¿Qué es la identidad no humana?

Las identidades no humanas son piedras angulares de la automatización. Permiten que el software, el hardware y otros recursos se conecten, comuniquen y lleven a cabo tareas sin requerir supervisión humana.

Considere un servicio de copia de seguridad automatizado que copie automáticamente los datos confidenciales de una empresa en un sistema seguro de almacenamiento en la nube todas las noches. Ni la base de datos ni el sistema de almacenamiento en la nube otorgarían acceso a un humano aleatorio sin credenciales válidas. Lo mismo ocurre con el software. Así que al servicio de copia de seguridad se le asigna una identidad. Esta identidad significa que el servicio de copia de seguridad puede autenticarse a sí mismo en la base de datos y el sistema de almacenamiento de información, que a su vez puede confiar en que este servicio está autorizado para hacer lo que está haciendo.

El número de NHI en sistemas empresariales creció a lo largo de los años, impulsado en gran medida por el auge de los servicios en la nube, la inteligencia artificial y el machine learning. Las estimaciones varían (de 45:1 a 92:1), pero en el sistema informático promedio, los no humanos superan ampliamente en número a los humanos

Esta explosión de NHI trae consigo nuevos retos de seguridad. Según el IBM X-Force Threat Intelligence Index, los ataques basados en la identidad, en los que los hackers abusan de credenciales de cuentas válidas para obtener acceso a las redes, son uno de los métodos de ciberataque más comunes y representan el 30 % de las filtraciones.

Y las identidades no humanas son piezas particularmente atractivas de la superficie de ataque empresarial, ya que a menudo tienen permisos elevados y menos controles de seguridad que las cuentas humanas.

El campo de la gestión de identidades no humanas surgió para ayudar a combatir los riesgos de seguridad únicos que plantean las identidades no humanas y mejorar la postura de seguridad. 

Las NHI existen principalmente para optimizar los flujos de trabajo al permitir una mayor automatización.

Las NHI identifican aplicaciones, hardware, bots, agentes de IA y otras cosas dentro de un ecosistema de TI, de la misma manera que los usuarios humanos tienen identidades en un sistema tradicional de gestión de identidad y acceso (IAM).

Al asignar identidades únicas a entidades no humanas, los profesionales de TI y de seguridad pueden otorgarles privilegios personalizados, hacer cumplir políticas de seguridad, rastrear su actividad y aplicar controles de acceso de manera más efectiva.

• Si una entidad no humana no tiene una identidad distinta, no hay nada a lo que asignar privilegios.
  
  
• Una aplicación o dispositivo no puede autenticarse a menos que tenga una identidad contra la cual autenticarse.
  
  
• No se puede rastrear una actividad sin una identidad a la que se le pueda atribuir dicha actividad.
  
  
• Los controles de acceso solo se pueden hacer cumplir si existe una identidad sobre la cual aplicarlos.

Como ejemplo de caso de uso, considere un sistema de facturación que utiliza datos de una plataforma de contabilidad y un sistema de gestión de relaciones con los clientes (CRM) para generar y enviar facturas.

Para llevar a cabo este proceso manualmente, alguien tendría que entrar en cada base de datos, extraer los datos relevantes, correlacionarlos, calcular y generar la factura y enviarla al cliente.

El proceso puede automatizarse, pero debido a que involucra datos confidenciales, requiere sólidas medidas de seguridad. Las NHI permiten la comunicación segura entre los tres sistemas y la aplicación de políticas de acceso para que los datos no se utilicen indebidamente:

• Las NHI brindan a los tres sistemas una forma de autenticarse entre sí, mitigando el riesgo de que los sistemas impostores se infiltren.
  
  
• Las NHI permiten a la organización asignar al sistema de facturación los privilegios mínimos que necesita para hacer su trabajo. Quizás el sistema de facturación solo pueda leer datos, no escribirlos, y solo pueda acceder a las herramientas de contabilidad y CRM durante ciertas horas del día.
  
  
• Las NHI facilitan a la organización el monitoreo del comportamiento de los tres sistemas a lo largo del proceso, creando una pista de auditoría.

En última instancia, las NHI permiten la automatización segura de operaciones complejas de TI y negocio. Las copias de seguridad, las actualizaciones del sistema e incluso la autenticación de usuarios se pueden realizar en segundo plano, sin interrumpir la actividad de los usuarios humanos.

El rápido crecimiento de las identidades no humanas está impulsado, en gran medida, por la proliferación de la infraestructura en la nube, la popularidad de DevOps y la adopción de herramientas avanzadas de IA.

Con el nacimiento de la nube, más herramientas operan en un modelo de software como servicio (SaaS). En lugar de ejecutar aplicaciones locales en hardware local, las computadoras ahora interactúan con varios servidores, proveedores de servicios, balanceadores de carga, aplicaciones y otros recursos de la nube, todos los cuales llevan sus propias identidades. Y muchas aplicaciones SaaS utilizan una arquitectura de microservicios, lo que significa que una sola aplicación podría contener muchos componentes más pequeños con identidades únicas.

Las prácticas de DevOps son otro impulsor de las NHI. DevOps pone un mayor énfasis en automatizar el desarrollo de software central y los flujos de trabajo de operaciones, como la integración, las pruebas y el despliegue en el pipeline de CI/CD. Toda esta automatización requiere muchas NHI.

Más recientemente, la IA generativa y la IA agéntica impulsaron una nueva oleada de NHI. Para que cosas como la generación aumentada por recuperación (RAG, por sus siglas en inglés) y la llamada a herramientas sean posibles, los sistemas de IA necesitan identidades para que puedan acceder de manera segura a bases de datos, cuentas de usuario, dispositivos y otros recursos.

En conjunto, las NHI representan una superficie de ataque masiva. Sin embargo, muchas soluciones y procesos existentes de gestión de identidad y acceso (IAM) se diseñaron para usuarios humanos, lo que creó brechas de seguridad para las NHI.

Las herramientas comunes de autenticación, como la autenticación multifactor (MFA) y las soluciones de inicio de sesión único, son difíciles o imposibles de aplicar a identidades no humanas.

Por lo tanto, las NHIS a menudo plantean desafíos de ciberseguridad que las tácticas tradicionales de IAM no pueden corregir fácilmente.

Según OWASP, el exceso de privilegios es uno de los 10 principales riesgos asociados con las identidades no humanas.

Debido a que son parte integral de los flujos de trabajo centrales, como el ciclo de vida de DevOps y las copias de seguridad del sistema, las NHI a menudo tienen acceso privilegiado a información confidencial. Y con el objetivo de garantizar que estos procesos “simplemente funcionen”, las organizaciones a menudo otorgan a las NHI privilegios mayores de los que necesitan.

El exceso de privilegios convierte a las NHI en un objetivo principal para los hackers y aumenta el daño que puede causar una NHI comprometida. 

Es posible que las aplicaciones y los dispositivos no tengan contraseñas, pero utilizan claves API, tokens de OAuth, certificados y otros secretos para autenticarse. Estos secretos pueden ser robados y utilizados indebidamente de la misma manera que las contraseñas de los usuarios humanos, lo que permite el acceso no autorizado, el movimiento lateral y la escalada de privilegios.

No ayuda que las NHI no puedan usar la autenticación de dos factores de la misma manera que un usuario, por lo que una credencial robada suele ser todo lo que se necesita para secuestrar una cuenta. Además, las credenciales de NHI a menudo están codificadas en aplicaciones y es posible que no se renueven regularmente. Según el NHI Top 10 de OWASP, la filtración de secretos y los secretos de larga duración se encuentran entre los riesgos más comunes asociados con las identidades no humanas. 

Varios sistemas utilizan NHI para conectarse y comunicarse entre sí. Eso significa que los atacantes pueden usar NHI comprometidas para entrar en otros sistemas. Por ejemplo, la violación de Salesloft Drift en 2025 implicó a hackers que robaron tokens de OAuth de un chatbot y los usaron para acceder a cientos de instancias de Salesforce.

La gran cantidad de NHI en un sistema y el ritmo al que se agregan nuevas pueden dificultar la visibilidad, creando puntos ciegos que los hackers pueden aprovechar. El hecho de que algunas NHI sean efímeras complica aún más la visibilidad.

Muchas organizaciones también se olvidan de desmantelar formalmente las NHI al retirar aplicaciones y dispositivos asociados. Estas NHI antiguas a menudo no están monitoreadas, y sus permisos completos están intactos. De hecho, la desvinculación inadecuada es el riesgo número uno asociado con las NHI según OWASP.

Las identidades de IA pueden plantear un desafío especial cuando se trata de gestionar privilegios. En muchos sentidos, cuentan con las capacidades de los empleados humanos y acceso a una variedad de herramientas, algunos de las cuales pueden usar de forma autónoma.

Pero no son humanas, lo que significa que son vulnerables a la inyección de instrucciones, el envenenamiento de datos y otras técnicas que pueden convertirlas en instrumentos para actores maliciosos.

Los agentes de IA y los modelos de lenguaje grandes (LLM) también pueden cambiar sus comportamientos de maneras que otro software no puede, lo que conlleva sus propios problemas de seguridad. Por ejemplo, un agente de atención al cliente al cual se le instruyó maximizar la felicidad de los clientes podría aprender que los clientes son muy felices cuando reciben reembolsos. Por lo tanto, el agente podría comenzar a aprobar reembolsos para cualquier persona que lo solicite, incluso si no debería.

En una entrevista con el podcast Security Intelligence de IBM, Sridhar Muppidi, IBM Fellow, vicepresidente y director de tecnología de IBM Security, comparó a un agente de IA con un “adolescente con una tarjeta de crédito”:

“Les damos la tarjeta de crédito y esperamos que se comporten correctamente, pero no nos sorprende lo que descubrimos. Los agentes son muy similares a eso. Son no deterministas hasta cierto punto y están evolucionando. Como resultado, podrían sufrir una expansión del alcance. Le pedí al sistema que haga algo, pero puede hacer otra cosa fácilmente si así lo decide”.

El Reglamento General de Protección de Datos (RGPD), la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y otras leyes regulan cómo las organizaciones protegen los datos, quién puede usar la información confidencial y cómo. El problema es que, como se mencionó anteriormente, las mismas herramientas de IAM utilizadas para ayudar a garantizar que los humanos cumplan con estas reglas no siempre se pueden aplicar sin problemas a las NHI.

Además, las NHI pueden complicar los esfuerzos de atribución y monitoreo que son vitales para muchos programas de cumplimiento. Por ejemplo, si un agente de IA utiliza datos de forma indebida, ¿quién es el responsable? ¿La persona que creó el agente? ¿La persona que le dio instrucciones más recientemente? ¿Qué sucede si la elección del agente se aleja de los resultados previsibles de la instrucción del usuario? Muchos marcos de gobernanza de identidad aún no se han puesto al día con este enigma.

Debido a que las plataformas y prácticas tradicionales de seguridad de identidad a menudo se diseñan pensando en los usuarios humanos, la gestión de NHI requiere que los equipos de seguridad adopten un enfoque ligeramente diferente.

Se aplican muchos de los mismos principios: solo deben adaptarse a las realidades únicas de la gestión del ciclo de vida de la identidad no humana. Las tácticas, herramientas y técnicas clave para las estrategias de seguridad de identidad no humana incluyen:

Las organizaciones pueden desplegar herramientas que descubran automáticamente identidades no humanas nuevas y existentes en plataformas en la nube, proveedores de identidades y sistemas de orquestación, y luego observar continuamente cómo se comportan esas identidades.

Algunas herramientas de detección y respuesta a amenazas de identidad (ITDR) pueden utilizar machine learning para crear un modelo de referencia de comportamiento normal para cada NHI, marcar desviaciones de la norma en tiempo real y responder automáticamente a sospechas de usos indebidos y abusos.

Por ejemplo, si una carga de trabajo en la nube que normalmente lee los registros de aplicaciones de repente comienza a solicitar acceso a la PII del cliente, una plataforma ITDR puede revocar inmediatamente su token de acceso y alertar al SOC para que lo investigue.

La gestión de NHI enfatiza controles sólidos a lo largo de todo el ciclo de vida de las NHI, desde el aprovisionamiento inicial, pasando por el uso activo, hasta la desconexión segura. Cuando se da de baja un servicio, se reemplaza un pipeline o un bot ya no está en uso, sus credenciales, tokens y certificados deben ser revocados inmediatamente.

Designar un propietario humano para cada NHI puede ayudar a garantizar que alguien sea responsable de la rotación de credenciales, revisar regularmente los permisos, abordar las configuraciones erróneas, la corrección de vulnerabilidades y otros mantenimientos críticos. Sin una propiedad explícita, las identidades no humanas se olvidan fácilmente, pero a menudo conservan un acceso poderoso.

Las NHI necesitan credenciales, pero esas credenciales deben estar almacenadas en algún sitio. A diferencia de un usuario humano, una carga de trabajo no puede memorizar una contraseña ni usar un teléfono inteligente como clave de acceso.

El problema es que las credenciales de NHI a menudo están codificadas en las aplicaciones y servicios que las usan, lo que significa que los hackers pueden encontrarlas si saben dónde buscar.

Las herramientas de gestión de secretos y de gestión de acceso privilegiado (PAM) , como las bóvedas de credenciales, pueden ser útiles. Las bóvedas brindan a los equipos de TI y seguridad un lugar seguro para almacenar las credenciales de NHI y, a menudo, admiten credenciales efímeras, acceso justo a tiempo y rotación automatizada.

La gestión de acceso siempre es importante en la seguridad de la identidad, pero especialmente para las NHI, que carecen de los filtros discrecionales que podrían evitar que un usuario humano haga un mal uso de sus permisos. Por lo tanto, cada acción que realiza un servicio, carga de trabajo, bot o agente debe estar limitada por controles técnicos explícitos.

En un modelo de confianza cero, a las NHI solo se les conceden los permisos mínimos necesarios para cada tarea. Deben autenticarse continuamente a medida que se mueven entre sistemas. La microsegmentación de la red puede ayudar a evitar que las aplicaciones, bots y dispositivos comprometidos se muevan lateralmente. Una NHI secuestrada podría acceder a la única base de datos que necesita legítimamente, pero no podrá moverse a sistemas de almacenamiento no relacionados. 

La separación de funciones, es decir, garantizar que la parte que realiza una tarea no sea la misma parte responsable de aprobarla, es especialmente importante para los agentes de IA. Los agentes de IA no tienen las mismas restricciones éticas que los humanos, lo que significa que pueden realizar acciones perfectamente autorizadas que aún causan daño.

Por ejemplo, recuerde el hipotético agente de atención al cliente de IA que está optimizado para maximizar la satisfacción del cliente. A los clientes humanos les gusta recibir reembolsos, por lo que el agente de IA podría aprobar indiscriminadamente cada solicitud de reembolso en pos de su objetivo.

Esta situación se puede evitar haciendo que un humano, o algún otro sistema, deba aprobar los reembolsos antes de que el agente pueda otorgarlos. 

Las NHI y los usuarios humanos son diferentes en aspectos obvios e importantes. Sin embargo, sus características y capacidades son cada vez más similares, ya que las herramientas y los agentes de IA ocupan una parte cada vez mayor de la red empresarial.

Como resultado, algunos expertos predicen que las distinciones entre la gestión de identidad humana y no humana desaparecerán en su mayoría. En lugar de utilizar controles separados para cada tipo de identidad, la principal diferencia entre la gestión de la identidad humana y la no humana podría ser la escala a la que se aplican esos controles.

“Al final del día, los agentes son el siguiente nivel de usuarios internos”, dijo Sridhar Muppidi en el podcast de Security Intelligence de IBM:

“Al igual que identificaríamos a un ser humano, debemos identificar a un agente. Y una vez que los identificamos, tenemos que hacer lo mismo que hacemos con los humanos: autenticarlos. Y luego descubrimos cómo medir lo que ese agente puede hacer, tanto lo bueno como lo malo. Y mientras hacemos eso, es cuando podemos pensar en un nivel muy fino de detalle de la observabilidad para que pueda detectar comportamientos anómalos rápidamente”.