Security
10 min read
946 views

Quiebra de Identidad de Máquinas: La Crisis de Identidad que Nadie Está Comentando

IT
InstaTunnel Team
Published by our engineering team
Quiebra de Identidad de Máquinas: La Crisis de Identidad que Nadie Está Comentando

En el panorama digital de 2026, una revolución silenciosa ha llegado a su punto de quiebre. Durante décadas, la ciberseguridad fue una disciplina centrada en el humano. Nos obsesionábamos con la Autenticación Multifactor (MFA), la complejidad de las contraseñas y el comportamiento de los usuarios. Pero mientras vigilábamos la puerta principal, un ejército silencioso de bots, cuentas de servicio y agentes de IA se infiltraron por las ventilaciones.

Hoy, las estadísticas son asombrosas. Según el Informe de Riesgos NHI & Secrets de Entro Security, las identidades no humanas ahora superan en número a los empleados humanos en una proporción de 144 a 1 — un aumento del 56% respecto a la proporción de 92:1 registrada en H1 2024. El Outlook de Seguridad de Identidades 2026 de ManageEngine encontró que casi la mitad de las organizaciones encuestadas reportan ratios máquina-humano por encima de 100:1, con algunos sectores alcanzando 500:1.

Esta explosión ha llevado a un estado de Quiebra de Identidad — un umbral crítico donde la dispersión de identidades se ha vuelto tan compleja que es matemáticamente y operativamente imposible auditar, gestionar o asegurar. En este artículo, exploramos la mecánica de la crisis, el peligro del “IAM con indulgencia” y por qué las cuentas de máquina son ahora los principales objetivos para movimientos laterales.

La Gran Inversión: Por qué las Máquinas Ganaron el Juego Numérico

Para entender la Quiebra de Identidad, primero debemos comprender cómo llegamos aquí. En 2020, la proporción promedio máquina-humano era aproximadamente 5:1. Para H1 2024, había subido a 92:1. Los datos de Entro Security a mediados de 2025 la sitúan en 144:1, sin señales de desaceleración. Ese crecimiento del 44% año tras año en NHIs está impulsado por tres catalizadores principales.

La Explosión de Microservicios. Una sola aplicación monolítica tenía una identidad. Hoy, esa misma aplicación se divide en docenas de microservicios, cada uno requiriendo su propia identidad de carga de trabajo para comunicarse con bases de datos, cachés y otros servicios. Una sola canalización de despliegue puede crear más identidades de máquina en 20 minutos que todos los usuarios humanos de una empresa.

El Auge de la IA Agente. Ya no solo usamos IA — desplegamos agentes de IA. Estos agentes realizan tareas de forma autónoma: reservar viajes, gestionar infraestructura en la nube, triage de código, extraer registros de clientes de Salesforce, hacer commits en repositorios. Microsoft Copilot tiene acceso a tu SharePoint. GitHub Copilot puede hacer commits en tus repos. Cada agente requiere un conjunto de permisos — tokens, claves API — que actúan como su ID digital. El informe de Entro Security 2025 sobre el panorama de seguridad de identidades encontró que el 68% de las organizaciones carecen de controles específicos de seguridad de identidad para IA, y se espera que la IA impulse la creación del mayor número de nuevas identidades con acceso privilegiado y sensible en 2025.

Infraestructura Efímera. En un mundo nativo en la nube, los servidores viven minutos, no meses. Cada vez que un pod de Kubernetes se inicia durante la escalabilidad automática, nace una nueva identidad. Cada flujo de trabajo de GitHub Actions genera tokens. Cada ejecución de Terraform crea principales de servicio.

La Anatomía de una Identidad de Máquina

A diferencia de un usuario humano, una identidad de máquina — a menudo llamada Identidad No Humana (NHI) — no tiene rostro, ubicación física, ni un horario predecible de 9 a 5. Consiste en:

  • Secretos: claves API, tokens OAuth y claves SSH.
  • Certificados: certificados TLS/SSL usados para comunicación cifrada.
  • Principales de Servicio: identidades nativas en la nube usadas por aplicaciones para acceder a recursos como AWS S3 o Azure Key Vault.

Estas identidades persisten indefinidamente a menos que se revoken explícitamente. A diferencia de los empleados, carecen de desencadenantes naturales de ciclo de vida — no renuncian, no se jubilan, no pasan por procesos de offboarding de RRHH. La investigación de Entro encontró que casi la mitad de las NHIs tienen más de un año, y el 7.5% tienen entre cinco y diez años. Uno de cada mil NHIs tiene más de una década, a menudo superando a los desarrolladores que las crearon.

Definiendo “Quiebra de Identidad”

La Quiebra de Identidad es el punto de no retorno para un equipo de seguridad. Ocurre cuando el volumen de identidades y la complejidad de sus permisos superan la capacidad de la organización para verificarlas.

Cuando una organización alcanza este umbral:

La auditabilidad se pierde. Pregunta “¿Quién tiene acceso a nuestra base de datos de clientes?” y la respuesta es una lista de cientos de usuarios humanos y decenas de miles de cuentas de servicio. Se pueden auditar los humanos. No se pueden auditar manualmente los bots.

La visibilidad está fragmentada. Las identidades existen en silos — AWS, Azure, GitHub, Salesforce, clústeres internos de Kubernetes — sin una fuente única de verdad. El informe de ManageEngine 2026 encontró que el 70% de los encuestados dice que los silos de identidad son una causa raíz del riesgo cibernético organizacional.

La gobernanza se elude. Los desarrolladores, bajo presión para lanzar código, crean cuentas de servicio “temporales” con derechos de administrador que nunca se eliminan. La investigación de Veza midió más de 230 mil millones de permisos en conjuntos de datos empresariales, creando puntos ciegos persistentes. Los permisos clasificados como seguros y conformes cayeron del 70% en 2024 al 55% en 2025, con permisos no gobernados aumentando del 5% al 28% en ese período.

El privilegio se concentra catastróficamente. Los datos de Entro revelan que solo el 0.01% de las identidades de máquina — aproximadamente 2,188 cuentas en su conjunto de datos — controlan el 80% de los recursos en la nube. Comprometer una de esas cuentas significa que un atacante controla prácticamente todo el entorno.

e “Cuando las identidades no humanas superan en número a los humanos por órdenes de magnitud, los enfoques tradicionales de gobernanza colapsan. Las organizaciones deben replantearse fundamentalmente cómo gestionan y aseguran estas identidades antes de que la escala sea completamente ingobernable.” e — Ramanathan Kannabiran, Director de Gestión de Producto, ManageEngine

La Trampa del “IAM con Indulgencia”: El Patio de Juegos del Atacante

El producto más peligroso de esta crisis es el IAM con indulgencia — prácticas de Gestión de Identidades y Accesos que sacrifican seguridad por disponibilidad.

Las máquinas no se quejan cuando no pueden acceder a un archivo; rompen toda la canalización de despliegue. Para evitar errores de “permiso denegado” que detienen la producción, muchas organizaciones optan por sobre-permisos. El informe de Entro Security 2025 sobre el Estado de las NHIs encontró que el 97% de las NHIs tienen privilegios excesivos — una base casi universalmente rota.

El contraste entre cómo las organizaciones tratan las identidades humanas versus las de máquina es marcado:

Característica Identidad Humana Identidad de Máquina (NHI)
Permisos Típicos Restringidos (Mínimo Privilegio) Amplios (A menudo ‘Propietario’ o ‘Administrador’)
Autenticación MFA / Biométricos Secretos Estáticos / Tokens
Ciclo de Vida Incorporación/Retiro por RRHH Creada por Script / A menudo huérfana
Monitoreo Alto (UEBA / Seguimiento de comportamiento) Bajo (A menudo ignorado en logs)
Rotación Resets periódicos de contraseña El 71% no rotan en los plazos recomendados

Los atacantes han descubierto que vulnerar a un usuario humano protegido por MFA es difícil. Pero una cuenta de servicio es una mina de oro — siempre activa, a menudo con privilegios excesivos y raramente revisada.

La Magnitud de la Exposición de Secretos

El problema no es solo que existan identidades de máquina — es que sus credenciales se manejan mal a escala.

La investigación de Entro 2025 encontró que el 44% de todos los tokens están expuestos activamente en la calle, circulando en plataformas como Microsoft Teams, tickets de Jira, páginas de Confluence y commits de código. Aunque el código fuente sigue siendo la principal fuente de secretos expuestos con un 57%, casi la mitad de los secretos expuestos ahora aparecen fuera de los repositorios de código: 26% en flujos de CI/CD y otro 14% en herramientas de colaboración y mensajería.

El compromiso en marzo de 2025 del popular tj-actions en GitHub ilustró esto perfectamente. Los atacantes usaron un token de acceso personal robado para inyectar código malicioso que exfiltró silenciosamente secretos de logs de CI/CD en más de 23,000 repositorios. La causa raíz fue una identidad de máquina sin gestión ni monitoreo.

Más del 80% de las organizaciones han experimentado un incidente cibernético debido a identidades de máquina comprometidas. Sin embargo, las lecciones no se están aplicando lo suficientemente rápido.

La Cadena de Movimiento Lateral

En 2026, la cadena de ataque ha cambiado fundamentalmente. Los atacantes ya no necesitan hacer phishing a un CEO. Ahora apuntan a un desarrollador para acceder a una canalización de CI/CD o a un repositorio de código. Una vez dentro, buscan secretos de máquina.

Etapa 1: Descubrimiento de Secretos. Herramientas automatizadas escanean en busca de claves API codificadas en el código, variables de entorno o almacenes de secretos mal configurados. Con el 62% de todos los secretos duplicados y almacenados en múltiples ubicaciones, los atacantes tienen varias oportunidades para encontrarlos.

Etapa 2: El Secuestro del Bot. El atacante encuentra una cuenta de servicio usada para “registro”. Debido al IAM con indulgencia, esta cuenta de registro también tiene acceso de lectura a un bucket S3 que contiene datos sensibles de clientes — un clásico caso de aumento de privilegios que nadie notó.

Etapa 3: Movimiento Lateral. Usando la identidad de máquina secuestrada, el atacante se desplaza lateralmente por la red. El tráfico máquina a máquina rara vez se somete a un escrutinio riguroso, permitiendo exfiltración o escalada de privilegios con riesgo mínimo de detección.

Las consecuencias reales ahora se miden en cientos de millones de libras. Los incidentes en Jaguar Land Rover y Marks & Spencer en 2025 ambos se originaron por identidades de máquina comprometidas en sistemas asociados — cuentas de servicio, claves API y tokens de acceso de terceros que nunca fueron gobernados, rotados ni monitoreados adecuadamente. El incidente en JLR forzó una parada global de producción que duró más de cuatro semanas.

OWASP ha tomado nota. Su Top 10 Riesgos de Identidad No Humana para 2025 clasifica el offboarding inadecuado como el riesgo número uno — reflejando la brecha fundamental: las organizaciones no tienen un proceso sistemático para desprovisionar identidades de máquina cuando los servicios se vuelven obsoletos o las integraciones se discontinuaron.

Más Allá de la Seguridad Centrada en Humanos: El Marco 2026

Si la mayoría de tus identidades son máquinas, tu estrategia de seguridad debe reflejar esa realidad. Debemos dejar atrás la mentalidad “Usuario Primero” y adoptar la Gestión de Identidad de Máquina (MIM) como un pilar central del programa de seguridad.

1. Cambio a Privilegios Zero Standing (ZSP)

Las claves API estáticas son las contraseñas del mundo de las máquinas, y deben ser eliminadas. Las organizaciones líderes están adoptando Identidades de Máquina Just-in-Time (JIT) — un bot recibe un token válido exactamente por 60 segundos para realizar su tarea, tras lo cual el token expira automáticamente. Esto elimina el concepto de credencial siempre activa que puede ser robada y reutilizada indefinidamente.

2. Análisis de Comportamiento de Máquinas

Al igual que los sistemas UEBA detectan a un usuario humano que inicia sesión desde un país extranjero, debemos rastrear cuándo una identidad de máquina comienza a solicitar APIs que nunca ha usado antes. Si un Servicio de Impresión empieza a solicitar permisos de eliminación de base de datos, el sistema debe aislar esa identidad inmediatamente. El informe de 2025 de CyberArk confirma que la detección de anomalías impulsada por IA es ahora un diferenciador crítico para las organizaciones que gestionan la dispersión de NHIs.

3. Gestión Implacable del Ciclo de Vida

El riesgo número uno de OWASP — offboarding inadecuado — es completamente prevenible. Cada identidad de máquina debe tener un propietario humano asignado. Cuando ese propietario se vaya, la identidad debe marcarse para revisión. Las herramientas automatizadas deben realizar barridos continuos para identificar y aislar cuentas huérfanas, enfocándose primero en aquellas con permisos administrativos o comodín (*).

4. Automatización del Inventario de Identidades

No puedes asegurar lo que no puedes ver. La recuperación de la Quiebra de Identidad comienza con un inventario automatizado en tres fases:

  • Descubrir: Escanear todos los entornos en la nube y locales en busca de NHIs, incluyendo identidades shadow creadas fuera de procesos oficiales.
  • Clasificar: Determinar qué hace cada identidad, qué recursos accede y quién la posee.
  • Limpiar: Eliminar identidades huérfanas y aplicar políticas de rotación. El 71% de las NHIs actualmente no rotan en los plazos recomendados — este número debe reducirse a casi cero.

5. Mover Secretos a la Izquierda — Pero No a Medias

El 43% de todos los secretos expuestos aparecen fuera del código fuente. Integrar la exploración de secretos en los pipelines de CI/CD es fundamental, pero las organizaciones deben extender esa cobertura a herramientas de colaboración, plataformas de mensajería y cualquier lugar donde los desarrolladores compartan contexto. Tickets de Jira, mensajes de Slack y documentos de SharePoint están filtrando credenciales activamente.

¿Tu Organización Ya Está en Quiebra?

Revisa los siguientes indicadores para evaluar tu nivel de riesgo actual:

  • [ ] ¿Tienes más cuentas de servicio que empleados?
  • [ ] ¿Más del 10% de tus claves API son permanentes (sin fecha de expiración)?
  • [ ] ¿Puedes identificar al propietario humano de cada principal de servicio en tu nube?
  • [ ] ¿Tienes escaneo de secretos integrado en tu pipeline de desarrollo y en tus herramientas de colaboración?
  • [ ] ¿Incluyes el tráfico máquina a máquina en tu monitoreo de seguridad y detección de anomalías?
  • [ ] ¿Tienes un proceso formal de desprovisionamiento para identidades de máquina cuando terminan proyectos o los desarrolladores se van?

Si respondiste sí a tres o más indicadores de riesgo, probablemente estás operando en un estado de Quiebra de Identidad.

Conclusión

Los números ya no son abstractos. Las identidades de máquina superan en número a los empleados humanos en proporciones que hace cinco años se consideraban absurdas. Casi todas las NHIs en una empresa promedio tienen privilegios excesivos. Un puñado de cuentas controla la gran mayoría de los recursos en la nube. Los brechas reales con costos de nueve cifras ahora se rastrean directamente a cuentas de servicio sin gestionar y credenciales expiradas que nadie pensó en rotar.

El eslabón más débil en la empresa moderna ya no es el empleado que hace clic en un enlace de phishing. Es la cuenta de servicio olvidada, la clave API codificada, el agente de IA con acceso de administrador en una fecha límite, y el token huérfano que ha acumulado acceso silenciosamente durante una década.

Para sobrevivir a la crisis de identidad de 2026 y más allá, las organizaciones deben tratar las identidades de máquina con la misma rigurosidad — y quizás más — que las humanas. Las llaves del reino ya no las tienen las personas. Están dispersas en miles de líneas de código y pipelines automatizados. Es hora de recuperarlas.

Fuentes: CyberArk 2025 Identity Security Landscape; Entro Security NHI & Secrets Risk Report H1 2025; ManageEngine Identity Security Outlook 2026; Veza Permissions Report 2025; CSO Online; OWASP Non-Human Identity Top 10 (2025).

Related InstaTunnel pages

Continue from this article into the most relevant product guides and workflows.

Plans and limitsCompare Free, Pro, and Business limits for tunnels, MCP endpoints, bandwidth, and teams.Trust and security centerReview security controls, reliability practices, status references, and operational safeguards.InstaTunnel documentationRead setup steps, CLI commands, webhook guides, MCP usage, and troubleshooting workflows.Use-case playbooksBrowse practical workflows for webhooks, OAuth callbacks, MCP tunnels, and demo links.

Related Topics

#machine identity bankruptcy, machine identities, bot identity sprawl, service account sprawl, AI agent identities, non-human identities, NHI security, identity sprawl 2026, 82 to 1 identity ratio, IAM for machines, lenient IAM, overprivileged service accounts, cloud service accounts risk, API keys sprawl, token sprawl, secrets management failure, lateral movement via service accounts, cloud lateral movement, identity-based attacks, identity governance failure, identity audit failure, permission creep, privilege creep, over-permissioned bots, machine identity risk, workload identity security, Kubernetes service accounts risk, cloud IAM misconfiguration, AWS IAM service roles abuse, Azure managed identity abuse, GCP service account abuse, OAuth app overprivilege, SaaS bot identities, automation account abuse, CI/CD service account compromise, pipeline identity attack, machine-to-machine auth risk, identity supply chain attack, identity attack surface, zero trust identity for machines, identity lifecycle management, deprovisioning failure, orphaned accounts, shadow identities, identity visibility gap, IAM blind spots, security debt IAM, cloud identity security posture, identity governance and administration, IGA for machines, PAM for service accounts, secrets rotation failure, API token compromise, breach via machine identity, attackers target bots, human vs machine identity security, identity-centric security, breach path via service account, compliance identity gaps, SOC focus on users, bot accounts keys to kingdom, machine identity threat model, enterprise identity risk, identity sprawl crisis, secure machine identities, least privilege for bots, workload identity federation, identity hygiene, identity inventory, identity observability

Keep building with InstaTunnel

Read the docs for implementation details or compare plans before you ship.

Read DocumentationView Pricing

Share this article

Share on XShare on LinkedIn

More InstaTunnel Insights

Discover more tutorials, tips, and updates to help you build better with localhost tunneling.

Browse All Articles