Más allá del riesgo humano: por qué las identidades no humanas son la nueva frontera de la seguridad digital
El panorama digital ha experimentado un cambio radical. Mientras que los profesionales de la ciberseguridad se han centrado tradicionalmente en proteger a los usuarios humanos —lo que incluye proteger sus contraseñas, implementar la autenticación multifactorial y supervisar sus patrones de acceso—, ha surgido silenciosamente un nuevo vector de amenazas que se ha convertido en la fuerza dominante en la seguridad empresarial. Según Gartner, las identidades no humanas (NHI) superan a las identidades humanas en una proporción de 45:1, pero siguen siendo en gran medida invisibles para los marcos de seguridad tradicionales, ya que las empresas se centran principalmente en las identidades humanas.
Esta disparidad se hizo evidente cuando los investigadores descubrieron recientemente 12,000 claves API y contraseñas activas incrustadas en el conjunto de datos Common Crawl, un enorme repositorio de datos web utilizado para entrenar grandes modelos de lenguaje (LLM). Estas credenciales expuestas representan algo más que una simple violación de datos; ponen en relieve un punto ciego fundamental en la forma en que las organizaciones abordan la seguridad de la identidad en un mundo cada vez más automatizado.
Las implicaciones van mucho más allá de las preocupaciones tradicionales en materia de ciberseguridad. A medida que los modelos de IA consumen grandes cantidades de datos web durante el entrenamiento, absorben inadvertidamente estas vulnerabilidades de seguridad, creando un bucle de retroalimentación en el que los sistemas de aprendizaje automático se convierten tanto en víctimas como en vectores de la exposición de credenciales. Este fenómeno representa una nueva categoría de riesgo para la seguridad que las defensas tradicionales basadas en el perímetro no están preparadas para afrontar.
Comprender las identidades no humanas: la fuerza de trabajo invisible
Las NHI abarcan cualquier entidad digital que requiera autenticación para acceder a sistemas, servicios o datos sin intervención humana directa. A diferencia de los usuarios humanos que interactúan con las aplicaciones a través de interfaces, las NHI operan entre bastidores, facilitando los procesos automatizados de los que dependen las empresas modernas.
El alcance de las NHI en las organizaciones actuales es asombroso. Las cuentas de servicio autentican el acceso a las bases de datos para las aplicaciones, las claves API permiten la comunicación entre microservicios, los tokens OAuth facilitan las integraciones de terceros y los certificados TLS protegen las comunicaciones entre dispositivos. Las plataformas de orquestación de contenedores como Kubernetes crean y destruyen cuentas de servicio de forma dinámica, mientras que las herramientas de automatización en la nube generan credenciales temporales para las tareas de aprovisionamiento de recursos.
Todas las principales plataformas de infraestructura como servicio (IaaS) e infraestructura en la nube dependen en gran medida del acceso programático a través de entidades de servicio, identidades gestionadas y mecanismos de autenticación basados en roles. Cada aplicación en contenedor, función sin servidor y canalización de implementación automatizada requiere su propio conjunto de credenciales, lo que crea una compleja red de relaciones entre máquinas que las herramientas tradicionales de gobernanza de identidades tienen dificultades para mapear y supervisar.
Expansión de las identidades: la inminente crisis de seguridad
Desde la perspectiva del equipo de seguridad, las NHI representan una tormenta perfecta de lagunas de visibilidad y vectores de ataque. A diferencia de los usuarios humanos, que suelen acceder a los sistemas durante el horario laboral y muestran patrones de comportamiento predecibles, las identidades de máquina funcionan de forma continua, a menudo con privilegios elevados necesarios para sus funciones automatizadas. Esto crea varios retos de seguridad críticos.
Codificación rígida de credenciales y proliferación de secretos
Los desarrolladores, bajo la presión de entregar funciones rápidamente, suelen incrustar claves API y contraseñas directamente en el código fuente, los archivos de configuración o las imágenes de contenedores. Esta práctica, conocida como proliferación de secretos, se ha convertido en algo endémico en el desarrollo de software moderno. El descubrimiento por parte de Common Crawl de 12,000 credenciales expuestas ilustra lo fácil que es que estos secretos codificados de forma rígida se filtren a repositorios públicos, documentación o conjuntos de datos de formación.
El problema se ve agravado por la naturaleza efímera de las prácticas de desarrollo modernas. Las arquitecturas de microservicios requieren numerosos mecanismos de autenticación entre servicios, mientras que la contenedorización y la computación sin servidor crean entornos de ejecución temporales que necesitan acceso inmediato a los recursos. El enfoque tradicional de gestionar los secretos a través de almacenes de contraseñas centralizados se vuelve engorroso cuando se trata de cientos o miles de servicios de corta duración.
Problemas de gestión del ciclo de vida
A diferencia de los empleados humanos, que cuentan con procesos claros de incorporación y salida, las identidades de las máquinas suelen carecer de una gestión adecuada del ciclo de vida. Las cuentas de servicio creadas para proyectos temporales pueden persistir indefinidamente, acumulando permisos y derechos de acceso con el tiempo. Las aplicaciones obsoletas pueden dejar atrás credenciales activas que proporcionan superficies de ataque innecesarias.
La naturaleza dinámica de los entornos en la nube y contenedorizados agrava este problema. Los grupos de autoescalado crean y destruyen instancias automáticamente, cada una de las cuales puede llevar su propio conjunto de credenciales. Sin marcos de gobernanza adecuados, las organizaciones pierden la pista de qué identidades existen, a qué pueden acceder y si siguen siendo necesarias.
Marcos de seguridad de identidad adaptables: el enfoque Goldilocks para proteger las identidades no humanas
Para abordar el reto de la seguridad de las NHI se necesitan marcos integrales que integren controles técnicos, procesos operativos y estructuras de gobernanza diseñadas específicamente para las identidades de las máquinas.
Gobernanza de la identidad para máquinas
Los marcos de gobernanza de las NHI deben abordar todo el ciclo de vida de la identidad, desde la creación y el aprovisionamiento hasta la supervisión y la retirada. Esto requiere mecanismos de detección automatizados que puedan identificar todas las identidades de máquinas en entornos locales y en la nube, independientemente de cómo se hayan creado o dónde operen.
Una gobernanza eficaz incluye revisiones periódicas del acceso, optimización de privilegios e informes de cumplimiento específicamente adaptados a las identidades de máquinas. A diferencia de las revisiones del personal humano, en las que pueden participar los gerentes y los sistemas de recursos humanos, la gobernanza de las NHI requiere partes interesadas técnicas que comprendan las arquitecturas de las aplicaciones y los procesos empresariales.
¿Los resultados?
El panorama de la seguridad ha entrado en una nueva era, definida por el crecimiento exponencial de las identidades de las máquinas. Las organizaciones que siguen centrándose en la seguridad de la identidad humana, ignorando esta población de máquinas en expansión, están dejando al descubierto sus mayores vulnerabilidades. El descubrimiento de miles de credenciales incrustadas en los datos de entrenamiento de la IA pone de relieve lo poco preparadas que están muchas empresas para este cambio. Las identidades no humanas ya no son detalles técnicos secundarios, sino que constituyen la columna vertebral digital de las operaciones modernas y merecen la misma atención estratégica, gobernanza y protección que tradicionalmente se reserva a los usuarios humanos.
En un mundo en el que las identidades de máquinas superan a las humanas en una proporción de 144 a 1, las organizaciones deben evolucionar sus defensas para proteger los sistemas, las aplicaciones y los procesos automatizados que ahora impulsan la empresa.
El momento ideal para actuar habría sido ayer, y el segundo mejor momento para actuar es ahora.
