En esta conversación con Eduardo Zamora, VP General Manager de SailPoint Latinoamérica, se revela por qué la identidad es el nuevo perímetro de seguridad. Zamora explica cómo, más allá de firewalls y antivirus, el reto está en gobernar accesos de empleados, proveedores e identidades máquina. Con ejemplos reales, destaca los riesgos de no controlar roles y permisos, así como el impacto de la IA para agilizar procesos y detectar anomalías. Además, subraya que la ciberseguridad es un desafío humano y cultural, clave para proteger datos y potenciar la transformación digital.
En una era donde los ciberataques son más sofisticados, persistentes y rentables que nunca, la batalla por proteger a las organizaciones se ha desplazado de los firewalls y antivirus hacia un territorio muchas veces ignorado: la identidad. “Hoy, el perímetro ya no es la red, es la identidad”, afirma con contundencia Eduardo Zamora, VP General Manager de SailPoint para Latinoamérica. Y lo dice con autoridad: en menos de un año, lideró un crecimiento de casi 300% en la región para esta firma líder global en Identity Security.
Este artículo profundiza en una conversación que va más allá de la tecnología. Hablamos de ciberseguridad, transformación digital, IA, liderazgo y cultura organizacional. Todo desde la experiencia de quien ha transitado casi tres décadas por las trincheras tecnológicas y hoy tiene claro que el gran reto no es técnico: es humano.
El auge silencioso de las identidades máquina
En el discurso tradicional de ciberseguridad, se habla de firewalls, malware, ransomware y phishing. Pero pocas veces se detiene la conversación en algo tan elemental como el control de quién accede a qué. Zamora lo resume así: “La mayoría de las empresas hoy tienen más identidades máquina que humanas, y están fuera de control.”
Bots, cuentas de servicio, RPA, APIs y agentes de inteligencia artificial están accediendo a sistemas empresariales sin una supervisión clara. ¿Quién los creó? ¿Qué permisos tienen? ¿Alguien les dio de baja? En muchas organizaciones, la respuesta es el silencio.
Y eso tiene un costo real. Uno de los ejemplos más escalofriantes compartidos por Zamora involucra al CFO de una gran empresa que, seis meses después de dejar la compañía, seguía teniendo acceso a los sistemas financieros… y lo usó para robar millones de dólares. “Eso es una identidad huérfana. Una puerta abierta al desastre”, explica.
Identity Security: más que gestión de accesos
Para muchos líderes de TI, Identity Security suena a algo que ya “se tiene cubierto” con un Active Directory y un SSO. Pero según SailPoint, eso apenas toca la superficie.
Lo que se necesita hoy es gobierno total del ciclo de vida de las identidades: desde su creación, asignación de roles, monitoreo de uso, hasta su eliminación. Y no solo de empleados, sino de no empleados (proveedores, socios, clientes) e identidades máquina.
Esto implica entender quién tiene acceso, si lo necesita, si ese acceso sigue vigente tras un cambio de rol, y qué actividades está realizando. “Lo que no se gobierna, se descontrola. Y en el mundo digital, ese descontrol puede costarte la empresa”, apunta Zamora.
Un problema de toda la organización, no solo del CISO
Uno de los grandes errores es pensar que la seguridad de identidades es responsabilidad exclusiva del área de TI o del CISO. En realidad, involucra a Recursos Humanos, Finanzas, Auditoría, Legal y Operaciones.
Un programa serio de Identity Security —como los que SailPoint implementa— inicia con un discovery profundo, mapeo de roles, fuentes autoritativas (como sistemas de RH), y define fases claras: empleados, no empleados, identidades máquina. Todo adaptado al ritmo del cliente.
Y es que como enfatiza Zamora, “esto no es un proyecto que implementas en 3 meses y te vas. Es un programa perenne, como un ERP o un CRM”.
Gobernanza real vs. gobierno “light”
Muchos CIOs creen tener gobierno de identidades. Pero lo que tienen, en palabras de Gartner, es “gobierno light”: un pedazo del ciclo cubierto, pero sin visión completa. La mayoría no automatiza decisiones, no cruza datos entre áreas ni aprende de patrones. Aquí es donde entra la diferencia competitiva.
SailPoint, por ejemplo, incluye IA desde 2017 en su plataforma. Y no solo para detectar anomalías, sino para aprender de comportamientos, automatizar decisiones y acelerar procesos. “Lo que se hace en semanas lo hacemos en minutos; lo que tomaba meses ahora se resuelve en horas”, asegura Zamora.
El reto latinoamericano: cultura, compliance y liderazgo
A pesar del avance, América Latina —y México en particular— aún está varios pasos detrás de Estados Unidos, Europa e incluso Brasil. ¿Por qué? Por cultura, falta de regulación y poca visión ejecutiva.
“Muchas empresas dicen ‘yo ya tengo algo de identidad’, pero no tienen la profundidad ni el gobierno necesarios. En algunos casos, ni siquiera saben cuántas identidades activas tienen. Y eso, en pleno 2025, es inadmisible”, sentencia.
Además, todavía son pocas las empresas que cuentan con un Identity Program Director. Pero eso está cambiando. En países más avanzados, ya hay figuras especializadas, no solo a nivel operativo, sino dentro de la estructura del CISO o incluso el CIO.
Liderazgo con visión humana
Zamora no solo destaca por su conocimiento técnico. También por su liderazgo. “La diferencia la hacen las personas. La gente le compra a la gente”, dice.
A su llegada a SailPoint LATAM, encontró colaboradores. Hoy tiene un equipo de alto desempeño. ¿Cómo lo logró? Con visión, metas ambiciosas, una cultura de comunicación y una misión clara. Pero sobre todo, entendiendo que los objetivos personales y profesionales de cada persona importan.
También tiene un compromiso claro con la diversidad y el impulso de mujeres en carreras STEM. “La diversidad en equipos tecnológicos no es un tema de inclusión. Es un tema de resultados”.
Lo que viene: IA, velocidad y más ciberataques
Para Zamora, el futuro no es dentro de cinco años. Es en los próximos 12 meses. La velocidad del cambio tecnológico ha hecho que el largo plazo se vuelva irrelevante. Lo que sí es claro es que:
- Los ciberataques seguirán aumentando.
- El uso de IA en el cibercrimen será más sofisticado.
- Las organizaciones que no gestionen identidades —humanas y no humanas— estarán en riesgo.
“La inteligencia artificial no viene a reemplazarnos, viene a potenciarnos. Pero no compites contra ella. Compites contra quien sabe usarla mejor que tú”, concluye.
Conclusión
La identidad es el nuevo perímetro. Y en un entorno donde todo es digital, la falta de gobierno sobre accesos, roles y cuentas no es una omisión: es una brecha crítica de seguridad.
Para las empresas que realmente quieren avanzar en madurez tecnológica, cumplir con normativas, proteger datos y ganar velocidad, gobernar las identidades ya no es opcional. Es indispensable.
SailPoint no solo ofrece tecnología. Ofrece un modelo, una cultura y una visión estratégica para que la seguridad deje de ser reactiva… y se vuelva parte del ADN organizacional.
