando durante mucho tiempo y llega un momento en que tienes todos los servicios comprometidos.»

La regulación como motor de cambio

El papel de la normativa como palanca de transformación fue otro de los hilos que salió durante la conversación. José Francisco Gómez, Subdirector de Negocio de Transformación Digital Global Dirección de Negocio de Transportes, Movilidad y Transformación Digital de INECO, que trabaja habitualmente como proveedor para distintas administraciones públicas, señaló que la presión regulatoria ha contribuido a acelerar la concienciación. «A nivel de madurez, si nos comparamos con otros países de la Unión Europea, nos dicen que estamos por encima de la media. Pero se trata de seguir avanzando. La regulación importa mucho porque nos obliga a entrar de forma clara y homogénea», expresaba

Ana Martínez amplió ese argumento con la perspectiva del sector público que “empieza a estar regulado ahora por el Esquema Nacional de Seguridad, pero tradicionalmente las compañías que llevan mucho tiempo reguladas, como la banca, los seguros o las utilities, han sido siempre las pioneras en implantar soluciones de gestión de identidades. El Santander, el BBVA, tienen un montón de personas que se mueven entre oficinas, entre roles, entre cambios, y esas compañías han madurado muchísimo más. Ahora en el sector público nos encontramos con que el esquema nos lo pide, el teletrabajo nos lo pide, la transformación digital nos lo pide.»

En este sentido, también se abordó la necesidad de calibrar la respuesta de seguridad en función del nivel de criticidad de la información que se protege. José Arbues introdujo el concepto de gestión del riesgo al hilo de una demostración práctica con un lector de tarjetas NFC de bajo coste que permite clonar credenciales de acceso físico. «Tenemos laboratorios donde no entra nadie porque son de alta criticidad. Siempre la seguridad tiene que ir unida con el plan de contingencia. Es distinto guardar el expediente de un alumno que se pone en contacto con la universidad para ver qué puede estudiar a uno que ya tiene todo su expediente académico», detallaba. Una idea que José Luis Merino secundó , subrayando que «hay que ponderar el riesgo en función de lo que estás guardando.» Una observación que, en el contexto de unas administraciones públicas que gestionan datos de ciudadanos en todos los ámbitos, desde la salud hasta la recaudación tributaria o la administración de justicia, adquiere una dimensión especialmente relevante. La gestión de identidades, en definitiva, no puede desvincularse de una estrategia integral de gestión del riesgo que tenga en cuenta la diversidad y la sensibilidad de los activos digitales que se protegen.

Pero, ¿qué pasa en aquellos organismos que tienen presencia internacional, como el Instituto Cervantes? Que las cosas pueden complicarse. María José Candel explicaba que, desde 2022, la institución trabaja en un ambicioso plan de transformación digital que ha supuesto la renovación de numerosas aplicaciones y la integración de múltiples APIs. La gestión de identidades ocupa un lugar central en ese proceso, especialmente porque la institución administra desde España a miles de usuarios repartidos por todo el mundo. «Tenemos especialmente la problemática de que tenemos muchísimos usuarios fuera de España que gestionamos desde aquí, y eso complica un poco la gestión, no solo la de identidades, que también», detallaba

Candel señaló que el plan de transformación digital estaba próximo a su conclusión en el momento del encuentro, y que la gestión de identidades había quedado integrada desde el inicio como un elemento estructural. «Con el cambio ya se vio la necesidad de abordar ese problema y está intrínseco al propio sistema que estamos construyendo nuevo. Se han cambiado muchísimas aplicaciones, tenemos muchas APIs de integración que nos exigen hacer un seguimiento y un rastreo importante de todo lo que es el acceso a través de las diferentes identidades. Yo creo que estamos en la dirección correcta.»

Un programa, no un proyecto

Así pues, el debate dejó tras de sí un mapa de los elementos que configuran el estado actual de la gestión de identidades en el sector público español: infraestructuras heredadas que coexisten con entornos en la nube, plantillas distribuidas y móviles, una presión regulatoria creciente, incidentes de suplantación que concentran la mayor parte de los eventos de seguridad, la dificultad de conocer con precisión quién accede a qué, y usuarios cuyo comportamiento, tanto en el ámbito profesional como personal, condiciona de forma determinante el nivel de exposición de las organizaciones.

Frente a ese escenario, la automatización de los procesos de aprovisionamiento y desaprovisionamiento de accesos, la certificación periódica de permisos y la aplicación coherente del principio de mínimo privilegio aparecieron como líneas de actuación sobre las que hay cierto consenso, aunque las dificultades prácticas, desde la negociación con los sindicatos hasta la integración con sistemas de recursos humanos que no hablan de forma automática con las aplicaciones corporativas, muestran que la distancia entre la visión y su implementación efectiva sigue siendo considerable.


Comparte la noticia