Tiempo de lectura: 5

La transformación tecnológica, impulsada por la IA y la automatización, aporta velocidad, información y ventaja competitiva. A medida que las plataformas y los ecosistemas digitales se expanden, las identidades no humanas (NHI) ahora superan en número a los usuarios humanos. Estas entidades actúan de forma autónoma y acceden a sistemas críticos a una gran velocidad. Esta evolución creó superficies de ataque invisibles y en rápida expansión, lo que desafía los modelos de seguridad y los marcos de gobernanza convencionales.

Por ello, incorporar la seguridad y la privacidad en cada etapa del ciclo de vida, gobernar proactivamente las identidades de máquina, y aprovechar los estándares y los controles de IA para gestionar riesgos y mantener la confianza se han convertido en imperativos para los profesionales de ciberseguridad.

¿Qué son las identidades no humanas (NHIs) y por qué generan nuevas frustraciones y amenazas?

El panorama de identidades dentro de las organizaciones está evolucionando rápidamente y, junto con la aparición de la IA agéntica, está acelerando la proliferación de identidades no humanas (NHI) a un ritmo sin precedentes. Más allá de los empleados y contratistas, las organizaciones dependen ahora de una capa amplia y en gran medida invisible de NHIs, como claves de API, cuentas de servicio, tokens OAuth (Open Authorization), credenciales de máquina y agentes de IA autónomos, que habilitan sistemas y flujos de trabajo críticos.

Estas identidades operan continuamente en entornos SaaS, nube, on‑premises e integraciones con terceros, a menudo con acceso privilegiado y una supervisión mínima.

La magnitud del problema es significativa: las identidades de máquina ya superan a las identidades humanas por un margen considerable, generando múltiples puntos ciegos y una gran superficie de ataque no gestionada. Esta proliferación provoca un flujo inmanejable de solicitudes de autorización, aumentando los riesgos derivados de aprobaciones reflexivas. A diferencia de los usuarios humanos, las NHIs carecen de intención, contexto y gobernanza de ciclo de vida, lo que las convierte en objetivos ideales para robo de credenciales, movimientos laterales y exfiltración masiva de datos.

¿Por qué es importante actuar ahora?

Las NHIs comprometidas ya aparecen de forma destacada en violaciones de seguridad importantes, desde tokens expuestos y cuentas bot en pipelines de CI/CD, hasta aplicaciones OAuth con permisos excesivos explotadas para acceder a correos electrónicos y datos. Estos problemas se amplifican con los sistemas de IA agéntica, que, a diferencia de la automatización tradicional, actúan de forma autónoma a velocidad de máquina: crean, modifican y utilizan credenciales sin intervención humana.

Estos sistemas pueden generar nuevas identidades, encadenar herramientas a través de distintos dominios de confianza y ejecutar acciones no determinísticas, a menudo requiriendo permisos amplios para cumplir objetivos de negocio.

Esa autonomía introduce nuevos vectores de ataque y desafíos de gobernanza que los marcos tradicionales de IAM (Identity and Access Management), diseñados para usuarios humanos, no están preparados para abordar. También reduce drásticamente las barreras para la intrusión, permitiendo que atacantes orquesten campañas sofisticadas, multilayer, con rapidez y precisión.

A medida que la adopción de IA se acelera, la brecha de supervisión se amplía, por lo que es crítico actuar de forma proactiva.

Las implicaciones trascienden el riesgo técnico. No actuar puede derivar en consecuencias severas para el negocio, pérdida de confianza, sanciones financieras y daños reputacionales que podrían tardar años en repararse. La gestión proactiva de NHIs se ha convertido en un pilar de cumplimiento regulatorio, ya que los directorios y los reguladores exigen cada vez más responsabilidad sobre las interacciones máquina‑a‑máquina y agénticas, requiriendo una supervisión efectiva.

Preguntas clave para los líderes de Ciberseguridad:

Para construir resiliencia frente a este riesgo en evolución, los líderes de ciberseguridad podemos comenzar formulando las preguntas adecuadas.

  1. ¿Tenemos visibilidad de todas las identidades no humanas (NHI) en todos nuestros entornos?
  2. ¿Cómo estamos gobernando a los agentes de IA y su acceso a sistemas sensibles?
  3. ¿Están nuestros marcos de IAM y PAM (Gestión de Accesos Privilegiados) preparados para gestionar identidades de máquina a escala?
  4. ¿Qué controles existen para detectar y remediar comportamientos anómalos de las NHIs?

De cara al futuro: incorporar la gobernanza de NHIs

Para fortalecer los programas de identidad empresarial, las organizaciones pueden incorporar una gobernanza sólida para las NHIs como un elemento fundamental. Establecer un marco de gobernanza que defina estándares claros para la creación, el uso y el retiro de NHIs ayuda a convertir la seguridad de estas identidades en un pilar central de los marcos de identidad, riesgo y cumplimiento.

El descubrimiento de todas las NHIs en los distintos entornos, seguido de una evaluación de riesgos y la aplicación del principio de mínimo privilegio, es crucial para la seguridad de las NHIs. Alinear la gestión de NHIs con otras soluciones de ciberseguridad —como la Gestión de Identidades y Accesos (IAM), la Gestión de Información y Eventos de Seguridad (SIEM), la Orquestación, Automatización y Respuesta de Seguridad (SOAR), y la Detección y Respuesta a Amenazas de Identidad (ITDR)— y centralizar la visibilidad en una única fuente de verdad que abarque identidades, secretos e integraciones, contribuye a eliminar silos entre entornos. Las políticas deben vincularse a resultados medibles, como la reducción de la superficie de ataque, la aceleración de la respuesta a incidentes y la preparación para auditorías.

De cara al futuro, la gobernanza debe anticipar el auge de la IA agéntica mediante la aplicación de controles de políticas y monitoreo continuo para garantizar que los agentes autónomos operen estrictamente dentro de límites definidos. Los mecanismos de protección complementarios para los agentes de IA deben reforzar la gobernanza de las NHIs mediante la aplicación de límites operativos seguros y el enmascaramiento de datos sensibles durante las interacciones con modelos. Al integrar estas medidas, las empresas pueden preparar su estrategia de identidad para el futuro, equilibrando innovación con seguridad y cumplimiento.

Asegurar las identidades no humanas ya no es opcional: ahora es un pilar central de la ciberseguridad empresarial.

Publicaciones relacionadas

3d cube over blue background
Servicios de Ciberseguridad

Necesarios para proteger tu futuro.

Consideraciones en Ciberseguridad 2025
Consideraciones en Ciberseguridad 2025

¿Cuáles son los principios fundamentales?

Podés con IA
Tiempo de lectura: 3

Contactos

Walter Risi publicaciones de blog
Walter Risi
Socio a Cargo de Consulting
Buenos Aires
KPMG Argentina
Perfil |
Nicolás Manavella publicaciones de blog
Nicolás Manavella
Socio Líder de Ciberseguridad
Buenos Aires
KPMG Argentina
Perfil |
Pablo Almada publicaciones de blog
Pablo Almada
Socio de Servicios de Ciberseguridad
Buenos Aires
KPMG Argentina
Perfil |