El problema no es AD. El problema es cómo estamos diseñando identidad en 2026.

La conversación que nadie quiere tener

Hay una narrativa instalada.

“Active Directory es legacy.” “Si no estás 100% cloud, estás atrasado.” “El futuro es passwordless y todo lo demás es resistencia al cambio.”

Y sin embargo, si miramos con honestidad el parque tecnológico de medianas empresas —sobre todo fuera de CABA y grandes centros urbanos— la realidad es otra.

La enorme mayoría sigue autenticando contra un Active Directory on-premise.

Y no, no es por ignorancia. No es por miedo. No es por falta de visión.

Es porque funciona.

Funciona de forma predecible. Funciona incluso cuando el ISP no funciona. Funciona cuando el enlace cae. Funciona cuando la planta está en medio del campo.

Lo incómodo no es que AD siga vivo. Lo incómodo es admitir que, en muchos contextos, sigue siendo la base más estable de identidad.

La creencia dominante: “AD es legacy”

La palabra “legacy” se usa con demasiada ligereza.

Se la asocia a algo viejo, pesado, destinado a desaparecer.

Pero hay una diferencia importante:

  • Legacy es lo que no entendés.
  • Legacy es lo que no podés sostener.
  • Legacy es lo que depende de conocimiento tribal.

Un Active Directory bien diseñado, con roles claros, OU ordenadas, políticas documentadas, backups probados y recuperación testeada… no es legacy.

Es infraestructura predecible.

Y en identidad, la predictibilidad no es un lujo. Es una condición de seguridad.

Porque la identidad es la puerta de entrada a todo.

El verdadero problema actual no es cloud. Es identidad y 2FA.

Hoy lo que más aprieta en las infraestructuras no es el hypervisor. No es el storage. No es la red.

Es la identidad.

Y dentro de identidad, la presión concreta es clara:

  • MFA obligatorio.
  • Protección de cuentas privilegiadas.
  • Mitigación de ransomware.
  • Auditoría y trazabilidad.
  • Zero trust como discurso dominante.

Ahí aparece el límite real de AD on-prem puro.

Active Directory tradicional no soporta MFA moderno de forma nativa para todo su ecosistema.

Sí, se puede integrar con herramientas de terceros. Sí, se puede extender con soluciones adicionales. Sí, se puede diseñar algo robusto.

Pero ya no es AD solo.

Y esa es la conversación que sí hay que tener.

El híbrido mal diseñado: la nueva deuda técnica

Muchos entornos hoy están en una zona gris:

  • AD on-prem.
  • Sincronización con Entra ID.
  • MFA en algunas aplicaciones.
  • Otras autenticaciones todavía locales.
  • Políticas duplicadas.
  • Autoridad de identidad poco clara.
  • Fallback no probado.

Ese híbrido improvisado es peor que AD puro.

Porque:

  • Multiplica dependencias.
  • Confunde responsabilidades.
  • Diluye el control.
  • Aumenta superficie de ataque.

No es el híbrido el problema.

Es el híbrido sin arquitectura.

Si no está claro:

  • Dónde reside la autoridad primaria de identidad.
  • Qué pasa si se cae el enlace.
  • Cómo se autentica un usuario crítico en desconexión.
  • Qué cuentas son cloud-only y cuáles no.
  • Cómo se protegen privilegios.

Entonces no hay modernización.

Hay complejidad acumulada.

Argentina no es Silicon Valley

Hay algo que en los eventos técnicos se evita decir.

La conectividad en Argentina no es homogénea. No es simétrica. No siempre tiene SLA real. No siempre tiene redundancia efectiva.

Muchas plantas industriales están en parques industriales alejados, zonas rurales, ciudades medianas con infraestructura limitada, entornos donde un corte eléctrico impacta más de lo que debería.

En ese contexto, una dependencia 100% cloud para autenticación crítica no es modernidad.

Es exposición.

¿Significa que no se pueda hacer? No.

Significa que debe diseñarse con conciencia del riesgo.

La identidad es infraestructura crítica.

Y la infraestructura crítica no se diseña por moda.

El error conceptual: confundir modernización con externalización

Cloud no es sinónimo de seguridad.

Externalizar identidad no elimina responsabilidad. La transforma.

Cuando movés identidad a la nube:

  • Ganás MFA nativo.
  • Ganás capacidades modernas.
  • Ganás integración SaaS directa.
  • Reducís infraestructura local.

Pero también:

  • Dependés 100% de conectividad.
  • Dependés del SLA de terceros.
  • Dependés del roadmap de un vendor.
  • Dependés de cambios de política que no controlás.

Eso no es bueno ni malo.

Es una decisión estratégica.

El problema es cuando se toma como reflejo automático.

El punto incómodo: AD on-prem solo ya no alcanza

Ahora, el otro lado de la verdad.

AD puro, aislado, sin MFA, sin protección de privilegios, sin segmentación adecuada, hoy es insuficiente.

No por viejo.

Sino por el contexto de amenaza.

Hoy:

  • Las cuentas de dominio son objetivo prioritario.
  • El movimiento lateral es automático.
  • Los ataques de credenciales son constantes.
  • Los usuarios reutilizan contraseñas.
  • El phishing es industrial.

Si tu AD no está complementado con:

  • MFA fuerte.
  • Protección de cuentas privilegiadas.
  • Segmentación de red.
  • Auditoría activa.
  • Backup inmutable.
  • Procedimientos de recuperación probados.

No estás defendiendo tradición.

Estás acumulando riesgo.

La discusión no es matar AD.

Es madurar identidad.

Diseñar identidad no es elegir un logo

La pregunta correcta no es:

“¿Seguimos con AD o nos vamos 100% cloud?”

La pregunta correcta es:

  • ¿Dónde debe residir la autoridad primaria de identidad?
  • ¿Cómo se protege esa autoridad?
  • ¿Qué ocurre en desconexión?
  • ¿Cómo se protege la cuenta del administrador de dominio?
  • ¿Cómo se segmentan privilegios?
  • ¿Qué superficie de ataque queda expuesta?
  • ¿Cómo se audita y se responde ante incidente?

Eso es arquitectura de identidad.

Y muy pocos la están pensando con ese nivel de seriedad.

La diferencia entre legacy y predecible

Legacy no es lo que tiene años.

Legacy es lo que:

  • Nadie documentó.
  • Nadie entiende completamente.
  • Nadie sabe recuperar bajo presión.
  • Depende de una sola persona.

Un AD con 15 años puede ser más seguro que un híbrido de 6 meses mal entendido.

Una identidad cloud mal gobernada puede ser más riesgosa que un entorno on-prem bien segmentado.

La edad no define la madurez.

El diseño sí.

Lo que realmente debería estar en discusión

No es si AD debe morir.

Es si la identidad está diseñada con:

  • MFA obligatorio y coherente.
  • Protección real de privilegios.
  • Modelo claro de autoridad.
  • Pruebas de desconexión.
  • Plan de recuperación ante ransomware.
  • Segmentación efectiva.

Si la respuesta es no, el problema no es AD.

Es gobernanza.

El punto que incomoda

Muchos siguen con AD on-prem porque es lo que conocen.

Muchos migran a híbrido porque “hay que modernizar”.

Muy pocos diseñan identidad como infraestructura crítica.

Y esa es la diferencia.

Porque identidad no es una pieza más del stack.

Es la llave maestra.

Y cuando esa llave depende de un diseño improvisado, no importa si está en tu rack o en la nube.

El riesgo es el mismo.

La conversación que vale la pena tener

Active Directory no sigue vivo porque nadie se anima a matarlo.

Sigue vivo porque, en muchos contextos, sigue siendo predecible.

Pero la predictibilidad sin seguridad moderna no alcanza.

Cloud no es la solución automática. On-prem no es la respuesta nostálgica.

La discusión adulta no es dónde vive la identidad.

Es cómo está diseñada.

Porque la identidad no es una tendencia tecnológica.

Es infraestructura crítica.

Y la infraestructura crítica no se define por moda.

Se define por contexto, por riesgo y por capacidad real de sostenerla.

No se trata de matar Active Directory.

Se trata de dejar de improvisar la puerta de entrada a toda la organización.