IDaaS (Identity as a Service): qué es, cómo funciona y su papel en la seguridad moderna

La identidad como nuevo perímetro de seguridad

La adopción masiva de entornos cloud, aplicaciones SaaS y modelos de trabajo remoto ha transformado por completo la forma en que las organizaciones gestionan la seguridad.

El nuevo punto de control no es la infraestructura. Es la identidad.

Los datos lo confirman: el abuso de credenciales representa el 22% de los incidentes de seguridad confirmados, siendo el principal vector de entrada junto con la explotación de vulnerabilidades (Verizon DBIR 2025). El 74% de las brechas de datos involucran el elemento humano, error, ingeniería social o uso indebido de credenciales (gartner.com).

En este contexto, IDaaS (Identity as a Service) emerge como una solución clave para gestionar identidades en entornos distribuidos. Pero su verdadero valor no reside únicamente en trasladar la identidad a la nube, sino en cómo se integra dentro de un ecosistema más amplio que incluye IAM, PAM, IGA e ITDR.

¿Qué es IDaaS (Identity as a Service)?

IDaaS es un modelo que permite gestionar identidades, autenticación y accesos desde una plataforma cloud centralizada. A diferencia de los sistemas tradicionales de directorio, IDaaS cambia la lógica de operación completa.

En lugar de depender de infraestructuras locales rígidas, las organizaciones pueden gestionar usuarios, accesos y políticas de forma dinámica, escalable y accesible desde cualquier ubicación. Esto permite responder con rapidez a cambios organizativos, integrar nuevas aplicaciones y adaptarse a entornos híbridos sin fricción.

El mercado refleja esta tendencia: el mercado global de IDaaS fue valorado en aproximadamente 9.000 millones de dólares en 2024 y se proyecta que alcance los 42.200 millones en 2031, con un CAGR del 24,69% (mesh.security).

Sin embargo, esta flexibilidad introduce un nuevo reto: cuanto más centralizada está la identidad, mayor es su criticidad.

IDaaS dentro del ecosistema de identidad: IAM, PAM, IGA e ITDR

Para entender realmente IDaaS, es necesario situarlo dentro del conjunto de disciplinas que conforman la seguridad de identidad moderna:

IAM (Identity & Access Management) actúa como la base operativa, permitiendo que los usuarios accedan a los recursos que necesitan de forma eficiente y controlada.

PAM (Privileged Access Management) introduce controles estrictos sobre cuentas con privilegios elevados, reduciendo el riesgo de abuso o acceso indebido a sistemas críticos.

IGA (Identity Governance & Administration) aporta gobernanza, asegurando que cada identidad y cada permiso estén alineados con políticas internas y requisitos regulatorios como NIS2, DORA o el ENS.

ITDR (Identity Threat Detection and Response) introduce inteligencia sobre el comportamiento, detectando anomalías y respondiendo a amenazas en tiempo real.

En este ecosistema, IDaaS se posiciona como la capa que habilita y conecta todo en entornos cloud. No sustituye a IAM, PAM, IGA o ITDR, los potencia, permitiendo que funcionen de forma integrada en un entorno distribuido donde la identidad es el único elemento constante.

De la autenticación al control continuo

Uno de los errores más comunes al adoptar IDaaS es pensar que la autenticación centralizada es suficiente.

Funcionalidades como Single Sign-On (SSO) o autenticación multifactor (MFA) mejoran significativamente la seguridad y la experiencia de usuario. Sin embargo, también concentran el riesgo: si una identidad es comprometida, el atacante puede acceder a múltiples sistemas de forma simultánea.

Aquí es donde entra en juego el resto del ecosistema:

• IAM gestiona el acceso.
• PAM controla los privilegios.
• IGA asegura que los permisos sean correctos.
• ITDR detecta comportamientos anómalos.
• IDaaS actúa como punto de entrada.

Pero el control real ocurre después de la autenticación.

Incidentes reales: cuando la identidad en la nube se convierte en objetivo

La criticidad de la identidad como servicio ha quedado patente en varios incidentes de referencia.

Okta (2022). El compromiso de este proveedor de identidad generó un impacto en cadena sobre múltiples organizaciones dependientes de sus servicios. El incidente demostró que cuando la identidad está centralizada, su protección se convierte en una cuestión crítica a escala global. (Fuente: cronup)

Snowflake (2024). 165 organizaciones de todo el mundo fueron atacadas usando credenciales robadas procedentes de infecciones de infostealer. Las cuentas afectadas no tenían MFA activado, lo que significaba que el acceso solo requería usuario y contraseña válidos.

Change Healthcare (2024). El atacante utilizó credenciales robadas para acceder al servicio de acceso remoto Citrix de la empresa, que no tenía autenticación multifactor habilitada. El pago del rescate fue de aproximadamente 22 millones de dólares.

Estos casos tienen un denominador común: no se explotaron vulnerabilidades técnicas complejas. Se usaron credenciales válidas sobre accesos mal controlados.

Beneficios reales de adoptar IDaaS

A pesar de los riesgos, el valor de IDaaS es indiscutible:

• Simplifica la gestión de identidades en entornos híbridos y multicloud.
• Reduce la dependencia de infraestructura local costosa y rígida.
• Mejora la experiencia del usuario con SSO y autenticación adaptativa.
• Facilita el cumplimiento de NIS2, DORA, GDPR y ENS mediante trazabilidad y control de accesos.
• Permite integrar nuevas aplicaciones y escalar sin fricción.

Estos beneficios solo se materializan plenamente cuando IDaaS se integra dentro de una estrategia de seguridad más amplia.

Limitaciones: cuando la identidad se convierte en punto único de fallo

El principal riesgo de IDaaS es su propia fortaleza: la centralización.

Cuando toda la identidad de la organización depende de un único servicio, cualquier fallo, vulnerabilidad o mala configuración puede tener un impacto masivo. Además, muchas organizaciones asumen que delegar la identidad en la nube implica delegar también la seguridad. Este es un error crítico.

El proveedor gestiona la plataforma. La organización sigue siendo responsable del uso.

Sin controles adicionales sobre cómo se materializa ese acceso, la identidad en la nube puede convertirse en el vector de ataque más eficaz disponible.

Cómo Cosmikal complementa IDaaS: del acceso a la ejecución controlada

Mientras IDaaS gestiona quién puede acceder, Cosmikal controla cómo se materializa ese acceso.

Endurance introduce un cambio fundamental en la arquitectura de seguridad: el usuario no accede directamente a aplicaciones o sistemas críticos, sino a través de un espacio de trabajo remoto blindado (RSW) donde cada interacción queda supervisada, registrada y auditada en tiempo real.

Este enfoque permite:

• Eliminar accesos directos a sistemas críticos.
• Reducir el riesgo de movimientos laterales.
• Limitar el impacto de credenciales comprometidas.
• Garantizar trazabilidad completa de cada sesión.
• Cumplir con los requisitos de ENS, NIS2 y DORA.

En otras palabras: transforma la identidad en un punto de control real, no solo en un mecanismo de autenticación.

Caso práctico: un usuario accede a múltiples aplicaciones críticas mediante IDaaS. En un modelo tradicional, una vez autenticado, interactúa libremente con los sistemas, si su identidad se compromete, el atacante hereda ese acceso completo.

Con Endurance, el acceso se canaliza a través de un espacio de trabajo remoto blindado. El usuario se autentica con normalidad, pero su interacción con los sistemas ocurre en un entorno completamente aislado del exterior. Esto elimina el contacto directo entre el usuario y los activos de la organización, impidiendo la manipulación o descarga no autorizada de información. Cada sesión queda completamente auditada y puede ser videograbada, proporcionando una trazabilidad total de cada acción realizada.

El resultado es un modelo de acceso donde la identidad autentica, pero Endurance controla, registra y protege todo lo que ocurre después.

El futuro de la identidad: de servicio a control

La evolución de IDaaS apunta hacia modelos cada vez más distribuidos, inteligentes y automatizados: autenticación passwordless, identidades descentralizadas e integración con inteligencia artificial para detección de anomalías en tiempo real.

Pero a medida que aumenta la dependencia de la identidad, aumenta también la necesidad de controlarla con mayor precisión.

El futuro no será solo identity-as-a-service. Será identity-as-a-control.

Conclusión

IDaaS representa un paso clave en la evolución de la gestión de identidades hacia modelos cloud. Permite adaptarse a entornos modernos, mejorar la experiencia del usuario y simplificar la operación.

Sin embargo, la identidad no solo debe ser gestionada: debe ser gobernada, monitorizada y controlada.

Solo cuando IDaaS se integra con IAM, PAM, IGA e ITDR, y se complementa con arquitecturas de acceso controlado como Endurance, es posible construir un modelo de seguridad realmente resiliente.

En un mundo donde iniciar sesión es el nuevo vector de ataque, proteger la identidad ya no es suficiente. Es necesario entenderla, supervisarla y controlarla en todo momento.