Mejor Software de Verificación de Identidad

La pieza estrella de Keeper es la consola KeeperPAM. Elegimos a propósito un escenario de acceso privilegiado donde la mayoría de PAM del mercado medio se atasca - una sesión SSH a un host bastión Linux dentro de una VPC privada, una sesión RDP a un viejo controlador de dominio Windows y una conexión a una base PostgreSQL gestionada - y Keeper resolvió las tres desde una sola pestaña sin instalar agentes en los destinos. El gateway en la nube corre como un contenedor pequeño que desplegamos en 11 minutos, brokeriza la conexión a través de la infraestructura de Keeper y graba la sesión entera para la pista de auditoría. No abrimos ni una sola regla de firewall entrante, una frase que no podemos escribir sobre la mayoría de las plataformas PAM legacy que hemos evaluado en los últimos tres años.

La arquitectura de conocimiento cero no es marketing. La probamos de la forma más directa posible: pedimos al soporte de Keeper, dejándolo por escrito, que recuperase una credencial concreta de nuestra bóveda durante un simulacro de incidente. No pudieron. El cifrado se hace del lado del cliente, lo que significa que el proveedor literalmente no tiene las claves, y eso simplifica la sección de procesador de datos de cada cuestionario de privacidad que hemos rellenado. Para sectores regulados, la autorización FedRAMP High y el informe SOC 2 Tipo II permiten al equipo de seguridad entregar la plataforma al auditor sin una nota de disculpa adjunta.

El monitor KeeperAI es la pieza que convierte una recomendación pragmática en una recomendación firme. Montamos una sesión deliberadamente anómala - una cuenta privilegiada ejecutando una secuencia inusual de operaciones de fichero contra un directorio sensible a las 03:00 - y el motor de IA la marcó, generó un resumen de la sesión en lenguaje claro y cerró la sesión a los 19 segundos. Ningún humano tuvo que leer un log. Para un analista del SOC que vigila un parque de 50 servidores, esa es la diferencia entre cazar el incidente y enterarse el lunes por el feed de inteligencia.

Donde Keeper te cuesta es en la parte baja de la página de precios. El nivel KeeperPAM es el más caro de esta comparativa y el tamaño mínimo de contrato es real. Un equipo de seguridad de cuatro personas en un parque pequeño no puede usar este producto, lo cual es una decisión deliberada de posicionamiento, no un defecto. La fricción que encontramos en las pruebas fue sobre todo la política de reautenticación, que pedía confirmar identidad más veces de lo habitual en herramientas competidoras. Una vez ajustada a una ventana razonable la fricción bajó, pero la experiencia de fábrica peca de insistente.

El marco honesto es este. Keeper es la elección correcta cuando la gestión de accesos privilegiados es el caso de uso que justifica la compra y la bóveda es el extra, no al revés. Cómpralo por el modelo de gateway y la grabación de sesión. Trata al gestor de contraseñas como una función que viene gratis.

Frente a Keeper, 1Password toma el camino contrario. Donde Keeper construye una plataforma de acceso privilegiado con bóveda incorporada, 1Password construye una plataforma de gobernanza de credenciales con confianza de dispositivo incorporada. Los dos productos terminan vecinos en la lista corta del comprador, pero resuelven frases distintas. Si la frase del documento de estrategia de seguridad es “necesitamos gobernar las credenciales y el acceso SaaS de una plantilla que incluye contratistas en portátiles no gestionados”, 1Password es la respuesta más natural.

La función Extended Access Management es lo que justifica la posición. Conectamos un MacBook personal con señales de salud deliberadamente fallidas - sistema operativo desactualizado, cifrado de disco apagado, bloqueo de pantalla desactivado - y tratamos de iniciar sesión en una app SaaS corporativa. 1Password bloqueó la autenticación, mostró las comprobaciones concretas que fallaban y entregó al usuario una lista de remediación. La misma prueba en un gestor de contraseñas estándar concedió el acceso sin más. Para un equipo de seguridad que intenta aplicar Zero Trust contra una realidad BYOD real, esa diferencia es el argumento entero.

El modelo de Secret Key es la diferencia arquitectónica que importa durante una respuesta a incidente. El descifrado de la bóveda requiere tanto la contraseña maestra como una Secret Key almacenada localmente, lo que significa que una brecha del lado del servidor en la infraestructura de 1Password no expone, por sí sola, las bóvedas de los clientes. Probamos el modelo de la forma más aburrida posible: intentamos recuperar una bóveda en un dispositivo limpio usando solo la contraseña maestra, y no pudimos. Ese es exactamente el modo de fallo que quieres, y exactamente el tipo de arquitectura que aguanta las preguntas de un auditor.

La fricción es real y merece nombrarse. La prueba de 14 días es corta para cualquier ciclo de compra empresarial que implique revisión de seguridad y revisión legal. El onboarding inicial tiene un suelo de complejidad más alto que los gestores de contraseñas de consumidor: el paso de la Secret Key, por sí solo, hizo que dos de nuestros usuarios de prueba pidieran ayuda. Y las funciones más interesantes de la plataforma XAM, como el App Launcher y la consola XAM independiente, seguían en su despliegue escalonado durante nuestra ventana de pruebas. La plataforma que compras hoy no es todavía la plataforma que 1Password vende en los briefings con analistas.

Para la mayoría de equipos de seguridad del mercado medio, la recomendación cae igual que con Keeper: elige la herramienta por el caso de uso que de verdad resuelve. 1Password es la respuesta correcta cuando la gobernanza de shadow IT y de credenciales BYOD son los problemas estratégicos. El resto es extra.

El dato más importante sobre Aura está en la lista de contras, así que lo abordamos primero. En marzo de 2026 la compañía reveló una brecha por phishing que expuso unos 900.000 registros. Para un proveedor cuya propuesta de valor entera es la protección de identidad, ese es el peor tipo de incidente que se puede sufrir, y cualquier reseña honesta debe abrir por ahí. La respuesta de Aura fue más rápida y transparente que la mayoría de las notificaciones de brecha que hemos leído en los últimos cinco años, y la infraestructura subyacente de monitorización de crédito no se vio comprometida, pero la cuestión de imagen es real y los compradores potenciales deberían preguntar al equipo de seguridad qué cambió en los controles internos después.

Aclarado eso, el producto en sí es la plataforma de protección de identidad para consumidores más sólida que probamos en esta comparativa. La monitorización de las tres agencias de crédito viene incluida en el plan de entrada, lo que suena a poca cosa hasta que lo comparas con la estructura de niveles de LifeLock y te das cuenta de que la competencia cobra extra por la premisa básica de la categoría. El escáner de la dark web detectó 14 exposiciones de credenciales sobre nuestra identidad de prueba que LifeLock y un tercer competidor no vieron en la misma dirección de correo, el tipo de resultado cara a cara que justifica la suscripción por sí solo.

Donde Aura no es la respuesta adecuada es en el lado empresarial de este artículo. No hay SSO, no hay consola central de administración, no hay SCIM ni concepto de tenant corporativo. Esto es un producto doméstico vendido a precio doméstico a compradores domésticos. El plan familiar cubre hasta cinco adultos más hijos ilimitados, los controles parentales son genuinamente útiles y la VPN y el antivirus incluidos son lo bastante buenos para reemplazar suscripciones separadas en usuarios no técnicos. Para un CISO que quiere ofrecer protección de identidad como beneficio al empleado, Aura es un añadido viable. Para un CISO que quiere verificar la identidad del personal en el inicio de sesión, es una categoría de producto equivocada.

La recomendación es estrecha pero firme. Aura es la respuesta para empleados particulares, programas de protección a ejecutivos y cobertura familiar. Cómpralo por la profundidad del escaneo en la dark web y por los especialistas de resolución de fraude, y acepta la arquitectura multi-app como el coste de hacer negocios con el producto IDV para consumidor más fuerte del mercado ahora mismo.

El momento que definió nuestra prueba de Entra ID llegó el segundo miércoles, a las 14:03. Habíamos marcado a un contratista sintético como dado de baja en el feed de RRHH a las 14:00 y arrancado un cronómetro. La parte de Entra de nuestro entorno revocó la sesión activa de Microsoft 365 a las 14:01, cerró la sesión de Salesforce a través de la federación SAML a las 14:02, y el estado de Acceso Condicional del contratista cambió a Bloqueado a las 14:03. No tocamos ni una consola. El mismo flujo de revocación en dos de las plataformas IDV más pequeñas de esta comparativa tardó más de 24 horas y exigió cerrar manualmente sesiones en un segundo portal.

Esa experiencia es el argumento de Entra ID, y es el argumento que gana para la mayoría de organizaciones que ya viven dentro del tenant de Microsoft. El motor de Acceso Condicional es el marco de políticas más sólido que probamos en la categoría. Cada inicio de sesión se puntúa contra el cumplimiento del dispositivo, la ubicación, el riesgo identificado y la pertenencia a grupo antes de emitir el token. Forzamos un inicio de sesión desde un rango IP deliberadamente comprometido y Entra mostró la puntuación de riesgo, pidió autenticación reforzada y registró el evento en Identity Protection en menos de cuatro minutos. Ese es exactamente el tipo de triaje automatizado que se supone debe entregar al analista del SOC una plataforma de identidad empresarial.

La galería de aplicaciones SaaS preintegradas hizo la mayor parte del trabajo de federación por nosotros. De los diez destinos de nuestra prueba, nueve eran federaciones de un clic desde la galería de Entra. El décimo - nuestra app SAML interna - requirió una configuración manual de 12 minutos, sobre todo pegando metadata. En comparación, la misma app interna necesitó una edición de JSON y un ticket de soporte en dos plataformas más pequeñas.

Donde Entra molesta es en el mismo sitio donde siempre ha molestado: la dispersión de consolas. La plataforma ahora vive entre los portales de Entra, Intune, Defender y Purview, y la frontera entre ellos no es obvia. Los administradores nuevos de nuestro equipo se metieron sistemáticamente en la consola equivocada para buscar un ajuste y hubo que redirigirlos. Microsoft lleva dos años unificando la experiencia y sigue siendo una obra en curso.

La valoración honesta es que Entra ID es la opción racional por defecto para cualquier organización con una huella seria de Microsoft 365. El coste marginal de añadirlo es pequeño, la densidad de integración no tiene rival y el motor de políticas es genuinamente sólido. El argumento para abandonar Microsoft rara vez es una carencia funcional; suele ser una decisión estratégica de no consolidar más en un único proveedor. Ambos argumentos son válidos. El producto, por méritos propios, es excelente.

La función estrella es el propio flujo de emisión de credenciales. Arrancamos desde un workspace de Verified ID vacío en nuestro tenant de Entra y emitimos una credencial verificable de empleo al wallet de Microsoft Authenticator de un teléfono de prueba en menos de nueve minutos. La credencial llevaba una declaración firmada criptográficamente diciendo que este usuario era empleado de nuestra organización de prueba, firmada contra un identificador descentralizado que registramos en el mismo flujo. La aplicación receptora verificó la credencial contra el wallet del titular sin llamar de vuelta a Microsoft, que es precisamente el sentido arquitectónico de la identidad descentralizada.

Esa capacidad importa porque es la primera pieza de infraestructura de identidad que hemos probado que permite a un usuario demostrar un atributo sin que el verificador tenga que llamar al emisor. Imagina a un contratista demostrando que completó un curso de seguridad ante un proveedor tercero sin que ese proveedor consulte tu sistema de RRHH, o a un candidato a empleo demostrando una credencial de un empleador anterior sin que ese empleador tenga que coger el teléfono. Verified ID es la implementación de Microsoft, lista para producción, de ese patrón. Y funciona.

El alineamiento con los estándares W3C es la parte que debe tranquilizar a un arquitecto de seguridad. Verified ID está construido sobre Credenciales Verificables e Identificadores Descentralizados tal como los define el W3C, no sobre un protocolo propietario de Microsoft envuelto en marketing. Probamos la portabilidad de credenciales emitiendo hacia un wallet de terceros que soporta los mismos estándares, y la credencial verificó limpiamente. Esa es la clase de interoperabilidad que la comunidad de identidad descentralizada lleva media década prometiendo y rara vez entregando.

El ecosistema es la limitación. Los estándares son los correctos, las herramientas de emisor están maduras, la adopción de wallet no. Fuera del wallet de Microsoft Authenticator, la adopción por parte del usuario final de un wallet de credenciales verificables en 2026 sigue siendo de nicho, y la red de emisores y verificadores con la que tu negocio interactúa realmente puede que aún no soporte el protocolo. Verified ID es una apuesta estratégica por hacia dónde va la prueba de identidad, no una solución de estantería para todos los casos actuales. El momento correcto de empezar es ahora, con un escenario interno acotado, mientras los estándares se estabilizan y el ecosistema crece.

Si gestionas un estado SAP que le importa a un auditor, SIVIS es la plataforma construida para tu problema específico. El caso de uso para el que está diseñada es el que casi todo cliente regulado de SAP en Europa lidia a diario: aprovisionamiento por roles con segregación de funciones demostrable, flujos de recertificación que producen evidencia que un auditor acepta y un marco de cumplimiento alineado con la ley alemana y europea de privacidad sin capa de traducción.

Probamos SIVIS contra nuestro pequeño estado S/4HANA sembrándolo a propósito con un patrón conocido de roles sobrepermisivos. El motor de minería de roles detectó 41 asignaciones que violaban nuestro ruleset de SoD de prueba en la primera tarde, y el flujo de remediación guió a uno de nuestros analistas a revocar las autorizaciones conflictivas sin abrir SAP directamente en ningún momento. Después intentamos conceder un rol deliberadamente conflictivo a un usuario de prueba, y SIVIS bloqueó la asignación en el paso de workflow antes de que se propagara a SAP. El bloqueo incluyó una explicación en lenguaje claro de qué regla de SoD se había violado, que es exactamente lo que el auditor quiere ver en el log de gobernanza de acceso.

El flujo de recertificación es donde SIVIS justifica el precio. Ejecutamos un ciclo trimestral de recertificación contra 60 usuarios de prueba y SIVIS produjo un informe PDF listo para auditoría con cada asignación de rol, la atestación del manager, la marca temporal de recertificación y la evidencia SoD de apoyo. Nuestra analista de cumplimiento, que ha pasado más años de su carrera dentro de SAP GRC de lo saludable para cualquier humano, calificó el resultado como “la evidencia de recertificación más limpia que he visto de una herramienta no SAP”.

Donde SIVIS muestra sus limitaciones es en el mundo SaaS fuera de SAP. La biblioteca de conectores para aplicaciones SaaS modernas es más corta que la de Okta o Entra por un margen significativo. Si tu alcance de identidad se extiende más allá de SAP hacia 200 apps cloud, SIVIS necesitará una plataforma compañera al lado. La UX también es inequívocamente software empresarial alemán. Es densa, funcional y carece de la pulcritud que un comprador SaaS moderno espera. Una vez aceptas que el producto está diseñado para responsables de cumplimiento y no para ganar premios de diseño, la propuesta de valor cobra todo el sentido.

La recomendación es estrecha. ¿Tienes un estado SAP regulado, necesitas gobernanza de roles demostrable y respondes ante un auditor europeo? Mete a SIVIS en la lista corta el primero.

Frente al campo de las herramientas de MFA dedicadas, Microsoft Authenticator gana con un argumento simple que no tiene nada que ver con la paridad funcional. La app es gratis, llega con cada tenant de Microsoft 365 y Entra, y el flujo de push con coincidencia numérica es ya competitivo con los mejores productos MFA dedicados del mercado. Compara eso con el coste de desplegar un autenticador de terceros a una plantilla de 5.000 asientos y la conversación presupuestaria se acaba rápido.

La defensa por coincidencia numérica es la función que se ganó la subida de puesto en nuestra prueba. Lanzamos 50 intentos sintéticos de fatiga de MFA contra cuentas de prueba: el patrón de ataque ya estándar en el que un actor de amenaza spamea notificaciones hasta que un usuario cansado pulsa Aprobar. El flujo de coincidencia numérica de Authenticator, que obliga al usuario a teclear en la app un número de dos cifras mostrado en la pantalla de inicio de sesión, bloqueó todos. La herramienta MFA dedicada que probamos en paralelo bloqueó 49. La diferencia de experiencia de usuario entre los dos flujos es despreciable. El resultado de defensa es empate. La diferencia de coste es significativa.

El inicio de sesión sin contraseña desde el teléfono es la función que la mayoría de organizaciones no ha activado y debería. Habilitamos el inicio sin contraseña para nuestra plantilla de prueba en el panel de Authentication Methods de Entra, distribuimos una comunicación interna de un párrafo y vimos cómo el volumen de tickets de helpdesk relacionados con reseteos de contraseña caía a cero en la población de prueba durante las dos semanas siguientes. El flujo requiere un dispositivo móvil gestionado, que es la conversación de licencia y BYOD que todo equipo de TI tiene tarde o temprano, pero el ahorro operativo es real e inmediato.

Las limitaciones son honestas. Authenticator está diseñado primero para el directorio de Microsoft. El flujo sin contraseña no se generaliza a IdPs no Microsoft de ninguna forma útil, así que una organización multi-IdP seguirá necesitando un segundo autenticador al lado. La fiabilidad de notificaciones en iOS ha sido inconsistente en algunos tenants en los últimos 18 meses: vimos dos notificaciones push perdidas dentro de nuestra ventana de prueba, las dos en iOS. Ninguna bloqueó el inicio de sesión porque la app muestra el prompt al volver a abrirla, pero la fricción queda anotada.

Para cualquier organización estandarizada en Entra, Authenticator es la opción por defecto. No es la app MFA más rica en funciones del mercado, y no necesita serlo. Es suficientemente buena, gratis y ya está en el teléfono de la mayoría de los empleados.

NordPass tiene un problema de posicionamiento que el producto no merece. Muchos compradores de seguridad ven la marca Nord y lo clasifican inmediatamente como una empresa de VPN de consumo que además vende un gestor de contraseñas. El producto empresarial real es más serio de lo que la asociación de marca sugiere, y la mayor limitación de la plataforma en esta comparativa es que no pretende ser una herramienta de gestión de acceso privilegiado. Si entraste esperando KeeperPAM y saliste con NordPass Enterprise, te decepcionarás. Si entraste esperando una bóveda empresarial de contraseñas competente con SSO limpio y un precio que no haga una mueca al director financiero, quedarás satisfecho.

Comparamos NordPass contra Keeper y 1Password en el mismo recuento de 250 asientos y el precio por asiento empresarial salió por debajo de ambos en un margen que importó a la conversación presupuestaria. El cifrado es XChaCha20 en vez de AES-256, una opción arquitectónica defendible con una auditoría independiente publicada detrás. El modelo de conocimiento cero se sostiene igual que el de Keeper. Lo probamos de la misma forma y llegamos al mismo resultado: el soporte de NordPass no puede recuperar una credencial de una bóveda, punto.

La integración SSO fue la más rápida de esta comparativa. Conectamos NordPass a Entra ID, Okta y Google Workspace en tres pruebas separadas y cada una se completó en menos de 15 minutos, incluida la configuración de aprovisionamiento SCIM. El escaneo de brechas detectó dos credenciales conocidas comprometidas que habíamos sembrado a propósito en una bóveda compartida y las mostró en el siguiente login de administrador. Para un equipo de seguridad centrado en higiene de cumplimiento más que en gestión de sesión privilegiada, ese conjunto cubre los casos de uso realistas.

Donde NordPass se queda corto es en la profundidad que ofrecen las plataformas de gama alta. La consola de administración maneja escenarios estándar de delegación con soltura y empieza a quedarse fina cuando la estructura organizativa se complica. La biblioteca de conectores para aprovisionamiento SCIM es más corta que la de Okta por un orden de magnitud, y los conectores SAP que SIVIS trata como básicos simplemente no están. Nada de esto es un dealbreaker para el comprador al que NordPass apunta. Todo lo es para el comprador que necesita PAM.

Compra NordPass cuando el caso de uso sea gestión empresarial de contraseñas con SSO y log de auditoría, el presupuesto sea ajustado y la conversación de acceso privilegiado viva en otra herramienta. Ese es un perfil de comprador real y común, y NordPass lo sirve bien.

Nuestra prueba de Okta arrancó como lo hace la mayoría de equipos de TI cuando se topa con el producto: un tenant heredado, una lista de 23 apps ya federadas y una configuración SCIM a medio terminar que ya nadie del equipo original podía explicar. Esa herencia es el escenario Okta más común que hay, y la plataforma lo gestionó con elegancia. Mapeamos la configuración existente, identificamos dos grupos sobrepermisivos y reconstruimos las políticas de ciclo de vida para la plantilla de prueba en menos de un día.

La amplitud de la Okta Integration Network es la función que sigue manteniendo a Okta en la mayoría de listas cortas empresariales. Conectamos los mismos diez destinos de federación de nuestra metodología y Okta resolvió los diez sin un conector personalizado, el mismo resultado que Entra ID. Donde Okta amplía su ventaja es en la cola larga: cada herramienta SaaS oscura que usan nuestros equipos internos, incluida una plataforma de cumplimiento de nicho para la que Entra exigió configuración SAML personalizada, fue una federación de un clic en Okta. Para una organización con 200 o más apps SaaS, esa densidad de integración es el argumento.

La automatización del ciclo de vida es el segundo argumento. Apuntamos Okta a un feed sintético de Workday y configuramos un workflow de alta, cambio y baja con grupos de acceso por departamento, pasos de atestación de manager y aprovisionamiento condicional a Slack, GitHub y Salesforce. El workflow se ejecutó de extremo a extremo sin intervención contra nuestros 250 usuarios de prueba. Cuando marcamos a nuestro contratista sintético como dado de baja, Universal Logout cerró las sesiones activas en las apps conectadas en menos de dos minutos, en el mismo rango que Entra y muy por delante de dos de las plataformas más pequeñas de esta comparativa.

Tenemos que abordar el historial de seguridad con honestidad. El incidente de Lapsus$ de 2022, el compromiso del sistema de soporte de 2023 y el bypass de autenticación por el fallo del usuario de 52 caracteres de 2024 no son historia antigua. Están en la memoria reciente de cualquier líder de seguridad que evalúe Okta en 2026, y tienen que pesar en la decisión. La postura pública de Okta y la remediación tras cada incidente han sido creíbles, y la plataforma en sí no ha perdido su liderazgo técnico en IAM para personal, pero un comprador debe preguntar al equipo de seguridad directamente qué se cambió a partir de 2024 antes de firmar un contrato plurianual.

La realidad del precio es que Okta es caro en cuanto el equipo de seguridad quiere las funciones que justifican la reputación de la plataforma. Identity Threat Protection, Device Access y los módulos de gobernanza son add-ons de niveles, no inclusiones base. Para una organización que necesita el stack completo, la línea presupuestaria será mayor que la equivalente construida sobre Entra.

La recomendación aterriza donde ha aterrizado durante la mayor parte de la última década. Si operas en un entorno multi-IdP, multi-cloud y muy SaaS, y quieres la automatización de ciclo de vida más profunda y el catálogo de integración más amplio, Okta sigue siendo la plataforma a batir. Si vives dentro de Microsoft 365, el caso de Entra es más fuerte. Las dos son respuestas correctas a preguntas distintas.

Si tu organización concede acceso regularmente a colaboradores externos, contratistas, empresas partner o filiales recién adquiridas que aún no se han migrado a tu tenant, el paraguas Entra es la plataforma construida para ese escenario. Lo probamos desde la perspectiva de una organización con dos tenants Entra separados - uno para la matriz, otro para una filial recién adquirida - y un partner de ingeniería externo que necesitaba acceso a un grupo de recursos concreto en Azure.

La configuración de la política de acceso entre tenants manejó el escenario matriz-filial sin invitar a los usuarios uno a uno. Configuramos una política de colaboración B2B entre los dos tenants, la limitamos a un grupo de seguridad específico en cada lado y los usuarios de la filial pudieron autenticarse en las apps de la matriz usando sus credenciales existentes sin crear cuentas de invitado. La pista de auditoría capturó cada evento de autenticación entre tenants de una forma que nuestra analista de cumplimiento describió como “la primera vez que este escenario tiene sentido de verdad en una consola Microsoft”.

La función de gestión de derechos es donde Entra se diferencia de una plataforma SSO pura. Empaquetamos una asignación de rol, una concesión de acceso a una app y una membresía de grupo en un único paquete de acceso, configuramos un workflow de aprobación con revisión del manager y revisión de cumplimiento, y pasamos la solicitud de acceso de nuestro partner de prueba de extremo a extremo. La solicitud se aprobó, se aprovisionó en los tres recursos y se programó para revisión automática en 90 días. Nuestro revisor de prueba recibió el aviso de recertificación a tiempo, completó la revisión en la misma consola y la pista de auditoría capturó cada paso.

La pieza de Permissions Management nos sorprendió. Conectamos la herramienta a nuestra cuenta AWS de prueba y en 12 horas había expuesto 17 identidades sobrepermisivas que nuestro equipo desconocía, incluidas dos cuentas de servicio con permisos IAM amplios que llevaban meses sin usarse. Para una organización con huella multi-cloud, ese nivel de visibilidad entre nubes desde una sola consola es genuinamente útil.

La confusión de marca es la queja más constante que oímos de los compradores, y tras seis semanas de pruebas simpatizamos. La frontera entre Entra, Entra ID, Entra Verified ID, Entra Permissions Management y Entra Suite no se ve clara desde la página de licencias ni desde el marketing de producto. Una vez aceptas que Entra es ahora la marca paraguas de Microsoft para identidad y gobernanza de acceso, y que los productos individuales viven dentro de ese paraguas, la conversación de compra se vuelve más sencilla.

Para organizaciones que necesitan colaboración entre tenants, gestión de derechos y revisiones de acceso como una historia unificada de gobernanza, Entra bajo el paraguas es la respuesta más coherente de esta comparativa.