---
url: 'https://www.corbado.com/es/blog/propiedad-ciam'
title: 'Repensando la propiedad de CIAM en la empresa'
description: 'Por qué la propiedad de la identidad del cliente fluctúa entre el CISO, CTO, CPO, fraude y crecimiento, y qué le cuesta a la empresa moderna esta fragmentación de CIAM.'
lang: 'es'
author: 'Vincent Delitz'
date: '2026-05-19T14:54:13.277Z'
lastModified: '2026-05-20T06:02:36.450Z'
keywords: 'quien posee ciam, propiedad de ciam, estructura equipo de identidad, gobernanza de identidad, propietario programa ciam'
category: 'Passkeys Strategy'
---

# Repensando la propiedad de CIAM en la empresa

## Key Facts

- La propiedad de CIAM se **decide de manera implícita, no por diseño**. El CISO, CTO,
    CPO, fraude y crecimiento optimizan para diferentes métricas, y quien escala con más
    fuerza, gana. - El mercado global de CIAM creció de **8.120 millones de USD en 2023**
    a **26.720 millones de USD proyectados para 2030** (**17,4% CAGR**), sin embargo, la
    mayoría de las empresas aún carece de un único responsable. - No existe una **capa
    compartida de análisis de autenticación** en los registros de backend, la telemetría
    de clientes, las señales de fraude y los datos de seguridad, por lo que cada función
    protege su propia parcela y bloquea las soluciones transversales. - La propiedad
    ambigua se manifiesta en **despliegues estancados de claves de acceso (passkeys) entre
    el 5% y el 15% de adopción**, flujos de recuperación desarticulados y respuestas
    lentas a las regresiones en el cliente. - La industria da forma a la respuesta: **el
    comercio electrónico trata a CIAM como conversión**, **la banca lo trata como
    seguridad y cumplimiento**, y el sector público lo trata como auditabilidad. - **El
    IAM de empleados y el IAM de clientes pertenecen a equipos separados**: comparten los
    mismos principios de identidad, pero diferentes usuarios, dispositivos, KPI y
    tolerancia a la fricción. - Un **cuadro de mando compartido de CIAM con cinco
    métricas** cierra la brecha: éxito de inicio de sesión por cohorte, tiempo hasta la
    primera acción autenticada, alcance vs. uso de claves de acceso, éxito de la ruta de
    recuperación, abandono por método de autenticación. - No existe un **hogar
    universalmente correcto para CIAM**; lo que importa es la propiedad explícita, las
    dependencias claras y un cuadro de mando compartido.

## 1. Introducción

Pregunta en diez empresas quién es el propietario de la identidad de clientes o
consumidores (CIAM) y obtendrás diez respuestas diferentes. A veces es el
[CISO](https://www.corbado.com/glossary/ciso). A veces es el CTO, porque CIAM tiene que integrarse directamente
en la aplicación, el sitio web y las API que conforman el producto. A veces es el CPO. A
veces es un equipo de fraude que se hizo cargo poco a poco porque nadie más tenía la
visión completa. A menudo no es de nadie en absoluto y el sistema es mantenido por un
ingeniero de DevOps que lo heredó hace tres reestructuraciones.

El [Cuadrante Mágico de Gartner para CIAM](https://www.gartner.com/en/documents/4018879)
divide el IAM de clientes en cinco áreas funcionales: registro,
[autenticación](https://www.corbado.com/es/glossary/jwks), autorización, autoservicio y análisis, que casi nunca
se asignan de forma clara a un solo equipo. Según
[Grand View Research](https://www.grandviewresearch.com/industry-analysis/customer-identity-access-management-ciam-market-report),
el mercado global de CIAM fue valorado en 8.120 millones de USD en 2023 y se prevé que
alcance los 26.720 millones de USD en 2030, con una tasa de crecimiento anual compuesto
(CAGR) del 17,4%. Las cuestiones de propiedad aumentan con este gasto.

CIAM es uno de los programas más transversales que ejecutan la mayoría de las empresas
B2C. Se encuentra en la intersección entre
[seguridad](https://www.corbado.com/es/blog/como-eliminar-contrasenas-por-completo), ingeniería, producto, fraude
y crecimiento, y cada una de esas funciones se optimiza para una métrica diferente. La
propiedad decide qué métrica gana cuando entran en conflicto. Una propiedad ambigua
significa que ninguna gana y el programa de identidad se estanca.

Este artículo replantea la propiedad de CIAM para la empresa moderna: los perfiles comunes
de propietarios, cómo la industria da forma a la respuesta, por qué los datos fragmentados
y la cultura de "no es mi problema" mantienen la pregunta abierta, y cómo es un modelo
operativo compartido cuando no hay sobre la mesa una reorganización de la empresa.

### 1.1 Preguntas que responde este artículo

En este artículo, abordamos las siguientes cuestiones:

1. ¿Por qué la propiedad de CIAM es ambigua en la mayoría de las empresas y qué cuesta
   realmente esta ambigüedad?
2. ¿Quiénes son los propietarios habituales de CIAM y cómo optimiza cada uno el programa
   de forma diferente?
3. ¿Por qué la fragmentación de la propiedad suele correlacionarse con la falta de una
   capa de análisis de [autenticación](https://www.corbado.com/es/glossary/jwks)?
4. ¿Cómo cambia la respuesta el contexto de la industria (comercio electrónico frente a
   banca frente a B2C regulado)?
5. ¿Dónde duele más la división de la propiedad?
6. ¿Qué KPI de CIAM nadie posee por completo pero todo equipo necesita?
7. ¿Cómo es un cuadro de mando compartido de CIAM y cómo se implementa sin una
   reorganización?

## 2. El problema del lanzamiento de la moneda

### 2.1 Por qué CIAM es tu programa más transversal

La identidad de clientes y consumidores afecta a todo. Decide si un usuario puede comprar,
renovar, recuperar el acceso o acceder a una función regulada. A la oficina del
[CISO](https://www.corbado.com/glossary/ciso) le importa porque cada evento de [autenticación](https://www.corbado.com/es/glossary/jwks)
es un evento de [seguridad](https://www.corbado.com/es/blog/como-eliminar-contrasenas-por-completo). A la oficina
del CTO le importa porque CIAM tiene que integrarse en la aplicación, el sitio web y las
API, y cada cambio en el inicio de sesión se publica junto con el código real del
producto. A la oficina del CPO le importa porque cada evento de autenticación es un evento
de conversión. Al equipo de fraude le importa porque cada step-up (autenticación
reforzada) es una señal de fraude. A crecimiento le importa porque la personalización
depende de la identificación del usuario. Ningún otro sistema tiene cinco propietarios
legítimos a la vez.

### 2.2 El coste de una propiedad ambigua

El coste es visible en los despliegues de
[claves de acceso](https://www.corbado.com/es/blog/como-habilitar-passkeys-android) (passkeys). Las
implementaciones que se estancan entre un 5% y un 15% de adopción casi siempre tienen algo
en común: no hubo un único propietario que liderara el despliegue de principio a fin.
[Seguridad](https://www.corbado.com/es/blog/como-eliminar-contrasenas-por-completo) financió el piloto, producto
diseñó la interfaz de usuario, TI manejó el proveedor de identidad (IDP), fraude controló
el step-up y nadie se hizo cargo de incentivar a los grupos de usuarios, que es lo que
realmente impulsa el registro. El programa avanzó al ritmo del propietario más lento.

El
[Barómetro de Autenticación en Línea 2024 de la FIDO Alliance](https://fidoalliance.org/online-authentication-barometer/)
reveló que la familiaridad con las
[claves de acceso](https://www.corbado.com/es/blog/como-habilitar-passkeys-android) aumentó al 57% a nivel
mundial, y el 42% de los encuestados familiarizados con ellas las había habilitado en al
menos una cuenta. La brecha entre el conocimiento y la habilitación es donde la propiedad
ambigua de CIAM se muestra de forma más concreta: la tecnología funciona, pero el
despliegue no. Como ha señalado el analista de Gartner David Mahdi en el contexto de las
[disciplinas IAM convergentes](https://www.gartner.com/en/newsroom/press-releases/2022-11-21-gartner-identifies-top-trends-in-ciam-solution-design),
"las organizaciones deben replantearse su arquitectura IAM para hacer frente a la
creciente descentralización de la gestión de identidades y accesos". Sin un propietario,
este replanteamiento no se produce.

### 2.3 El problema de la analítica desconectada

Una de las razones por las que tantos equipos acaban teniendo participación en CIAM es
que, para empezar, no existe una herramienta compartida de análisis de autenticación. El
siguiente diagrama muestra el patrón: cuatro sistemas retienen cuatro partes del viaje de
autenticación y no hay nada por encima de ellos que una las señales.

Las directrices de [identidad digital](https://www.corbado.com/es/blog/digital-credentials-api) de la
[Publicación Especial 800-63-4 del NIST](https://pages.nist.gov/800-63-4/) exigen de forma
explícita una "evaluación continua" de la garantía del autenticador, lo que resulta
imposible sin una vista de eventos de principio a fin. En la práctica, solo una minoría de
los programas B2C tienen esa visión: la
[Encuesta de Consumidores 2024 de Ping Identity](https://www.pingidentity.com/en/resources/blog/post/global-consumer-survey-what-customers-really-think-about-their-online-identity.html)
descubrió que el 63% de los consumidores abandonaría una cuenta tras dos malos intentos de
inicio de sesión. Esta es una métrica que muy pocos equipos de CIAM llegan a monitorizar,
porque los datos necesarios para ello residen en tres sistemas distintos.

Cada propietario protege entonces su parcela. En parte por el presupuesto: el equipo que
pagó por los datos siente que se ha ganado su control. Y en parte por influencia: los
datos son la manera más fácil de demostrar el valor en una revisión interfuncional. El
efecto práctico es que, incluso cuando un problema de CIAM abarca los cuatro sistemas,
ninguna persona puede verlo de principio a fin. Una capa dedicada de observabilidad de
autenticación elimina esa excusa y normalmente desencadena el debate sobre la propiedad
que estaba pendiente.

## 3. Propietarios habituales

Cinco funciones suelen reclamar la titularidad de CIAM, y cada una optimiza una métrica
distinta. La siguiente comparación resume en qué se mide a cada arquetipo y dónde se
encuentra su punto ciego.

### 3.1 Oficina del CISO

Optimiza para: tasa de fraude, cobertura de MFA, tasa de cuentas comprometidas y hallazgos
de auditoría. Trata a CIAM como un control de seguridad. Puntos fuertes: KPI claros y
autoridad presupuestaria bajo presión regulatoria
([DORA](https://www.digital-operational-resilience-act.com/),
[NIS2](https://digital-strategy.ec.europa.eu/en/policies/nis2-directive) o
[NIST](https://www.corbado.com/blog/nist-passkeys) 800-63). Puntos ciegos: impacto de la fricción en la
conversión, coste de soporte por flujos defectuosos y la experiencia de los muchos
usuarios cuyos dispositivos fallan en silencio.

### 3.2 Oficina del CTO

Optimiza para: esfuerzo de integración, fiabilidad de la plataforma, calidad del SDK,
velocidad de lanzamiento y coste de ingeniería. Trata a CIAM como un problema de
integración de productos porque el inicio de sesión es código que se entrega con la
aplicación, el sitio web y las API. Puntos fuertes: proximidad al producto, propiedad del
SDK del cliente, capacidad para reparar rápidamente flujos defectuosos. Puntos ciegos:
matices regulatorios, compensaciones frente al fraude y la higiene de credenciales a largo
plazo una vez que la integración está activa. El CIO asume este papel en el sector público
y en empresas con TI muy centralizada, pero en la mayoría de negocios dirigidos al
consumidor, la oficina del CTO es el perfil que mejor encaja.

### 3.3 Oficina del CPO o de Producto

Optimiza para: conversión de inicio de sesión, tasa de activación, éxito de recuperación y
tiempo hasta el primer valor. Trata a CIAM como un producto. Puntos fuertes: rigor en UX,
pruebas A/B y empatía con el cliente. Puntos ciegos: exposición al fraude, restricciones
normativas e higiene de credenciales a largo plazo.

### 3.4 Oficina de Fraude o de Riesgo

Optimiza para: tasa de activación de step-up, tasa de falsos positivos, tasa de
contracargos y tasa de robo de cuentas. Posee un segmento de la identidad, rara vez todo.
Puntos fuertes: modelado de riesgos, señales en tiempo real y respuesta a incidentes.
Puntos ciegos: flujos de registro, flujos de recuperación y las partes de la identidad que
no son transaccionales.

### 3.5 Oficina de Crecimiento o Marketing

Propietario emergente, sobre todo en suscripciones de consumidores y comercio minorista.
Optimiza para: tasa de reactivación, inicios de sesión restringidos por ventas cruzadas y
preparación para la personalización. Trata a la identidad como el sustrato de los ciclos
de crecimiento. Puntos fuertes: mentalidad enfocada en el ciclo de vida y cultura de la
experimentación. Puntos ciegos: cualquier cosa que no sea crecimiento.

## 4. Dónde perjudica realmente la propiedad dividida

### 4.1 Aprovisionamiento frente a desaprovisionamiento

El aprovisionamiento es un problema de eficiencia: qué tan rápido puedes introducir a un
usuario en el sistema. El desaprovisionamiento es un problema de seguridad: qué tan rápido
puedes expulsar a un usuario comprometido o que se ha marchado. Casi siempre se compran
como una única herramienta y están mal ajustadas, porque el propietario enfocado en la
eficiencia nunca sufre el problema del desaprovisionamiento, y el propietario centrado en
la seguridad nunca sufre el del aprovisionamiento.

### 4.2 UX gestionada por fraude frente a UX gestionada por producto

Fraude añade fricción porque la fricción bloquea a los actores maliciosos. Producto
elimina la fricción porque la fricción bloquea los ingresos. Cuando ambos equipos dan
forma a la misma página de inicio de sesión sin un propietario compartido, el resultado es
un compromiso que no satisface a ninguno de los dos: la suficiente fricción como para
molestar a los usuarios, pero no la necesaria para detener el fraude. El step-up basado en
puntuaciones de riesgo es la respuesta técnica. Un único propietario del viaje es la
respuesta organizativa.

### 4.3 Falta de una visión compartida sobre el rendimiento del inicio de sesión

La propiedad dividida también perjudica porque no hay una capa de análisis compartida. Las
cifras reales del rendimiento del inicio de sesión (tasa de éxito global, éxito de
recuperación, tasa de activación de step-up, uso de alternativas por cohorte y éxito por
método como contraseñas, OTP, inicio de sesión social,
[claves de acceso](https://www.corbado.com/es/blog/como-habilitar-passkeys-android)) se encuentran dispersas
entre el IDP, la suite de análisis de producto, el motor de fraude, el SIEM y algunas
hojas de cálculo intermedias. Cada equipo ve su propia parcela, nadie ve todo el viaje y
los síntomas quedan ocultos en métricas que parecen correctas individualmente, pero
ocultan el problema real.

Un inicio de sesión lento para usuarios con versiones antiguas de
[Android](https://www.corbado.com/blog/how-to-enable-passkeys-android) aparece como un pequeño pico en la
latencia del IDP, una leve caída en la conversión y un ligero aumento de los tickets de
soporte. Ninguno de estos datos resulta alarmante por sí solo. Juntos, representan una
regresión que merece la pena solucionar. Sin un único propietario ni una visión conjunta,
esta regresión puede quedarse sin resolver durante trimestres.

## 5. La industria moldea la respuesta

Quién debe ser, en última instancia, el propietario de la identidad de clientes y
consumidores también depende de la industria. El mismo organigrama que funciona para un
sector puede parecer sobre-gestionado o sub-gestionado en otro.

- El comercio electrónico considera a CIAM como un problema de conversión. Producto posee
  el inicio de sesión, crecimiento lidera la reactivación y fraude acompaña a ambos. El
  apetito de seguridad es moderado. El ritmo de los experimentos es semanal. El
  [estudio de abandono de carritos del Baymard Institute](https://baymard.com/lists/cart-abandonment-rate)
  reporta una tasa media de abandono del 70,2%, y una parte significativa se atribuye a la
  fricción con la cuenta, lo que mantiene a producto firmemente al mando.
- La banca y los servicios financieros tratan a CIAM como un problema de seguridad y
  cumplimiento normativo. El [CISO](https://www.corbado.com/glossary/ciso) gestiona el programa, riesgo controla
  el step-up y TI administra la plataforma. El apetito por la seguridad es alto y el ritmo
  es trimestral, con importantes auditorías.
- Telecomunicaciones, seguros y atención médica se sitúan en un punto intermedio. La
  presión por el cumplimiento normativo les empuja hacia la banca. La presión por la
  experiencia del cliente les acerca al comercio electrónico. El modelo de gobernanza
  suele dividirse entre el CISO y el CPO mediante un cuadro de mando compartido.
- El sector público y el B2B regulado priorizan la auditabilidad por encima de la
  experimentación. CIAM recae en el CIO (donde aún existe la TI centralizada) o bajo una
  función específica de gobernanza de la identidad con un ritmo impulsado por el
  cumplimiento. Los
  [Niveles de Garantía de Identidad del NIST 800-63-4](https://pages.nist.gov/800-63-4/sp800-63a.html)
  marcan el umbral mínimo.

El siguiente cuadrante sitúa cada industria en las dos dimensiones que impulsan la
respuesta sobre la propiedad (el apetito por la seguridad y la cadencia de revisión) y
asigna el propietario predominante según cada posición.

Un cuadro de mando que resulta útil para una tienda minorista se considera falto de
control en un banco. Un modelo de gobernanza que funciona para un banco se percibe como
demasiado burocrático para un comercio. Los estudios publicados sobre el Impacto Económico
Total (TEI) de Forrester relativos a CIAM muestran una amplia variedad: el
[TEI de ForgeRock para CIAM](https://www.businesswire.com/news/home/20210615005166/en/)
reportó un ROI del 186% a tres años, mientras que el
[TEI de WSO2 para CIAM](https://wso2.com/resources/analyst-reports/the-total-economic-impact-of-wso2-customer-identity-and-access-management/)
reportó un 332% de ROI. Los factores determinantes (como el incremento de la conversión,
la reducción del fraude o los costes de auditoría) difieren significativamente según el
sector, razón por la cual el propio retorno de la inversión también varía. Escoger al
propietario adecuado pasa por identificar primero en qué modelo industrial operas
realmente.

## 6. Identidad de empleados frente a Identidad de clientes

El IAM de empleados y el IAM de clientes (CIAM) suelen depender de equipos distintos, y
esa es casi siempre la configuración correcta. Ambos gestionan identidades, pero se
optimizan para propósitos diferentes. El IAM de empleados gestiona a trabajadores
conocidos mediante dispositivos controlados por la empresa, con sesiones de larga duración
y una base de usuarios pequeña (habitualmente entre 1.000 y 100.000). CIAM gestiona
clientes y prospectos anónimos en dispositivos no administrados, con sesiones cortas
orientadas a la conversión y una base de usuarios exponencialmente mayor, que a menudo
alcanza las decenas o cientos de millones. Los modelos de amenazas, los KPI y las opciones
de herramientas divergen.

## 7. No existe una única respuesta correcta

No hay un lugar universalmente correcto o incorrecto para ubicar CIAM. Lo verdaderamente
importante es que las dependencias internas funcionen: el equipo a cargo debe tener
autoridad para tomar decisiones, los equipos contribuyentes deben ocupar un asiento formal
en la mesa y el cuadro de mando debe ser compartido para que nadie pueda descontextualizar
ninguna métrica.

Un banco regulado puede dejar CIAM a cargo del CISO y tener éxito. Un comercio minorista
puede hacerlo bajo la dirección del CPO y tener éxito. Una empresa de telecomunicaciones
puede operar bajo un modelo mixto entre el CISO y el CPO con éxito. Lo que falla en todas
partes es contar con una propiedad implícita sin una figura impulsora, sin una capa de
análisis compartida y sin un calendario definido para las revisiones multifuncionales. El
patrón organizativo importa menos que el modelo operativo que lo respalda.

## 8. El cuadro de mando compartido de CIAM

Suele ser más fácil elegir un cuadro de mando que elegir a un propietario, y además
funciona sin requerir una reorganización de la empresa. La idea es sencilla: el panel
individual de cada directivo en su función es correcto a nivel local, pero está incompleto
a nivel global. La solución consiste en una única página y cinco métricas, que las
diferentes áreas propietarias revisarán conjuntamente de forma mensual.

### 8.1 Métricas de las que nadie es dueño absoluto

Estos son los cinco KPI transversales que se sitúan a caballo entre las perspectivas del
CISO, CTO, CPO, fraude y crecimiento. Cada uno de ellos es fundamental y todos carecen de
la instrumentación adecuada en la mayoría de las empresas. El siguiente diagrama muestra
cómo cada métrica se sitúa en la intersección de las diversas funciones propietarias,
razón por la que ninguna de ellas recae exclusivamente en un solo equipo.

- **Tasa de éxito de inicio de sesión por cohorte.** El éxito global oculta casi todo. Una
  tasa agregada del 92% puede enmascarar un 70% en una combinación específica de sistema
  operativo, navegador y gestor de credenciales. Reportar la tasa de éxito únicamente a
  nivel global es el error de medición más común en CIAM.
- **Tiempo hasta la primera acción autenticada.** La latencia que realmente experimenta un
  usuario desde que llega a la página de inicio de sesión hasta que puede realizar una
  transacción. Incluye el tiempo de carga de la Interfaz Condicional (Conditional UI), la
  selección de credenciales, el aviso biométrico y la redirección de vuelta. Se
  correlaciona estrechamente con la conversión, pero nadie se responsabiliza de ella.
- **Uso y éxito de la ruta de recuperación.** Cuántos usuarios acceden a la recuperación,
  qué rutas emplean y cuántos la superan con éxito. La recuperación es el punto donde
  confluyen el fraude, la fricción y el coste de soporte. Pertenece a la vez al CISO, al
  CPO y al CTO, lo que suele traducirse en que no pertenece a nadie.
- **Creación de claves de acceso frente al uso de claves de acceso.** La creación indica
  el porcentaje de usuarios aptos que se han registrado con una clave de acceso. El uso es
  la cuota de inicios de sesión que, en la práctica, emplean una clave de acceso
  (passkey). Un despliegue puede lograr un alcance del 60% pero solo un 20% de uso, si los
  usuarios registrados siguen escribiendo contraseñas por costumbre. La misma brecha se
  aplica a cualquier nuevo método de autenticación.
- **Abandono por método de autenticación.** ¿Con qué método se inició la sesión y con qué
  frecuencia no llegó a término? Los abandonos relativos a la contraseña, el OTP
  (contraseña de un solo uso), los accesos sociales o las claves de acceso tienen causas
  profundas diferentes: higiene de credenciales, fallos en la entrega del código, cortes
  de terceros, ubicación en la interfaz o conflictos con el gestor de credenciales. Hacer
  un promedio entre ellos los oculta a todos.

### 8.2 Una sola página, cinco métricas y revisión mensual

El cuadro de mando es un documento de una sola página que las funciones propietarias
revisan de forma conjunta cada mes. Cada métrica cuenta con un propietario principal
encargado de la calidad de los datos, un propietario interfuncional para el plan de
acción, y un objetivo fijado en conjunto al inicio de cada trimestre. Basta con usar una
página en Notion o en Google Sheets; la revisión se hace sobre el resumen de una página y
no sobre los paneles subyacentes.

Cada propietario aporta la perspectiva que solo él puede visualizar:

- **Seguridad** contribuye con la tasa de fraude, la tasa de cuentas comprometidas y los
  resultados del step-up por cohorte.
- **CTO / Ingeniería** aporta el tiempo de actividad, la tasa de errores en la
  integración, el rendimiento del SDK y el coste por autenticación para cada método.
- **Producto** proporciona los embudos de conversión, las caídas de usuarios en cada paso
  y el tiempo para obtener valor.
- **Fraude** contribuye con la tasa de activación del step-up y la tasa de falsos
  positivos por cohorte.
- **Crecimiento** ofrece el ratio de sesiones anónimas frente a las identificadas y la
  tasa de reactivación.

La siguiente matriz resume el patrón de contribución y evidencia las lagunas en la
cobertura: ningún propietario por sí solo genera las cinco métricas al completo.

### 8.3 Cómo desplegarlo sin una reorganización

La mayoría de los programas de cuadros de mando fallan debido a la instrumentación, no a
la gobernanza. Si la capa de observabilidad subyacente no es capaz de desglosar la tasa de
éxito según el sistema operativo, el navegador y el gestor de credenciales, por mucha
cadencia de revisiones que haya, no se obtendrá un cuadro de mando útil. La secuencia que
realmente funciona en la práctica es:

1. **La instrumentación primero.** La telemetría de los eventos en el lado del cliente,
   capaz de desglosar la tasa de éxito por cohortes, es el requisito previo para poder
   generar el resto de las métricas.
2. **Elige una métrica para copropiedad inicial.** La tasa de éxito de inicio de sesión
   por cohorte suele ser la primera opción más adecuada, porque obliga a realizar la
   instrumentación inter-cohortes de la que dependen las demás métricas.
3. **Revisión mensual de 60 minutos.** Primera reunión: acordar las cinco métricas y la
   situación de partida actual. Segunda reunión: establecer los objetivos trimestrales.
   Tercera reunión: diseñar el primer plan de acción. Añade métricas a lo largo de dos
   trimestres en lugar de hacerlo todo de golpe.

A los seis meses, un despliegue maduro reportará la tasa de éxito de los inicios de sesión
por cohorte con dueños designados para los tres peores resultados, informará sobre el
alcance y el uso de las claves de acceso como dos cifras diferenciadas, monitoreará el
éxito de la recuperación bajo la gestión compartida del CISO/CPO, contrastará la tasa de
activación del step-up con los falsos positivos y desglosará el coste por autenticación en
función del método elegido. La revisión mensual pasará así de discutir sobre la veracidad
de los datos a discutir sobre las decisiones a tomar, que es el objetivo real.

## 9. Cómo Corbado aporta la capa de datos que falta en la autenticación

Corbado no decide quién es el propietario de CIAM y tampoco pretende hacerlo. La propiedad
es una decisión exclusiva de cada organización. Lo que Corbado aporta es la capa de datos
que faltaba desde el principio: esa capa que los silos, los presupuestos fragmentados y
las actitudes de "no es mi problema" nunca lograron generar por sí solos. Por fin, la
autenticación cuenta con el equivalente a lo que el análisis de producto, la
observabilidad y las herramientas antifraude ya tienen en sus respectivos campos.

La capa de observabilidad de autenticación se sitúa por encima del IDP, del motor de
fraude y del SIEM, fusionando sus señales en una vista única sobre todo el viaje del
inicio de sesión. Los intentos en el backend, los procesos en el cliente, el
comportamiento del gestor de credenciales, el nivel de éxito por cohorte y los resultados
de las recuperaciones de cuenta conviven dentro de un mismo sistema y pueden evaluarse de
forma conjunta.

- **Una sola capa de datos para la autenticación.** Las señales del backend, el frontend,
  de fraude y de seguridad se correlacionan por sesión, por cohorte y por viaje, para que
  el rendimiento real del inicio de sesión deje de estar oculto bajo cuatro sistemas
  independientes.
- **Tasa de éxito por cohorte.** Se desglosa el éxito del inicio de sesión por sistema
  operativo, navegador, gestor de credenciales y hardware (la primera métrica que la
  mayoría de equipos no logra extraer de sus herramientas actuales).
- **Creación y uso como cifras separadas.** La creación y el uso de las claves de acceso
  se reportan como dos KPI diferenciados. Esta es, con mucha diferencia, la corrección de
  medición más necesaria en casi todos los cuadros de mando.
- **Análisis de la ruta de recuperación.** El uso, el éxito y el abandono de los flujos de
  recuperación aparecen en la misma taxonomía de eventos que los flujos de inicio de
  sesión, permitiendo que tanto el CISO como el CPO observen los mismos números.
- **Abandono por método.** Las caídas para cada método permiten que el cuadro de mando
  pueda separar el abandono de las contraseñas (por cuestiones de higiene de credenciales)
  del abandono de las claves de acceso (ya sea por conflictos en la interfaz o con el
  gestor de credenciales).
- **Redes de seguridad en los despliegues.** La supresión dinámica, las notificaciones
  dirigidas a cohortes específicas y los interruptores de emergencia permiten que quien
  coordine el programa pueda realizar cambios sin tener que tocar el IDP directamente.
- **Puntos de referencia para comparación.** Los datos extraídos de toda la base de
  clientes de Corbado permiten que las cifras internas de una empresa se puedan comparar
  con cifras externas, lo que a menudo transforma la simple revisión mensual en una
  decisión real y justificada.

Las disputas sobre la propiedad no desaparecen simplemente por añadir una capa de datos.
Sin embargo, sí resultan más fáciles de resolver, porque se terminan los debates del tipo
"mis datos dicen que...", para dar paso a las discusiones sobre qué medidas tomar.

## 10. Conclusión

CIAM tiene varios propietarios legítimos y eso no va a cambiar. Lo que sí cambia es si la
empresa elige un único propietario, o si elige utilizar un cuadro de mando. Elegir a un
propietario es más rápido, pero consume capital político. Implementar un cuadro de mando
es más lento, pero puede funcionar sin necesidad de una reorganización. Cualquiera de
estas dos opciones es preferible al lanzar la moneda al aire y decidir de forma implícita,
que es lo que sucede hoy en la mayoría de empresas. El coste de tener una propiedad
ambigua se mide en despliegues estancados, flujos desarticulados y la silenciosa, pero
constante, erosión simultánea tanto en las cifras de seguridad como en las de conversión.

## Preguntas frecuentes (FAQ)

### ¿Quién suele ser el propietario de CIAM en una gran empresa?

En nuestra experiencia, la propiedad se divide entre las funciones del CISO, CTO, CPO,
fraude y crecimiento. En sectores altamente regulados, la oficina del CISO es quien asume
la autoridad principal. En las empresas nativas digitales centradas en el consumidor, la
oficina del CPO o del CTO suele llevar el mando principal, porque CIAM debe integrarse
directamente dentro del producto. Un jefe de producto de identidad dedicado que gestione
un cuadro de mando compartido es el modelo de madurez en ambos casos.

### ¿Cambia la industria quién debería ser el propietario de CIAM?

Sí. El comercio electrónico trata a CIAM como un problema de conversión, por lo que suele
recaer en el equipo de producto o en el de crecimiento. La banca lo considera un problema
de seguridad y cumplimiento normativo, de manera que el CISO toma el relevo. Las
telecomunicaciones, los seguros y el sector de la atención médica aplican modelos
divididos. La respuesta correcta debe seguir la cadencia de revisión y el apetito por la
seguridad que demande la industria y no una simple mejor práctica abstracta.

### ¿Por qué la propiedad dividida de CIAM perjudica los nuevos lanzamientos de autenticación?

Cualquier nuevo método de autenticación, desde el inicio de sesión social y el step-up de
MFA hasta las claves de acceso (passkeys), requiere una perfecta coordinación de la
experiencia del usuario (UX) en el registro, los flujos de recuperación, las políticas de
riesgo y las herramientas de soporte. Si cada uno de estos elementos recae bajo un
propietario diferente y con un ritmo de trabajo distinto, el despliegue avanza al ritmo
del propietario más lento. Los despliegues de claves de acceso son el ejemplo actual más
visible de ello, ya que se estancan habitualmente entre un 5% y un 15% de adopción.

### ¿Deberían estar el IAM de empleados y el IAM de clientes dentro del mismo equipo?

Por lo general, no. Comparten parte del vocabulario y poco más. El IAM de empleados se
optimiza para dispositivos controlados, usuarios que ya se conocen y eficiencia de costes.
Por su parte, el IAM de clientes se optimiza para dispositivos no administrados, usuarios
anónimos y la conversión. La mayoría de las empresas más consolidadas los mantienen en
sistemas de gobernanza independientes y, en lugar de compartir un único líder, prefieren
compartir un consejo conjunto. Consulta nuestra guía sobre observabilidad de autenticación
para conocer en detalle la parte de CIAM en esta división.

### ¿Cuáles son los KPI de CIAM más importantes?

Destacan cinco métricas transversales que se sitúan a caballo entre los paneles
individuales de cada función: la tasa de éxito de inicio de sesión por cohorte, el tiempo
hasta la primera acción autenticada, el alcance y el uso de las claves de acceso
(contabilizados como dos métricas separadas), el éxito en la ruta de recuperación y el
abandono de los usuarios desglosado por cada método de autenticación. Cada uno de estos
cinco indicadores resulta crucial, pero carece de la medición adecuada en la mayoría de
las empresas.

### ¿Por qué el alcance y el uso de las claves de acceso (passkeys) no son la misma métrica?

El alcance indica qué porcentaje de usuarios aptos se han llegado a registrar con una
clave de acceso. El uso, por el contrario, mide qué porcentaje de inicios de sesión
emplean, de forma real y efectiva, una clave de acceso. Es posible que un despliegue
registre un alcance muy alto, pero un uso bajo, si los usuarios previamente registrados
continúan escribiendo contraseñas por mera costumbre. Reportar tan solo una de ambas
métricas dará lugar a errores en las revisiones a nivel ejecutivo.

### ¿Qué es un cuadro de mando compartido de CIAM?

Se trata de un documento de una sola página en el que se reflejan cinco métricas
interfuncionales, que las diferentes áreas propietarias revisan de forma conjunta
mensualmente. Cada métrica cuenta con un propietario principal encargado de la calidad de
los datos, un propietario interfuncional responsable del plan de acción y un objetivo
pactado de manera conjunta al comienzo de cada trimestre. La evaluación y el debate se
fundamentan sobre este resumen de una página y no sobre los complejos paneles de datos
subyacentes.

### ¿Con qué frecuencia se debe revisar el cuadro de mando?

Mensualmente, durante una reunión transversal de 60 minutos con la participación de las
distintas funciones propietarias. Si la frecuencia es mayor, no se producirán los cambios
necesarios entre una revisión y la siguiente. Si es menor, la pérdida sistemática de
control pasará desapercibida, sobre todo en lo referente a las regresiones en el nivel de
cohorte que suelen surgir tras actualizar el sistema operativo o el navegador.

### ¿Cómo podemos empezar sin hacer una reorganización en la empresa?

Elige únicamente las dos métricas que resulten más problemáticas y reúne a los
correspondientes responsables en una sesión mensual de 60 minutos, enfocándose en un
primer momento solo en esos dos indicadores. Ve ampliando poco a poco a lo largo de los
dos trimestres siguientes. De este modo, no hay necesidad de modificar cargos o puestos.
El propio cuadro de mando es el que asume el papel de la capa de gobernanza. Así, la
mayoría de las organizaciones logran consolidar un patrón maduro en un plazo de entre 12 y
18 meses, y todo ello sin cambiar de forma oficial las líneas de reporte del equipo.

### ¿Puede un proveedor ayudar a resolver disputas sobre la propiedad?

Un proveedor jamás decidirá quién es el propietario por ti. Lo que sí puede hacer es
eliminar la ambigüedad en los datos que dificulta resolver las disputas. Una capa de
análisis compartida ofrece a cada parte implicada los datos de la sección que le interesa,
conservando a la vez una vista de conjunto, lo que a menudo resulta suficiente para
convertir un intenso debate político en un mero debate operativo.