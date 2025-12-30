¿Qué es la identidad no humana?

By Matthew Kosinski

Definición de identidad no humana

En un entorno de TI, una identidad no humana (NHI) es una identidad digital vinculada a un bot, un agente de IA, una aplicación, un servicio, una carga de trabajo, un dispositivo u otro usuario no humano.

Las identidades no humanas son la piedra angular de la automatización. Permiten que software, hardware y otros recursos se conecten, comuniquen y realicen tareas sin necesidad de supervisión humana.

Considere un servicio automatizado de copias de seguridad que copie automáticamente cada noche los datos confidenciales de una empresa a un sistema seguro de almacenamiento en la nube. Ni la base de datos ni el sistema de almacenamiento en la nube concederían acceso a una persona cualquiera sin credenciales válidas. Lo mismo ocurre con el software. Así, el servicio de copia de seguridad recibe una identidad. Esta identidad significa que el servicio de copia de seguridad puede autenticarse a sí mismo en la base de datos y el sistema de almacenamiento, que a su vez puede confiar en que este servicio está autorizado para hacer lo que está haciendo.

La cantidad de NHI en los sistemas empresariales ha crecido a lo largo de los años, impulsada en gran medida por el auge de servicio en la nube, la inteligencia artificial y machine learning. Las estimaciones varían, de 45:1 a 92:1, pero en el sistema de TI promedio, los no humanos superan ampliamente en número a los humanos

Esta explosión de NHI plantea nuevos retos de seguridad. Según el IBM® X-Force Threat Intelligence Index, los ataques basados en identidad, donde los hackers abusan de credenciales para obtener acceso a las redes, son uno de los métodos de ciberataque más comunes y representan el 30 % de las infracciones.

Y las identidades no humanas son piezas particularmente atractivas de la superficie de ataque empresarial, ya que a menudo tienen permisos elevados y menos controles de seguridad que las cuentas humanas.

El campo de la gestión de identidades no humanas ha surgido para ayudar a combatir los riesgos de seguridad únicos que representan las identidades no humanas y mejorar la posición de seguridad

Boletín de Think

¿Su equipo detectaría a tiempo el próximo día cero?

Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprenda rápidamente de tutoriales de expertos y artículos explicativos, directamente en su bandeja de entrada. Consulte la Declaración de privacidad de IBM.

Su suscripción se enviará en inglés. Encontrará un enlace para darse de baja en cada boletín. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

https://www.ibm.com/es-es/privacy

Tipos de identidades no humanas

Identidades de máquinas

Una identidad de máquina es la identidad asociada a un dispositivo, como un servidor, un ordenador portátil, un dispositivo de Internet de las cosas (IoT) o un dispositivo de tecnología operativa (TO). En entornos de nube, la categoría también puede incluir máquinas virtuales. El término se utiliza a veces como un término general que designa cualquier NHI, aunque este uso es técnicamente incorrecto.
Cuentas de servicio

A veces denominadas identidades de servicio, las cuentas de servicio son las identidades asociadas a aplicaciones y servicios de software. Funcionan de manera muy similar a las cuentas de los usuarios humanos. Representan los rasgos de identificación de un software y los permisos del sistema, y se utilizan para autenticar el software y autorizar su actividad. 
Identidades de carga de trabajo

Las identidades de carga de trabajo son un tipo de identidad de software, relacionada con las cuentas de servicio. Mientras que las cuentas de servicio identifican las aplicaciones y los servicios como entidades persistentes, las identidades de carga de trabajo identifican instancias específicas de aplicaciones y servicios mientras se ejecutan.

Por ejemplo, una herramienta de inteligencia empresarial (BI) puede tener una identidad de cuenta de servicio persistente. Si alguien utiliza la herramienta de BI para obtener datos de un almacén de datos para ejecutar un informe, esa actividad (ejecutar un informe) tendrá una identidad de carga de trabajo distinta. Esta identidad de carga de trabajo es solo temporal y dejará de existir cuando la actividad termine.  
Identidades de bots y scripts 

Esta categoría engloba las identidades asociadas a bot y scripts simples que ejecutan procesos automatizados. Algunos ejemplos son la automatización robótica de procesos (RPA), los cron jobs y los scripts de extracción, transformación y carga (ETL).
Identidades de agentes e IA

Esta categoría contiene identidades asociadas a sistemas más sofisticados impulsados por IA, especialmente agentes de IA que pueden realizar tareas complejas diseñando flujos de trabajo y llamando a herramientas.

Mientras que muchas aplicaciones tradicionales de IA basadas en reglas utilizan identidades estándar de servicio o carga de trabajo, los agentes y otras entidades avanzadas de IA suelen requerir un enfoque diferente. Dado que pueden tomar decisiones, actuar por sí mismos e incluso cambiar su comportamiento con el tiempo, necesitan políticas de acceso, controles y supervisión más matizados. 

Por qué importan las NHI

Las NHI existen principalmente para agilizar los flujos de trabajo al permitir una mayor automatización.

Las NHI identifican aplicaciones, hardware, bots, agentes de IA y otras cosas dentro de un ecosistema de TI, de la misma manera que los usuarios humanos tienen identidades en un sistema tradicional de gestión de identidades y accesos (IAM).

Al asignar identidades únicas a entidades no humanas, los profesionales de TI y seguridad pueden otorgarles privilegios personalizados, aplicar políticas de seguridad, rastrear su actividad y aplicar controles de acceso de manera más efectiva.

  • Si una entidad no humana no tiene una identidad propia, no hay nada a lo que asignar privilegios.

  • Una aplicación o un dispositivo no pueden autenticarse a menos que dispongan de una identidad con la que autenticarse.

  • No se puede rastrear la actividad sin una identidad a la que se pueda atribuir esa actividad.

  • Los controles de acceso sólo pueden aplicarse si existe una identidad sobre la que aplicarlos.

Como caso de uso, considere un sistema de facturación que utiliza datos de una plataforma de contabilidad y de un sistema de gestión de la relación con el cliente (CRM) para generar y enviar facturas.

Para llevar a cabo este proceso manualmente, alguien tendría que entrar en cada base de datos, extraer los datos relevantes, correlacionarlos, calcular la factura, generar la factura y enviarla al cliente.

El proceso puede automatizarse, pero como implica datos sensibles, requiere fuertes medidas de seguridad. Las NHI permiten una comunicación segura entre los tres sistemas y la aplicación de políticas de acceso para que los datos no se utilicen indebidamente:

  • Las NHI proporcionan a los tres sistemas una forma de autenticarse entre sí, mitigando el riesgo de que los sistemas impostores entren en la mezcla.

  • Las NHI permiten a la organización asignar al sistema de facturación los privilegios mínimos que necesita para hacer su trabajo. Quizás el sistema de facturación solo pueda leer datos, no escribirlos, y pueda acceder a las herramientas de contabilidad y CRM solo durante ciertos momentos del día.

  • Las NHI facilitan a la organización la monitorización del comportamiento de los tres sistemas a lo largo del proceso, creando un registro de auditoría.

En última instancia, las NHI permiten la automatización segura de operaciones empresariales y de TI complejas. Las copias de seguridad, las actualizaciones del sistema e incluso la autenticación de los usuarios pueden realizarse en segundo plano, sin interrumpir la actividad de los usuarios humanos.

Por qué las NHI superan en número a las personas en la mayoría de los sistemas de TI

El rápido crecimiento de las identidades no humanas se debe, en gran medida, a la proliferación de la infraestructura en la nube, la popularidad de DevOps y la adopción de herramientas avanzadas de IA.

Con el nacimiento de la nube, cada vez más herramientas funcionan con un modelo de software como servicio (SaaS). En lugar de ejecutar aplicaciones locales en hardware local, los ordenadores interactúan ahora con varios servidores, proveedores de servicios, equilibradores de carga, aplicaciones y otros recursos en la nube, todos ellos con sus propias identidades. Y muchas aplicaciones SaaS utilizan una arquitectura de microservicios, lo que significa que una sola aplicación puede contener muchos componentes más pequeños con identidades únicas.

Las prácticas de DevOps son otro controlador de las NHI. DevOps pone un mayor énfasis en la automatización de los flujos de trabajo de desarrollo y operaciones de software central, como la integración, las pruebas y la implementación en el pipeline de CI/CD. Toda esta automatización requiere muchos NHI.

Más recientemente, la IA generativa y la IA agéntica han impulsado una nueva ola de NHI. Para que cosas como la generación aumentada por recuperación (RAG) y la llamada a herramientas sean posibles, los sistemas de IA necesitan identidades para poder acceder de forma segura a bases de datos, cuentas de usuario, dispositivos y otros recursos de red.

Los desafíos de proteger las identidades no humanas

En conjunto, las NHI representan una superficie de ataque masiva. Sin embargo, muchas soluciones y procesos heredados de gestión de identidades y accesos (IAM) se diseñaron para usuarios humanos, lo que creó brechas de seguridad para las NHI.

Las herramientas de autenticación comunes, como la autenticación multifactor (MFA) y las soluciones de inicio de sesión único, son difíciles o imposibles de aplicar a identidades no humanas.

Por lo tanto, las NHI a menudo plantean desafíos de ciberseguridad que las tácticas IAM tradicionales no pueden corregir fácilmente.

Privilegios excesivos

Según OWASP, el exceso de privilegios es uno de los diez principales riesgos asociados con las identidades no humanas.

Dado que son una parte integral de los flujos de trabajo principales, como el ciclo de vida de DevOps y las copias de seguridad del sistema, las NHI suelen tener acceso privilegiado a información confidencial. Y con el objetivo de garantizar que estos procesos “simplemente funcionen”, las organizaciones a menudo otorgan a las NHI privilegios mayores de los que necesitan.

El exceso de privilegios convierte a las NHI en un objetivo prioritario para los hackers y aumenta el daño que puede causar una NHI comprometida. 

Robo de credenciales

Es posible que las aplicaciones y los dispositivos no tengan contraseñas, pero utilizan claves API, tokens OAuth, certificados y otros secretos para autenticarse. Estos secretos se pueden robar y utilizar indebidamente de la misma manera que las contraseñas de los usuarios humanos, lo que permite el acceso no autorizado, el movimiento lateral y la escalada de privilegios.

No ayuda que las NHI no puedan utilizar la autenticación de dos factores de la misma manera que un usuario, por lo que el robo de una credencial suele ser suficiente para secuestrar una cuenta. Además, las credenciales NHI suelen estar codificadas en las aplicaciones y es posible que no se roten con regularidad. Según el Top 10 NHI de OWASP, la filtración de secretos y los secretos de larga duración se encuentran entre los riesgos más comunes asociados con las identidades no humanas. 

Ataques a la cadena de suministro

Varios sistemas utilizan NHI para conectarse y comunicarse entre sí. Eso significa que los atacantes pueden usar NHI comprometidas para acceder a otros sistemas. Por ejemplo, la brecha de Salesloft Drift en 2025 involucró a hackers que robaron tokens OAuth de un chatbot y los usaron para acceder a cientos de instancias de Salesforce.

Falta de visibilidad

La gran cantidad de NHI en un sistema, y el ritmo al que se añaden nuevos, puede dificultar la visibilidad, creando puntos ciegos por los que los hackers pueden colarse. El hecho de que algunas NHI sean efímeras complica aún más la visibilidad.

Muchas organizaciones también se olvidan de dar de baja formalmente las NHI cuando retiran las aplicaciones y los dispositivos asociados. Estas viejas NHI no suelen estar supervisadas, con todos sus permisos intactos. De hecho, la desvinculación inadecuada es el principal riesgo asociado a las NHI según OWASP.

Administración de acceso de IA

Las identidades de la IA pueden suponer un desafío especial a la hora de gestionar los privilegios. Tienen, en muchos sentidos, las capacidades de los empleados humanos y acceso a una serie de herramientas, que algunos pueden utilizar de forma autónoma.

Pero no son humanos, lo que significa que son vulnerables a inyecciones de intrucciones, envenenamiento de datos y otras técnicas que pueden convertirlos en instrumentos para actores maliciosos.

Los agentes de IA y los modelos de lenguaje de gran tamaño (LLM) también pueden cambiar sus comportamientos de formas que otro software no puede, lo que conlleva sus propios problemas de seguridad. Por ejemplo, un agente del servicio de atención al cliente al que se le ha ordenado maximizar la felicidad del cliente podría aprender que los clientes están muy contentos cuando obtienen reembolsos. Por lo tanto, el agente podría comenzar a aprobar reembolsos para cualquiera que lo solicite, incluso si no debería.

En una entrevista con el podcast Security Intelligence de IBM, Sridhar Muppidi, académico de IBM, vicepresidente y CTO de IBM Security, comparó a un agente de IA con un "adolescente con una tarjeta de crédito":

“Les da la tarjeta de crédito y espera que se comporten correctamente, pero no se sorprenda por lo que descubra. Los agentes son muy similares a eso. No son deterministas hasta cierto punto y están evolucionando. Como resultado, podrían sufrir una desviación del alcance. Le he pedido al sistema que haga algo, pero puede hacer fácilmente otra cosa si así lo decide”.

Desafíos de cumplimiento

El Reglamento General de Protección de Datos (RGPD), la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y otras leyes regulan cómo las organizaciones protegen los datos, quiénes pueden utilizar información sensible y cómo. El problema es que, como se ha mencionado antes, las mismas herramientas de IAM utilizadas para ayudar a garantizar que los humanos cumplan con estas reglas no siempre se pueden aplicar sin problemas a las NHI.

Además, las NHI pueden complicar los esfuerzos de atribución y monitorización que son vitales para muchos programas de cumplimiento. Por ejemplo, si un agente de IA utiliza los datos de forma inadecuada, ¿quién es el responsable? ¿La persona que creó el agente? ¿La persona que lo solicitó más recientemente? ¿Qué pasa si la elección del agente se aleja mucho de los resultados previsibles de la instrucción del usuario? Muchos marcos de gobierno de la identidad aún no se han puesto al día con este enigma.

Seguridad de identidad no humana

Dado que las plataformas y prácticas tradicionales de seguridad de identidades suelen diseñarse pensando en los usuarios humanos, la gestión de la NHI requiere que los equipos de seguridad adopten un enfoque ligeramente diferente.

Se aplican muchos de los mismos principios: solo hay que adaptarlos a las realidades únicas de la gestión del ciclo de vida de las identidades no humanas. Las tácticas, herramientas y técnicas clave para las estrategias de seguridad de identidad no humana incluyen:

Monitorización continua

Las organizaciones pueden implementar herramientas que descubren automáticamente identidades no humanas nuevas y existentes en plataformas en la nube, proveedores de identidad y sistemas de orquestación, y luego observar continuamente cómo se comportan esas identidades.

Algunas herramientas de detección y respuesta a amenazas de identidad (ITDR) pueden utilizar el machine learning para crear un modelo de referencia del comportamiento normal de cada NHI, señalar las desviaciones de la norma en tiempo real y responder automáticamente a sospechas de usos indebidos y abusos.

Por ejemplo, si una carga de trabajo en la nube que normalmente lee los registros de las aplicaciones de repente comienza a solicitar acceso a la PII del cliente, una plataforma ITDR puede revocar inmediatamente su token de acceso y alertar al SOC para que lo investigue.

Gestión del ciclo de vida de la NHI

La dirección de la NHI hace hincapié en unos controles sólidos durante todo el ciclo de vida de la NHI, desde el aprovisionamiento inicial, pasando por el uso activo, hasta la baja segura. Cuando se retira un servicio, se reemplaza un pipeline o un bot ya no está en uso, sus credenciales, tokens y certificados deben revocarse inmediatamente.

Designar un propietario humano para cada NHI puede ayudar a garantizar que alguien sea responsable de la rotación de credenciales, la revisión regular de permisos, el abordaje de configuraciones incorrectas, la corrección de vulnerabilidades y otros mantenimientos críticos. Sin una propiedad explícita, las identidades no humanas se olvidan fácilmente, pero a menudo conservan un acceso poderoso.

Gestión de secretos y credenciales

Las NHI necesitan credenciales, pero esas credenciales deben estar almacenadas en algún sitio. A diferencia de un usuario humano, una carga de trabajo no puede memorizar una contraseña ni utilizar un smartphone como clave de acceso.

El problema es que las credenciales NHI suelen estar codificadas en las aplicaciones y servicios que las utilizan, lo que significa que los hackers pueden encontrarlas si saben dónde buscar.

Las herramientas de gestión de secretos y de gestión de acceso privilegiado (PAM), como las bóvedas de credenciales, pueden ayudar. Las bóvedas proporcionan a los equipos de TI y seguridad un lugar seguro para almacenar las credenciales NHI y, a menudo, admiten credenciales efímeras, acceso justo a tiempo y rotación automatizada.

Zero trust

La gestión del acceso siempre es importante en la seguridad de la identidad , pero especialmente para las NHI, que carecen de filtros discrecionales que podrían impedir que un usuario humano haga mal uso de sus permisos. Por lo tanto, cada acción que realiza un servicio, carga de trabajo, bot o agente debe estar limitada por controles técnicos explícitos.

En un modelo zero trust, a las NHI solo se les conceden los permisos mínimos necesarios para cada tarea. Deben autenticarse continuamente a medida que se mueven entre sistemas. La microsegmentación de la red puede ayudar a evitar que las aplicaciones, los bots y los dispositivos comprometidos se muevan lateralmente. Una NHI secuestrada podría acceder a la única base de datos que necesita legítimamente, pero no podrá mover a sistemas de almacenamiento no relacionados. 

Separación de tareas

La separación de funciones, es decir, garantizar que la parte que realiza una tarea no es la misma parte responsable de aprobarla, es especialmente importante para los agentes de IA. Los agentes de IA no tienen las mismas restricciones éticas que los humanos, lo que significa que pueden realizar acciones perfectamente autorizadas que aún así causen daños.

Por ejemplo, recuerde el hipotético agente de servicio de atención al cliente de IA que está optimizado para maximizar la satisfacción del cliente. A los clientes humanos les gusta que les devuelvan el dinero, por lo que el agente de IA podría aprobar indiscriminadamente todas las solicitudes de reembolso en pos de su objetivo.

Esta situación se puede evitar haciendo que un humano, o algún otro sistema, deba aprobar los reembolsos antes de que el agente pueda concederlos. 

Difuminar las líneas entre la identidad humana y la no humana

Las NHI y los usuarios humanos son diferentes en aspectos obvios e importantes. Pero sus características y capacidades son cada vez más similares a medida que las herramientas y los agentes de IA constituyen una parte mayor de la red empresarial.

Como resultado, algunos expertos predicen que las distinciones entre la gestión de la identidad humana y no humana desaparecerán en su mayoría. En lugar de utilizar controles separados para cada tipo de identidad, la principal diferencia entre la gestión de identidades humanas y no humanas podría ser la escala a la que se aplican esos controles.

“Al fin y al cabo, los agentes son su siguiente nivel de usuarios internos”, dijo Sridhar Muppidi en el podcast Security Intelligence de IBM:

"Del mismo modo que identificaría a un ser humano, tiene que identificar a un agente. Y una vez que los identifique, tendrá que hacer lo mismo que hacemos con los humanos: autenticarlos. Y luego descubrirá cómo determinar lo que ese agente puede hacer, tanto lo bueno como lo malo. Y mientras lo hace, es cuando puede pensar en un nivel muy, muy fino de granularidad de observabilidad para poder detectar rápidamente cualquier comportamiento anómalo".

Autor

Matthew Kosinski

Staff Editor

IBM Think
Soluciones relacionadas
IBM Verify

Construya un marco de identidad seguro y independiente del proveedor que modernice IAM, se integre con las herramientas existentes y permita un acceso híbrido fluido sin complicaciones adicionales.

 Explore IBM Verify
Soluciones de seguridad

Proteja sus entornos de nube híbrida e IA con una protección inteligente y automatizada de los datos, la identidad y las amenazas.

 Explore las soluciones de seguridad
Servicios de gestión de identidades y accesos

Proteja y gestione el acceso de los usuarios con controles de identidad automatizados y un gobierno basado en el riesgo en los entornos de nube híbrida.

         Explore los servicios de IAM
    Dé el siguiente paso

    Mejore IAM con Verify para un acceso híbrido fluido y fortalezca la protección de identidad descubriendo riesgos ocultos basados en la identidad con IA.

         Descubra IBM® Verify  Explore la protección de identidad de IBM Verify