Identity and Access Management (IAM): Definición, Ejemplos

IAM es el framework para quién puede acceder a qué — autenticación + autorización + auditoría. Least privilege, MFA, RBAC, SSO son centrales.

¿Qué es Identity and Access Management (IAM)?

Identity and Access Management (IAM) es la disciplina de gestionar identidades digitales y controlar a qué pueden acceder esas identidades. IAM combina autenticación (probar quién es alguien), autorización (decidir qué pueden hacer) y auditoría (rastrear qué hicieron). Es fundamental para seguridad: cada breach involucra fallo IAM en algún nivel.

IAM moderno abarca plataformas cloud (AWS IAM, Azure AD/Entra ID, Google Cloud IAM), workforce identity (Okta, OneLogin), customer identity (Auth0, Cognito) y servicios directorio on-prem (Active Directory, LDAP).

Los tres pilares de IAM

Pilar	Pregunta respondida	Mecanismos
Autenticación (AuthN)	¿Quién eres?	Contraseñas, MFA, biometría, SSO, certificados
Autorización (AuthZ)	¿Qué tienes permitido hacer?	Roles, policies, ACLs, ABAC, RBAC
Auditoría	¿Qué hiciste?	Logs, SIEM, access reviews, anomaly detection

Conceptos centrales IAM

Identidad

Una referencia única a un usuario, servicio o dispositivo.

Autenticación

Probar que la identidad es quien dice ser.

Autorización

Decidir qué acciones la identidad autenticada puede realizar.

Rol

Una colección named de permisos.

Policy

Un documento especificando acciones permitidas y denegadas en recursos.

Grupo

Una colección de identidades.

Single Sign-On (SSO)

Una sesión login desbloquea múltiples aplicaciones.

Multi-Factor Authentication (MFA)

Requiere múltiples factores de autenticación.

RBAC vs ABAC vs PBAC

Modelo	Decisión basada en	Caso uso
RBAC (Role-Based)	Rol(es) del usuario	Más común
ABAC (Attribute-Based)	Atributos de user, recurso, entorno	Fine-grained, dinámico
PBAC (Policy-Based)	Evaluación motor policy centralizado	Moderno, decoupled — estilo OPA
ACL (Access Control List)	Mapping per-recurso usuario/permiso	Sistemas archivos

Mejores prácticas IAM

Least privilege.
Habilitar MFA en todos lados.
Usar SSO para workforce.
Auditar accesos regularmente.
Rotar credenciales.
Separar deberes.
Loguear todo.
Usar service accounts apropiadamente.
Federar identidades.
Planear para offboarding.

Plataformas IAM principales

Plataforma	Mejor para	Pricing
AWS IAM	Control acceso recursos AWS	Gratis
Microsoft Entra ID	Workforce IAM	Per-user
Okta	Workforce SSO + lifecycle	Per-user/mes
Auth0	Customer IAM	Gratis hasta 7.500 MAU
Google Cloud IAM	Recursos GCP	Gratis
JumpCloud	Directorio cross-platform	Per-user
Ping Identity	SSO + MFA enterprise	Cotizado
Active Directory	Entornos Windows on-prem	Con licencia Windows Server

Fallos IAM comunes

Cuentas over-privileged.
Cuentas compartidas.
Credenciales hardcoded.
Cuentas obsoletas.
Sin MFA en cuentas admin.
Políticas password débiles.
Sin access reviews.
Bypass phishing-based de SSO.

FAQ: IAM

¿Cuál es la diferencia entre autenticación y autorización?

Autenticación = probar quién eres. Autorización = decidir qué puedes hacer.

¿Es suficiente RBAC para apps modernas?

Para la mayoría: sí. Para SaaS multi-tenant complejos: ABAC o PBAC.

¿Qué es IAM en cloud (AWS IAM)?

El control plane para quién/qué puede acceder a recursos AWS.

¿Debería usar Okta o construir mi propio SSO?

Comprar. Okta/Auth0/Microsoft Entra resuelven un problema difícil.

¿Qué es least privilege?

Otorgar solo los permisos mínimos que alguien necesita.

¿Cómo difiere IAM de PAM?

IAM cubre todas las identidades. PAM (Privileged Access Management) es un subset enfocado en cuentas highly-privileged.

Testea APIs IAM-protegidas con LoadFocus

Si estás load-testeando APIs que usan SSO/OAuth/SAML para autenticación, LoadFocus corre scripts JMeter y k6 desde 25+ regiones con hasta 12.500 VUs. Regístrate en loadfocus.com/signup.

¿Qué tan rápido es tu sitio web?

Mejora su velocidad y SEO sin problemas con nuestra Prueba de Velocidad gratuita.

Comience a probar ahoraComience de forma gratuita. Sin tarjeta de crédito de antemano.