La proliferación de identidades no humanas en entornos cloud y sistemas automatizados se ha convertido en uno de los principales puntos ciegos de la ciberseguridad empresarial, según señala Commvault (NASDAQ: CVLT). Estas identidades —que incluyen aplicaciones, servicios, APIs, contenedores y cargas de trabajo automatizadas— ya superan en número a las identidades humanas en la mayoría de las organizaciones y crecen a un ritmo impulsado por la adopción de inteligencia artificial y automatización.
“A diferencia de los usuarios tradicionales, las identidades no humanas operan de forma continua, se crean de manera dinámica y suelen integrarse profundamente en arquitecturas distribuidas, lo que dificulta su seguimiento, control y retirada. En muchos casos, estas identidades mantienen permisos persistentes y excesivos que no se revisan con la misma disciplina aplicada a los accesos de usuarios”, afirma David Sanz, Senior Director Sales Engineering Europe South and Latin America de Commvault.
Sanz describe una brecha de gobernanza en la que los modelos tradicionales de gestión de identidades no han evolucionado al mismo ritmo que la expansión de los sistemas automatizados. “Mientras que la gestión de identidades humanas se basa en procesos estructurados de solicitud, aprobación y revisión periódica de accesos, las identidades no humanas suelen crearse de forma rápida para soportar necesidades de desarrollo, integración o automatización, sin ciclos de vida claramente definidos ni mecanismos de auditoría consistentes”, agrega.
El resultado es una acumulación progresiva de lo que algunos analistas denominan “deuda de identidad”: credenciales persistentes, permisos excesivos y falta de visibilidad sobre cómo, cuándo y por qué se utilizan estas identidades dentro de los sistemas corporativos.
Uno de los principales retos identificados es la falta de visibilidad unificada. Muchas organizaciones no disponen de un inventario completo de identidades no humanas ni de un entendimiento claro de sus relaciones, dependencias o niveles de privilegio. Esta situación dificulta la aplicación de políticas de seguridad y aumenta el riesgo de accesos no autorizados o movimientos laterales en caso de compromiso. Las herramientas tradicionales de IAM (Identity and Access Management), diseñadas principalmente para usuarios humanos, no están preparadas para gestionar entornos donde las identidades son efímeras, automatizadas e interconectadas.
Según Sanz, “se está produciendo un cambio de enfoque en la industria hacia modelos de seguridad basados en visibilidad continua, control del ciclo de vida de las identidades y principios de zero trust aplicados también a entidades no humanas. Este enfoque busca garantizar que cada identidad —humana o máquina— esté sujeta a los mismos principios de autenticación, autorización y trazabilidad”. Añade que es necesario vincular las identidades no humanas a responsables humanos concretos para mejorar la auditabilidad y la rendición de cuentas.
La tendencia hacia arquitecturas cloud-native, el crecimiento de microservicios y la adopción de IA generativa están acelerando esta problemática, según la compañía.
📬 Newsletter gratuito
Lo más relevante de tecnología y negocios digitales en español — cada día, en cinco minutos.
