Una explosión de identidades invisibles
Las identidades no humanas (NHI) engloban cuentas de servicio, secretos de aplicaciones, certificados, claves de API, bots de RPA, agentes de IA, dispositivos conectados o cargas de trabajo en la nube, todos ellos con derechos de acceso muy reales. Con la generalización de las API, los scripts y el IoT, estas identidades se han multiplicado hasta tal punto que a menudo superan en número a las identidades humanas, sin que los equipos de negocio y de seguridad sean muy conscientes de ello. Esta «masa oscura» de identidades crea un importante punto ciego: los derechos excesivos, las cuentas huérfanas y los secretos dispersos constituyen un terreno ideal para los ciberatacantes.
Riesgos sistémicos subestimados
Varios estudios de campo muestran que las identidades de máquina suelen disponer de privilegios elevados por razones prácticas, sin una revisión periódica ni un responsable claramente identificado. Las cuentas técnicas que se dejan activas tras una migración, los tokens de API que nunca caducan o las contraseñas de servicio codificadas de forma estática constituyen puertas de entrada discretas pero críticas. En un contexto de Zero Trust, esta situación resulta paradójica: mientras que los controles se endurecen para las personas, las identidades no humanas siguen gozando con demasiada frecuencia de una confianza implícita.
Hacia una gobernanza específica para las identidades no humanas
Los actores del sector de la gestión de identidades y accesos (IAM) coinciden ahora en una idea clara: ya no basta con tratar a las identidades de máquina (NHI) como simples variantes de los usuarios convencionales. Están surgiendo enfoques específicos de «gestión de identidades de máquina» (MIM), que combinan la detección automatizada, la clasificación por nivel de criticidad, la gestión del ciclo de vida y la supervisión continua del comportamiento. El objetivo es garantizar que no se cree ninguna identidad de máquina sin propietario, que no se conceda ningún derecho sin justificación y que ningún secreto permanezca estático o fuera de una solución centralizada.
Los pilares de una gobernanza eficaz
Las buenas prácticas que se desprenden de ello trazan una hoja de ruta operativa para los responsables de seguridad de la información (RSSI) y los responsables de IAM.
Entre las medidas clave se encuentran:
- Inventario y visibilidad: detección continua de todas las cuentas de servicio, certificados, claves API, bots e identidades en la nube, incluidas aquellas que no se encuentran en los repositorios históricos de IAM.
- Propiedad y responsabilidad: asignar cada identidad no humana a un patrocinador humano o a un equipo de desarrollo, con funciones y responsabilidades definidas.
- Ciclo de vida: gestionar la creación, modificación y eliminación mediante flujos de trabajo y herramientas específicas, para evitar cuentas huérfanas y derechos residuales.
- Privilegios mínimos y JIT: limitar estrictamente los derechos concedidos, dar prioridad a los accesos temporales y a las claves de corta duración en lugar de a las credenciales permanentes.
- Higiene de los secretos: eliminar las credenciales con privilegios de los scripts y las configuraciones, y centralizarlas en almacenes cifrados con rotación automática.
- Supervisión y detección: analizar de forma continua el uso de las identidades de las máquinas, detectar desviaciones respecto al comportamiento esperado y activar respuestas automatizadas.
Un reto estratégico para las organizaciones
El auge de la IA, la RPA y el modelo multicloud no hará más que acelerar la proliferación de identidades no humanas en los sistemas de información. Las organizaciones que tarden en integrar estas identidades en sus políticas de gobernanza de IAM corren el riesgo de basar su ciberseguridad en unos cimientos incompletos, plagados de cuentas críticas que escapan al radar. Por el contrario, aquellas que estructuran desde ahora una gobernanza sólida de las identidades no humanas —combinando visibilidad, responsabilidad, PAM, Zero Trust y automatización— transforman un riesgo latente en una palanca de resiliencia y cumplimiento normativo.
