Muchas organizaciones creen tener una sólida identidad de dispositivo debido a la posesión de certificados, pero esta creencia suele ser errónea. Según la guía de Zero Trust del UK National Cyber Security Centre (NCSC), es crucial verificar la identidad de usuarios, servicios y dispositivos antes de conceder acceso. El problema radica en que la gestión de la identidad del dispositivo a menudo se basa en la falsa equivalencia de “tener certificados” en lugar de una identidad verificable y vinculada. Esto deja una brecha en la seguridad, ya que los atacantes pueden copiar, mover y reproducir credenciales, eludiendo las medidas de seguridad basadas en la postura del dispositivo o la ubicación de la red.
La falta de una verdadera identidad de dispositivo compromete la efectividad de las arquitecturas Zero Trust, permitiendo movimientos laterales invisibles, retransmisión de certificados robados y dificultando la respuesta a incidentes. Para lograr una verdadera identidad de dispositivo, esta debe ser única por dispositivo, verificable criptográficamente, vinculada al hardware, de corta duración, gestionada automáticamente y totalmente auditable. Empresas como Smallstep ofrecen soluciones para automatizar la emisión de certificados y gestionar el ciclo de vida de la identidad del dispositivo, integrándola directamente en la infraestructura y proporcionando visibilidad completa del proceso.