Repensando la propiedad de CIAM en la empresa

1. Introducción#

Pregunta en diez empresas quién es el propietario de la identidad de clientes o consumidores (CIAM) y obtendrás diez respuestas diferentes. A veces es el CISO. A veces es el CTO, porque CIAM tiene que integrarse directamente en la aplicación, el sitio web y las API que conforman el producto. A veces es el CPO. A veces es un equipo de fraude que se hizo cargo poco a poco porque nadie más tenía la visión completa. A menudo no es de nadie en absoluto y el sistema es mantenido por un ingeniero de DevOps que lo heredó hace tres reestructuraciones.

El Cuadrante Mágico de Gartner para CIAM divide el IAM de clientes en cinco áreas funcionales: registro, autenticación, autorización, autoservicio y análisis, que casi nunca se asignan de forma clara a un solo equipo. Según Grand View Research, el mercado global de CIAM fue valorado en 8.120 millones de USD en 2023 y se prevé que alcance los 26.720 millones de USD en 2030, con una tasa de crecimiento anual compuesto (CAGR) del 17,4%. Las cuestiones de propiedad aumentan con este gasto.

CIAM es uno de los programas más transversales que ejecutan la mayoría de las empresas B2C. Se encuentra en la intersección entre seguridad, ingeniería, producto, fraude y crecimiento, y cada una de esas funciones se optimiza para una métrica diferente. La propiedad decide qué métrica gana cuando entran en conflicto. Una propiedad ambigua significa que ninguna gana y el programa de identidad se estanca.

Este artículo replantea la propiedad de CIAM para la empresa moderna: los perfiles comunes de propietarios, cómo la industria da forma a la respuesta, por qué los datos fragmentados y la cultura de "no es mi problema" mantienen la pregunta abierta, y cómo es un modelo operativo compartido cuando no hay sobre la mesa una reorganización de la empresa.

1.1 Preguntas que responde este artículo#

En este artículo, abordamos las siguientes cuestiones:

1. ¿Por qué la propiedad de CIAM es ambigua en la mayoría de las empresas y qué cuesta realmente esta ambigüedad?
2. ¿Quiénes son los propietarios habituales de CIAM y cómo optimiza cada uno el programa de forma diferente?
3. ¿Por qué la fragmentación de la propiedad suele correlacionarse con la falta de una capa de análisis de autenticación?
4. ¿Cómo cambia la respuesta el contexto de la industria (comercio electrónico frente a banca frente a B2C regulado)?
5. ¿Dónde duele más la división de la propiedad?
6. ¿Qué KPI de CIAM nadie posee por completo pero todo equipo necesita?
7. ¿Cómo es un cuadro de mando compartido de CIAM y cómo se implementa sin una reorganización?

2. El problema del lanzamiento de la moneda#

2.1 Por qué CIAM es tu programa más transversal#

La identidad de clientes y consumidores afecta a todo. Decide si un usuario puede comprar, renovar, recuperar el acceso o acceder a una función regulada. A la oficina del CISO le importa porque cada evento de autenticación es un evento de seguridad. A la oficina del CTO le importa porque CIAM tiene que integrarse en la aplicación, el sitio web y las API, y cada cambio en el inicio de sesión se publica junto con el código real del producto. A la oficina del CPO le importa porque cada evento de autenticación es un evento de conversión. Al equipo de fraude le importa porque cada step-up (autenticación reforzada) es una señal de fraude. A crecimiento le importa porque la personalización depende de la identificación del usuario. Ningún otro sistema tiene cinco propietarios legítimos a la vez.

2.2 El coste de una propiedad ambigua#

El coste es visible en los despliegues de claves de acceso (passkeys). Las implementaciones que se estancan entre un 5% y un 15% de adopción casi siempre tienen algo en común: no hubo un único propietario que liderara el despliegue de principio a fin. Seguridad financió el piloto, producto diseñó la interfaz de usuario, TI manejó el proveedor de identidad (IDP), fraude controló el step-up y nadie se hizo cargo de incentivar a los grupos de usuarios, que es lo que realmente impulsa el registro. El programa avanzó al ritmo del propietario más lento.

El Barómetro de Autenticación en Línea 2024 de la FIDO Alliance reveló que la familiaridad con las claves de acceso aumentó al 57% a nivel mundial, y el 42% de los encuestados familiarizados con ellas las había habilitado en al menos una cuenta. La brecha entre el conocimiento y la habilitación es donde la propiedad ambigua de CIAM se muestra de forma más concreta: la tecnología funciona, pero el despliegue no. Como ha señalado el analista de Gartner David Mahdi en el contexto de las disciplinas IAM convergentes, "las organizaciones deben replantearse su arquitectura IAM para hacer frente a la creciente descentralización de la gestión de identidades y accesos". Sin un propietario, este replanteamiento no se produce.

2.3 El problema de la analítica desconectada#

Una de las razones por las que tantos equipos acaban teniendo participación en CIAM es que, para empezar, no existe una herramienta compartida de análisis de autenticación. El siguiente diagrama muestra el patrón: cuatro sistemas retienen cuatro partes del viaje de autenticación y no hay nada por encima de ellos que una las señales.

Las directrices de identidad digital de la Publicación Especial 800-63-4 del NIST exigen de forma explícita una "evaluación continua" de la garantía del autenticador, lo que resulta imposible sin una vista de eventos de principio a fin. En la práctica, solo una minoría de los programas B2C tienen esa visión: la Encuesta de Consumidores 2024 de Ping Identity descubrió que el 63% de los consumidores abandonaría una cuenta tras dos malos intentos de inicio de sesión. Esta es una métrica que muy pocos equipos de CIAM llegan a monitorizar, porque los datos necesarios para ello residen en tres sistemas distintos.

Cada propietario protege entonces su parcela. En parte por el presupuesto: el equipo que pagó por los datos siente que se ha ganado su control. Y en parte por influencia: los datos son la manera más fácil de demostrar el valor en una revisión interfuncional. El efecto práctico es que, incluso cuando un problema de CIAM abarca los cuatro sistemas, ninguna persona puede verlo de principio a fin. Una capa dedicada de observabilidad de autenticación elimina esa excusa y normalmente desencadena el debate sobre la propiedad que estaba pendiente.

3. Propietarios habituales#

Cinco funciones suelen reclamar la titularidad de CIAM, y cada una optimiza una métrica distinta. La siguiente comparación resume en qué se mide a cada arquetipo y dónde se encuentra su punto ciego.

3.1 Oficina del CISO#

Optimiza para: tasa de fraude, cobertura de MFA, tasa de cuentas comprometidas y hallazgos de auditoría. Trata a CIAM como un control de seguridad. Puntos fuertes: KPI claros y autoridad presupuestaria bajo presión regulatoria (DORA, NIS2 o NIST 800-63). Puntos ciegos: impacto de la fricción en la conversión, coste de soporte por flujos defectuosos y la experiencia de los muchos usuarios cuyos dispositivos fallan en silencio.

3.2 Oficina del CTO#

Optimiza para: esfuerzo de integración, fiabilidad de la plataforma, calidad del SDK, velocidad de lanzamiento y coste de ingeniería. Trata a CIAM como un problema de integración de productos porque el inicio de sesión es código que se entrega con la aplicación, el sitio web y las API. Puntos fuertes: proximidad al producto, propiedad del SDK del cliente, capacidad para reparar rápidamente flujos defectuosos. Puntos ciegos: matices regulatorios, compensaciones frente al fraude y la higiene de credenciales a largo plazo una vez que la integración está activa. El CIO asume este papel en el sector público y en empresas con TI muy centralizada, pero en la mayoría de negocios dirigidos al consumidor, la oficina del CTO es el perfil que mejor encaja.

3.3 Oficina del CPO o de Producto#

Optimiza para: conversión de inicio de sesión, tasa de activación, éxito de recuperación y tiempo hasta el primer valor. Trata a CIAM como un producto. Puntos fuertes: rigor en UX, pruebas A/B y empatía con el cliente. Puntos ciegos: exposición al fraude, restricciones normativas e higiene de credenciales a largo plazo.

3.4 Oficina de Fraude o de Riesgo#

Optimiza para: tasa de activación de step-up, tasa de falsos positivos, tasa de contracargos y tasa de robo de cuentas. Posee un segmento de la identidad, rara vez todo. Puntos fuertes: modelado de riesgos, señales en tiempo real y respuesta a incidentes. Puntos ciegos: flujos de registro, flujos de recuperación y las partes de la identidad que no son transaccionales.

3.5 Oficina de Crecimiento o Marketing#

Propietario emergente, sobre todo en suscripciones de consumidores y comercio minorista. Optimiza para: tasa de reactivación, inicios de sesión restringidos por ventas cruzadas y preparación para la personalización. Trata a la identidad como el sustrato de los ciclos de crecimiento. Puntos fuertes: mentalidad enfocada en el ciclo de vida y cultura de la experimentación. Puntos ciegos: cualquier cosa que no sea crecimiento.

4. Dónde perjudica realmente la propiedad dividida#

4.1 Aprovisionamiento frente a desaprovisionamiento#

El aprovisionamiento es un problema de eficiencia: qué tan rápido puedes introducir a un usuario en el sistema. El desaprovisionamiento es un problema de seguridad: qué tan rápido puedes expulsar a un usuario comprometido o que se ha marchado. Casi siempre se compran como una única herramienta y están mal ajustadas, porque el propietario enfocado en la eficiencia nunca sufre el problema del desaprovisionamiento, y el propietario centrado en la seguridad nunca sufre el del aprovisionamiento.

4.2 UX gestionada por fraude frente a UX gestionada por producto#

Fraude añade fricción porque la fricción bloquea a los actores maliciosos. Producto elimina la fricción porque la fricción bloquea los ingresos. Cuando ambos equipos dan forma a la misma página de inicio de sesión sin un propietario compartido, el resultado es un compromiso que no satisface a ninguno de los dos: la suficiente fricción como para molestar a los usuarios, pero no la necesaria para detener el fraude. El step-up basado en puntuaciones de riesgo es la respuesta técnica. Un único propietario del viaje es la respuesta organizativa.

4.3 Falta de una visión compartida sobre el rendimiento del inicio de sesión#

La propiedad dividida también perjudica porque no hay una capa de análisis compartida. Las cifras reales del rendimiento del inicio de sesión (tasa de éxito global, éxito de recuperación, tasa de activación de step-up, uso de alternativas por cohorte y éxito por método como contraseñas, OTP, inicio de sesión social, claves de acceso) se encuentran dispersas entre el IDP, la suite de análisis de producto, el motor de fraude, el SIEM y algunas hojas de cálculo intermedias. Cada equipo ve su propia parcela, nadie ve todo el viaje y los síntomas quedan ocultos en métricas que parecen correctas individualmente, pero ocultan el problema real.

Un inicio de sesión lento para usuarios con versiones antiguas de Android aparece como un pequeño pico en la latencia del IDP, una leve caída en la conversión y un ligero aumento de los tickets de soporte. Ninguno de estos datos resulta alarmante por sí solo. Juntos, representan una regresión que merece la pena solucionar. Sin un único propietario ni una visión conjunta, esta regresión puede quedarse sin resolver durante trimestres.

5. La industria moldea la respuesta#

Quién debe ser, en última instancia, el propietario de la identidad de clientes y consumidores también depende de la industria. El mismo organigrama que funciona para un sector puede parecer sobre-gestionado o sub-gestionado en otro.

• El comercio electrónico considera a CIAM como un problema de conversión. Producto posee el inicio de sesión, crecimiento lidera la reactivación y fraude acompaña a ambos. El apetito de seguridad es moderado. El ritmo de los experimentos es semanal. El estudio de abandono de carritos del Baymard Institute reporta una tasa media de abandono del 70,2%, y una parte significativa se atribuye a la fricción con la cuenta, lo que mantiene a producto firmemente al mando.
• La banca y los servicios financieros tratan a CIAM como un problema de seguridad y cumplimiento normativo. El CISO gestiona el programa, riesgo controla el step-up y TI administra la plataforma. El apetito por la seguridad es alto y el ritmo es trimestral, con importantes auditorías.
• Telecomunicaciones, seguros y atención médica se sitúan en un punto intermedio. La presión por el cumplimiento normativo les empuja hacia la banca. La presión por la experiencia del cliente les acerca al comercio electrónico. El modelo de gobernanza suele dividirse entre el CISO y el CPO mediante un cuadro de mando compartido.
• El sector público y el B2B regulado priorizan la auditabilidad por encima de la experimentación. CIAM recae en el CIO (donde aún existe la TI centralizada) o bajo una función específica de gobernanza de la identidad con un ritmo impulsado por el cumplimiento. Los Niveles de Garantía de Identidad del NIST 800-63-4 marcan el umbral mínimo.

El siguiente cuadrante sitúa cada industria en las dos dimensiones que impulsan la respuesta sobre la propiedad (el apetito por la seguridad y la cadencia de revisión) y asigna el propietario predominante según cada posición.

Un cuadro de mando que resulta útil para una tienda minorista se considera falto de control en un banco. Un modelo de gobernanza que funciona para un banco se percibe como demasiado burocrático para un comercio. Los estudios publicados sobre el Impacto Económico Total (TEI) de Forrester relativos a CIAM muestran una amplia variedad: el TEI de ForgeRock para CIAM reportó un ROI del 186% a tres años, mientras que el TEI de WSO2 para CIAM reportó un 332% de ROI. Los factores determinantes (como el incremento de la conversión, la reducción del fraude o los costes de auditoría) difieren significativamente según el sector, razón por la cual el propio retorno de la inversión también varía. Escoger al propietario adecuado pasa por identificar primero en qué modelo industrial operas realmente.

6. Identidad de empleados frente a Identidad de clientes#

El IAM de empleados y el IAM de clientes (CIAM) suelen depender de equipos distintos, y esa es casi siempre la configuración correcta. Ambos gestionan identidades, pero se optimizan para propósitos diferentes. El IAM de empleados gestiona a trabajadores conocidos mediante dispositivos controlados por la empresa, con sesiones de larga duración y una base de usuarios pequeña (habitualmente entre 1.000 y 100.000). CIAM gestiona clientes y prospectos anónimos en dispositivos no administrados, con sesiones cortas orientadas a la conversión y una base de usuarios exponencialmente mayor, que a menudo alcanza las decenas o cientos de millones. Los modelos de amenazas, los KPI y las opciones de herramientas divergen.

7. No existe una única respuesta correcta#

No hay un lugar universalmente correcto o incorrecto para ubicar CIAM. Lo verdaderamente importante es que las dependencias internas funcionen: el equipo a cargo debe tener autoridad para tomar decisiones, los equipos contribuyentes deben ocupar un asiento formal en la mesa y el cuadro de mando debe ser compartido para que nadie pueda descontextualizar ninguna métrica.

Un banco regulado puede dejar CIAM a cargo del CISO y tener éxito. Un comercio minorista puede hacerlo bajo la dirección del CPO y tener éxito. Una empresa de telecomunicaciones puede operar bajo un modelo mixto entre el CISO y el CPO con éxito. Lo que falla en todas partes es contar con una propiedad implícita sin una figura impulsora, sin una capa de análisis compartida y sin un calendario definido para las revisiones multifuncionales. El patrón organizativo importa menos que el modelo operativo que lo respalda.

8. El cuadro de mando compartido de CIAM#

Suele ser más fácil elegir un cuadro de mando que elegir a un propietario, y además funciona sin requerir una reorganización de la empresa. La idea es sencilla: el panel individual de cada directivo en su función es correcto a nivel local, pero está incompleto a nivel global. La solución consiste en una única página y cinco métricas, que las diferentes áreas propietarias revisarán conjuntamente de forma mensual.

8.1 Métricas de las que nadie es dueño absoluto#

Estos son los cinco KPI transversales que se sitúan a caballo entre las perspectivas del CISO, CTO, CPO, fraude y crecimiento. Cada uno de ellos es fundamental y todos carecen de la instrumentación adecuada en la mayoría de las empresas. El siguiente diagrama muestra cómo cada métrica se sitúa en la intersección de las diversas funciones propietarias, razón por la que ninguna de ellas recae exclusivamente en un solo equipo.

• Tasa de éxito de inicio de sesión por cohorte. El éxito global oculta casi todo. Una tasa agregada del 92% puede enmascarar un 70% en una combinación específica de sistema operativo, navegador y gestor de credenciales. Reportar la tasa de éxito únicamente a nivel global es el error de medición más común en CIAM.
• Tiempo hasta la primera acción autenticada. La latencia que realmente experimenta un usuario desde que llega a la página de inicio de sesión hasta que puede realizar una transacción. Incluye el tiempo de carga de la Interfaz Condicional (Conditional UI), la selección de credenciales, el aviso biométrico y la redirección de vuelta. Se correlaciona estrechamente con la conversión, pero nadie se responsabiliza de ella.
• Uso y éxito de la ruta de recuperación. Cuántos usuarios acceden a la recuperación, qué rutas emplean y cuántos la superan con éxito. La recuperación es el punto donde confluyen el fraude, la fricción y el coste de soporte. Pertenece a la vez al CISO, al CPO y al CTO, lo que suele traducirse en que no pertenece a nadie.
• Creación de claves de acceso frente al uso de claves de acceso. La creación indica el porcentaje de usuarios aptos que se han registrado con una clave de acceso. El uso es la cuota de inicios de sesión que, en la práctica, emplean una clave de acceso (passkey). Un despliegue puede lograr un alcance del 60% pero solo un 20% de uso, si los usuarios registrados siguen escribiendo contraseñas por costumbre. La misma brecha se aplica a cualquier nuevo método de autenticación.
• Abandono por método de autenticación. ¿Con qué método se inició la sesión y con qué frecuencia no llegó a término? Los abandonos relativos a la contraseña, el OTP (contraseña de un solo uso), los accesos sociales o las claves de acceso tienen causas profundas diferentes: higiene de credenciales, fallos en la entrega del código, cortes de terceros, ubicación en la interfaz o conflictos con el gestor de credenciales. Hacer un promedio entre ellos los oculta a todos.

8.2 Una sola página, cinco métricas y revisión mensual#

El cuadro de mando es un documento de una sola página que las funciones propietarias revisan de forma conjunta cada mes. Cada métrica cuenta con un propietario principal encargado de la calidad de los datos, un propietario interfuncional para el plan de acción, y un objetivo fijado en conjunto al inicio de cada trimestre. Basta con usar una página en Notion o en Google Sheets; la revisión se hace sobre el resumen de una página y no sobre los paneles subyacentes.

Cada propietario aporta la perspectiva que solo él puede visualizar:

• Seguridad contribuye con la tasa de fraude, la tasa de cuentas comprometidas y los resultados del step-up por cohorte.
• CTO / Ingeniería aporta el tiempo de actividad, la tasa de errores en la integración, el rendimiento del SDK y el coste por autenticación para cada método.
• Producto proporciona los embudos de conversión, las caídas de usuarios en cada paso y el tiempo para obtener valor.
• Fraude contribuye con la tasa de activación del step-up y la tasa de falsos positivos por cohorte.
• Crecimiento ofrece el ratio de sesiones anónimas frente a las identificadas y la tasa de reactivación.

La siguiente matriz resume el patrón de contribución y evidencia las lagunas en la cobertura: ningún propietario por sí solo genera las cinco métricas al completo.

8.3 Cómo desplegarlo sin una reorganización#

La mayoría de los programas de cuadros de mando fallan debido a la instrumentación, no a la gobernanza. Si la capa de observabilidad subyacente no es capaz de desglosar la tasa de éxito según el sistema operativo, el navegador y el gestor de credenciales, por mucha cadencia de revisiones que haya, no se obtendrá un cuadro de mando útil. La secuencia que realmente funciona en la práctica es:

1. La instrumentación primero. La telemetría de los eventos en el lado del cliente, capaz de desglosar la tasa de éxito por cohortes, es el requisito previo para poder generar el resto de las métricas.
2. Elige una métrica para copropiedad inicial. La tasa de éxito de inicio de sesión por cohorte suele ser la primera opción más adecuada, porque obliga a realizar la instrumentación inter-cohortes de la que dependen las demás métricas.
3. Revisión mensual de 60 minutos. Primera reunión: acordar las cinco métricas y la situación de partida actual. Segunda reunión: establecer los objetivos trimestrales. Tercera reunión: diseñar el primer plan de acción. Añade métricas a lo largo de dos trimestres en lugar de hacerlo todo de golpe.

A los seis meses, un despliegue maduro reportará la tasa de éxito de los inicios de sesión por cohorte con dueños designados para los tres peores resultados, informará sobre el alcance y el uso de las claves de acceso como dos cifras diferenciadas, monitoreará el éxito de la recuperación bajo la gestión compartida del CISO/CPO, contrastará la tasa de activación del step-up con los falsos positivos y desglosará el coste por autenticación en función del método elegido. La revisión mensual pasará así de discutir sobre la veracidad de los datos a discutir sobre las decisiones a tomar, que es el objetivo real.

9. Cómo Corbado aporta la capa de datos que falta en la autenticación#

Corbado no decide quién es el propietario de CIAM y tampoco pretende hacerlo. La propiedad es una decisión exclusiva de cada organización. Lo que Corbado aporta es la capa de datos que faltaba desde el principio: esa capa que los silos, los presupuestos fragmentados y las actitudes de "no es mi problema" nunca lograron generar por sí solos. Por fin, la autenticación cuenta con el equivalente a lo que el análisis de producto, la observabilidad y las herramientas antifraude ya tienen en sus respectivos campos.

La capa de observabilidad de autenticación se sitúa por encima del IDP, del motor de fraude y del SIEM, fusionando sus señales en una vista única sobre todo el viaje del inicio de sesión. Los intentos en el backend, los procesos en el cliente, el comportamiento del gestor de credenciales, el nivel de éxito por cohorte y los resultados de las recuperaciones de cuenta conviven dentro de un mismo sistema y pueden evaluarse de forma conjunta.

• Una sola capa de datos para la autenticación. Las señales del backend, el frontend, de fraude y de seguridad se correlacionan por sesión, por cohorte y por viaje, para que el rendimiento real del inicio de sesión deje de estar oculto bajo cuatro sistemas independientes.
• Tasa de éxito por cohorte. Se desglosa el éxito del inicio de sesión por sistema operativo, navegador, gestor de credenciales y hardware (la primera métrica que la mayoría de equipos no logra extraer de sus herramientas actuales).
• Creación y uso como cifras separadas. La creación y el uso de las claves de acceso se reportan como dos KPI diferenciados. Esta es, con mucha diferencia, la corrección de medición más necesaria en casi todos los cuadros de mando.
• Análisis de la ruta de recuperación. El uso, el éxito y el abandono de los flujos de recuperación aparecen en la misma taxonomía de eventos que los flujos de inicio de sesión, permitiendo que tanto el CISO como el CPO observen los mismos números.
• Abandono por método. Las caídas para cada método permiten que el cuadro de mando pueda separar el abandono de las contraseñas (por cuestiones de higiene de credenciales) del abandono de las claves de acceso (ya sea por conflictos en la interfaz o con el gestor de credenciales).
• Redes de seguridad en los despliegues. La supresión dinámica, las notificaciones dirigidas a cohortes específicas y los interruptores de emergencia permiten que quien coordine el programa pueda realizar cambios sin tener que tocar el IDP directamente.
• Puntos de referencia para comparación. Los datos extraídos de toda la base de clientes de Corbado permiten que las cifras internas de una empresa se puedan comparar con cifras externas, lo que a menudo transforma la simple revisión mensual en una decisión real y justificada.

Las disputas sobre la propiedad no desaparecen simplemente por añadir una capa de datos. Sin embargo, sí resultan más fáciles de resolver, porque se terminan los debates del tipo "mis datos dicen que...", para dar paso a las discusiones sobre qué medidas tomar.

10. Conclusión#

CIAM tiene varios propietarios legítimos y eso no va a cambiar. Lo que sí cambia es si la empresa elige un único propietario, o si elige utilizar un cuadro de mando. Elegir a un propietario es más rápido, pero consume capital político. Implementar un cuadro de mando es más lento, pero puede funcionar sin necesidad de una reorganización. Cualquiera de estas dos opciones es preferible al lanzar la moneda al aire y decidir de forma implícita, que es lo que sucede hoy en la mayoría de empresas. El coste de tener una propiedad ambigua se mide en despliegues estancados, flujos desarticulados y la silenciosa, pero constante, erosión simultánea tanto en las cifras de seguridad como en las de conversión.

Acerca de Corbado

Corbado es la Passkey Intelligence Platform para equipos de CIAM que gestionan autenticación de consumidores a gran escala. Te ayudamos a ver lo que los logs de tu IDP y las herramientas de analytics genéricas no muestran: qué dispositivos, versiones de SO, navegadores y gestores de credenciales soportan passkeys, por qué los registros no se convierten en inicios de sesión, dónde falla el flujo de WebAuthn y cuándo una actualización de SO o navegador rompe el login en silencio — todo sin reemplazar Okta, Auth0, Ping, Cognito o tu IDP propio. Dos productos: Corbado Observe aporta observabilidad para passkeys y cualquier otro método de login. Corbado Connect añade passkeys gestionados con analytics integrado (junto a tu IDP). VicRoads ejecuta passkeys para más de 5M de usuarios con Corbado (+80 % de activación de passkey). Habla con un experto en Passkeys →

Preguntas frecuentes (FAQ)#

¿Quién suele ser el propietario de CIAM en una gran empresa?#

En nuestra experiencia, la propiedad se divide entre las funciones del CISO, CTO, CPO, fraude y crecimiento. En sectores altamente regulados, la oficina del CISO es quien asume la autoridad principal. En las empresas nativas digitales centradas en el consumidor, la oficina del CPO o del CTO suele llevar el mando principal, porque CIAM debe integrarse directamente dentro del producto. Un jefe de producto de identidad dedicado que gestione un cuadro de mando compartido es el modelo de madurez en ambos casos.

¿Cambia la industria quién debería ser el propietario de CIAM?#

Sí. El comercio electrónico trata a CIAM como un problema de conversión, por lo que suele recaer en el equipo de producto o en el de crecimiento. La banca lo considera un problema de seguridad y cumplimiento normativo, de manera que el CISO toma el relevo. Las telecomunicaciones, los seguros y el sector de la atención médica aplican modelos divididos. La respuesta correcta debe seguir la cadencia de revisión y el apetito por la seguridad que demande la industria y no una simple mejor práctica abstracta.

¿Por qué la propiedad dividida de CIAM perjudica los nuevos lanzamientos de autenticación?#

Cualquier nuevo método de autenticación, desde el inicio de sesión social y el step-up de MFA hasta las claves de acceso (passkeys), requiere una perfecta coordinación de la experiencia del usuario (UX) en el registro, los flujos de recuperación, las políticas de riesgo y las herramientas de soporte. Si cada uno de estos elementos recae bajo un propietario diferente y con un ritmo de trabajo distinto, el despliegue avanza al ritmo del propietario más lento. Los despliegues de claves de acceso son el ejemplo actual más visible de ello, ya que se estancan habitualmente entre un 5% y un 15% de adopción.

¿Deberían estar el IAM de empleados y el IAM de clientes dentro del mismo equipo?#

Por lo general, no. Comparten parte del vocabulario y poco más. El IAM de empleados se optimiza para dispositivos controlados, usuarios que ya se conocen y eficiencia de costes. Por su parte, el IAM de clientes se optimiza para dispositivos no administrados, usuarios anónimos y la conversión. La mayoría de las empresas más consolidadas los mantienen en sistemas de gobernanza independientes y, en lugar de compartir un único líder, prefieren compartir un consejo conjunto. Consulta nuestra guía sobre observabilidad de autenticación para conocer en detalle la parte de CIAM en esta división.

¿Cuáles son los KPI de CIAM más importantes?#

Destacan cinco métricas transversales que se sitúan a caballo entre los paneles individuales de cada función: la tasa de éxito de inicio de sesión por cohorte, el tiempo hasta la primera acción autenticada, el alcance y el uso de las claves de acceso (contabilizados como dos métricas separadas), el éxito en la ruta de recuperación y el abandono de los usuarios desglosado por cada método de autenticación. Cada uno de estos cinco indicadores resulta crucial, pero carece de la medición adecuada en la mayoría de las empresas.

¿Por qué el alcance y el uso de las claves de acceso (passkeys) no son la misma métrica?#

El alcance indica qué porcentaje de usuarios aptos se han llegado a registrar con una clave de acceso. El uso, por el contrario, mide qué porcentaje de inicios de sesión emplean, de forma real y efectiva, una clave de acceso. Es posible que un despliegue registre un alcance muy alto, pero un uso bajo, si los usuarios previamente registrados continúan escribiendo contraseñas por mera costumbre. Reportar tan solo una de ambas métricas dará lugar a errores en las revisiones a nivel ejecutivo.

¿Qué es un cuadro de mando compartido de CIAM?#

Se trata de un documento de una sola página en el que se reflejan cinco métricas interfuncionales, que las diferentes áreas propietarias revisan de forma conjunta mensualmente. Cada métrica cuenta con un propietario principal encargado de la calidad de los datos, un propietario interfuncional responsable del plan de acción y un objetivo pactado de manera conjunta al comienzo de cada trimestre. La evaluación y el debate se fundamentan sobre este resumen de una página y no sobre los complejos paneles de datos subyacentes.

¿Con qué frecuencia se debe revisar el cuadro de mando?#

Mensualmente, durante una reunión transversal de 60 minutos con la participación de las distintas funciones propietarias. Si la frecuencia es mayor, no se producirán los cambios necesarios entre una revisión y la siguiente. Si es menor, la pérdida sistemática de control pasará desapercibida, sobre todo en lo referente a las regresiones en el nivel de cohorte que suelen surgir tras actualizar el sistema operativo o el navegador.

¿Cómo podemos empezar sin hacer una reorganización en la empresa?#

Elige únicamente las dos métricas que resulten más problemáticas y reúne a los correspondientes responsables en una sesión mensual de 60 minutos, enfocándose en un primer momento solo en esos dos indicadores. Ve ampliando poco a poco a lo largo de los dos trimestres siguientes. De este modo, no hay necesidad de modificar cargos o puestos. El propio cuadro de mando es el que asume el papel de la capa de gobernanza. Así, la mayoría de las organizaciones logran consolidar un patrón maduro en un plazo de entre 12 y 18 meses, y todo ello sin cambiar de forma oficial las líneas de reporte del equipo.

¿Puede un proveedor ayudar a resolver disputas sobre la propiedad?#

Un proveedor jamás decidirá quién es el propietario por ti. Lo que sí puede hacer es eliminar la ambigüedad en los datos que dificulta resolver las disputas. Una capa de análisis compartida ofrece a cada parte implicada los datos de la sección que le interesa, conservando a la vez una vista de conjunto, lo que a menudo resulta suficiente para convertir un intenso debate político en un mero debate operativo.