La seguridad de identidades lleva años siendo el “punto único de fallo” más incómodo de la ciberseguridad moderna: cuanto más se automatiza una empresa, más credenciales, cuentas de servicio, tokens y agentes aparecen… y más difícil es saber quién (o qué) puede hacer qué, cuándo y desde dónde. En ese contexto, Delinea ha anunciado un acuerdo definitivo para adquirir StrongDM con un objetivo claro: unir el Privileged Access Management (PAM) tradicional con un modelo de autorización en tiempo real y “just-in-time” pensado para entornos continuos, cloud-native y cada vez más poblados por identidades no humanas y agentes de IA.
Un mercado empujado por el auge de identidades no humanas
El detonante de este movimiento no es solo tecnológico; es también estadístico. Informes recientes apuntan a que las identidades no humanas (NHIs) —cuentas de servicio, integraciones, automatizaciones, identidades de máquina y, cada vez más, agentes de IA— ya superan ampliamente a los usuarios humanos, con ratios citados del orden de 82 a 1 en determinados entornos corporativos.
Este desequilibrio cambia las reglas del juego: un programa o un agente no “se cansa”, no comete errores humanos típicos, pero sí puede operar 24×7, escalar acciones a velocidad máquina y, si está mal gobernado, convertirse en un multiplicador de riesgo. El resultado es una presión creciente para pasar de controles basados en “sesiones” o “roles estáticos” a modelos más granulares, capaces de autorizar cada acción en el momento exacto.
Qué se compra exactamente: PAM + autorización “runtime” en una sola capa
Según el anuncio, la combinación pretende construir una plataforma que integre:
- PAM empresarial (el terreno clásico de Delinea: control de credenciales privilegiadas, bóvedas, rotación, auditoría, etc.).
- Autorización “runtime” just-in-time (JIT) (la especialidad de StrongDM: permitir acceso a infraestructura y datos con un enfoque muy orientado a ingeniería/DevOps, y con políticas aplicadas en el momento de uso).
Delinea enmarca el resultado como una evolución hacia un modelo de Zero Standing Privilege (ZSP): reducir o eliminar privilegios permanentes, sustituyéndolos por permisos efímeros y trazables. Este concepto —cada vez más citado en la industria— busca minimizar la exposición: si no existe una credencial privilegiada “siempre válida”, hay menos superficie para robar, reutilizar o abusar.
Por qué ahora: del “acceso” al “gobierno de la acción”
El anuncio insiste en un cambio de paradigma: ya no basta con “dar acceso” a un recurso; hay que gobernar el privilegio en el instante de la acción. En la práctica, esto significa:
- Políticas centralizadas que deciden si una identidad (humana, máquina o agente) puede ejecutar una operación privilegiada concreta.
- Capacidad de aplicar mínimo privilegio de forma dinámica, en función de contexto (entorno, riesgo, hora, dispositivo, postura de seguridad, etc.).
- Auditoría y trazabilidad “por operación”, no solo por sesión.
En palabras atribuidas a la dirección de Delinea, el robo o pérdida de credenciales sigue siendo un patrón dominante en incidentes, y la industria está empujando el control de identidad al centro del modelo de defensa.
Cierre previsto y condiciones: operación en Q1 2.026
Delinea afirma que el acuerdo está firmado y que el cierre se espera en el primer trimestre de 2.026, sujeto a condiciones habituales, incluida la revisión regulatoria. No se han hecho públicos los términos financieros.
Tabla rápida: de PAM tradicional a ZSP con autorización en tiempo real
| Enfoque | Qué resuelve | Ventaja principal | Riesgo típico si se aplica mal | Dónde encaja mejor |
|---|---|---|---|---|
| PAM clásico (credenciales persistentes controladas) | Centraliza y protege cuentas privilegiadas | Auditoría y control de credenciales maduras | “Standing privileges” que siguen existiendo (aunque estén en bóveda) | TI tradicional, entornos regulados, administración de sistemas |
| JIT (acceso bajo demanda) | Concede privilegios solo cuando se necesitan | Reduce ventana de exposición | Complejidad operativa si no hay automatización | Operaciones, soporte, accesos puntuales, equipos distribuidos |
| Autorización “runtime” (acción por acción) | Decide y registra permisos en tiempo real | Control granular y contextual | Políticas mal diseñadas pueden bloquear operaciones críticas | DevOps, producción, bases de datos, Kubernetes, CI/CD |
| ZSP (cero privilegio permanente) | Elimina privilegios “siempre activos” | Minimiza superficie de ataque | Requiere disciplina de procesos y buena observabilidad | Organizaciones con alta automatización y presión de cumplimiento |
Lectura estratégica: consolidación en “Identity Security” para IA agéntica
La operación se alinea con un movimiento más amplio del mercado: la seguridad de identidad está migrando desde IAM/PAM “clásicos” hacia Identity Security como capa de control transversal, especialmente ante la proliferación de agentes y automatizaciones. En paralelo, analistas y actores del sector llevan tiempo señalando el crecimiento de enfoques JIT y modelos sin privilegios permanentes como vía pragmática para recortar riesgo sin paralizar operaciones.
En otras palabras: si el futuro cercano incluye agentes de IA ejecutando acciones reales (no solo recomendando), el control que importa no es “quién inició sesión”, sino qué acción privilegiada se autorizó y bajo qué política.
Preguntas frecuentes
¿Qué problema concreto intenta resolver la compra de StrongDM por Delinea?
Unificar PAM con autorización JIT “en tiempo de ejecución”, para reducir credenciales privilegiadas permanentes y controlar acciones privilegiadas con políticas y auditoría más granulares.
¿Qué es Zero Standing Privilege (ZSP) y por qué se menciona tanto últimamente?
Es un enfoque que busca eliminar privilegios persistentes: el acceso se concede de forma temporal, bajo demanda y con controles contextuales, reduciendo la ventana útil para atacantes si roban credenciales.
¿Por qué la IA agéntica complica tanto la seguridad de identidades?
Porque multiplica las identidades no humanas y automatiza acciones; varios informes ya alertan de ratios muy superiores de NHIs frente a humanos y del impacto directo en el riesgo de seguridad.
¿Cuándo se espera que esté completada la adquisición?
La empresa indica que el cierre está previsto para el primer trimestre de 2.026, sujeto a condiciones habituales y revisión regulatoria.
vía: delinea
