En el mundo físico, la diferencia es evidente. Si realizas un examen, necesitas demostrar quién eres: no puede ser tu hermano, hermana o amigo. Eso es identificación. Si llegas a casa, necesitas tus llaves: la puerta no se preocupa de quién eres. Eso es autenticación. Una persona tiene una identidad, pero puede usar cientos de llaves diferentes.
En línea, esas dos funciones se han fusionado. Las personas usan su identidad para crear y gestionar su propio acceso. Es como permitir que cada empleado corte sus propias llaves del edificio, las almacene como quiera y las reutilice en otros lugares. Por diseño, cada identidad o contraseña—ya sea de empleados, contratistas o terceros—se convierte en un posible punto de violación, haciendo de las personas la mayor superficie de ataque.
Durante décadas, las empresas confiaron en alertas, capacitación y monitoreo de amenazas. Pero estas medidas solo parcheaban un sistema ya con un 90 % de fugas, ya que toda la infraestructura de ciberseguridad dependía del comportamiento humano. Una sola credencial comprometida aún podía exponer toda la red, no por accidente o negligencia, sino por diseño.
Esto significa que los esfuerzos de ciberseguridad se han dirigido en gran medida a la amenaza equivocada. Para detener las violaciones, el primer paso es corregir la arquitectura rota y separar la identidad del acceso.