Identidades no humanas: el agujero silencioso de la seguridad moderna

El cambio que casi nadie está midiendo

Las identidades humanas tienen fricción natural:

• se incorporan por un proceso
• piden permisos
• rotan o caducan credenciales
• se van de la empresa
• generan trazabilidad “administrable”

Las no humanas no.

Suelen tener tres características que las hacen especialmente peligrosas:

1) Persisten

No se van. No “terminan contrato”. Si algo las creó, se quedan hasta que alguien las encuentre.

2) Escalan permisos por inercia

Nacen para resolver una necesidad concreta y, con el tiempo, acumulan permisos porque “si se rompe, impacta”.

3) No tienen ownership claro

No pertenecen a un equipo. Pertenecen a un flujo, a una integración, a un “esto lo montó alguien hace tiempo”.

La combinación es explosiva: permisos persistentes + poca visibilidad + nadie responsable.

Por qué el modelo clásico de IAM no basta

Muchas organizaciones intentan resolverlo “metiendo esto en IAM”.

Pero aquí el problema no es solo control. Es gobernanza.

La pregunta útil no es “¿tienen MFA?”

La pregunta útil es:

¿Quién es dueño de cada identidad técnica y cuál es su intención?

Porque estas identidades aparecen por decisiones legítimas:

• un equipo integra el CRM con el soporte
• se crea un token “temporal” para un proveedor
• un pipeline necesita permisos para mover datos
• un script automatiza un proceso porque no hay tiempo
• un servicio cloud genera roles por defecto

Casi nunca hay mala fe.

Lo que hay es una empresa que se automatiza más rápido de lo que puede gobernarse.

Y cuando eso pasa, la seguridad se convierte en una disciplina de “descubrir lo que ya existe”.

Cómo falla esto en una empresa real (sin épica)

Este riesgo no suele explotar como un ataque sofisticado.

Suele explotar como fallo operacional:

• un token se filtra en un repositorio o en una herramienta externa
• una cuenta de servicio queda viva aunque el proyecto murió
• una integración SaaS cambia y empieza a acceder a más de lo previsto
• un proveedor mantiene un acceso “por si acaso”
• una automatización tiene permisos de escritura cuando solo necesitaba lectura

Y lo peor llega después: la investigación.

Cuando no sabes cuántas identidades no humanas existen, tampoco sabes:

• qué datos pueden tocar
• qué sistemas pueden modificar
• qué dependencias críticas sostienen
• qué pasa si las desactivas

Resultado típico: miedo a tocar nada.

Porque “si cortamos esto, se rompe producción”.

Ese miedo es una señal de deuda: dependencia crítica sin control.

Qué significa gobernarlas bien (sin burocracia)

Tratar estas identidades como “usuarios especiales” suele fallar.

Funcionan mejor si las gestionas como activos operativos con cuatro mínimos.

1) Inventario vivo (no foto)

Un inventario útil no es una lista.

Es una respuesta rápida a:

• qué la creó
• dónde vive
• qué permisos tiene
• qué sistemas toca
• qué dependencia sostiene

Si no puedes responder eso en 30 segundos, no es inventario: es un archivo.

2) Ownership explícito

Cada identidad técnica necesita dos dueños, aunque sea de forma ligera:

• dueño de negocio: por qué existe y qué operación protege
• dueño técnico: dónde está y cómo se rota/monitoriza

Si no hay dueño, el riesgo crece por defecto.

3) Caducidad y rotación por diseño

La pregunta no es si “sería ideal” rotar.

La pregunta es si puede rotar sin romper nada.

Si no puede, significa que tienes un punto crítico no documentado.

Eso no es un problema de seguridad: es un problema de operación.

4) Privilegio por intención, no por urgencia

En identidades no humanas, el sobre-permiso es lo normal.

La corrección no es “recortar permisos” a ciegas.

Es rediseñar el acceso según intención:

• qué hace exactamente
• dónde lo hace
• con qué límites
• con qué evidencias

El punto incómodo: esto no es un tema técnico, es de organización

Si duplicas automatizaciones, integraciones y agentes, pero tu gobernanza sigue basada en “usuarios y roles humanos”, no estás creciendo: estás acumulando deuda operativa.

Y esa deuda se paga de forma predecible:

incidentes difíciles de reconstruir, cambios que nadie se atreve a hacer, y paradas evitables.

La madurez no es tener más controles.

Es poder contestar con claridad:

qué identidades no humanas existen, por qué existen, y qué pasa si desaparecen.