Ciberseguridad y privacidad digital · Inteligencia artificial y Data Analytics

Identidades no humanas (NHIs): por qué (y cómo) debemos gobernarlas

Juan Manuel Zarzuelo
Juan Manuel Zarzuelo
Socio de Technology Risk y Ciberseguridad KPMG en España
19 enero, 2026
3 min

A medida que han proliferado las plataformas y ecosistemas digitales, las conocidas como identidades no humanas (NHIs, por sus siglas en inglés) también lo han hecho. Hoy, ya superan en número a los usuarios humanos por 82 a 1. Estas identidades actúan de forma autónoma, acceden a sistemas críticos en cuestión de segundos y, a menudo, sin intervención humana. No obstante, esta evolución ha provocado a su vez la aparición de vectores de ataque invisibles que se expanden con rapidez y que desafían los modelos de seguridad y gobernanza convencionales.

¿Qué son las NHIs y por qué generan nuevas amenazas?

Y es que el panorama en constante evolución de las identidades empresariales, unido a la expansión de la IA agéntica, está provocando que ahora, además de empleados y contratistas, las organizaciones dependen de una amplia y, en gran medida, no visible capa de NHIs, como claves API, cuentas de servicio, tokens de Open Authorization (OAuth) o agentes autónomos de IA que habilitan sistemas y flujos de trabajo críticos.

Estas identidades operan de manera continua en SaaS, en la nube y en entornos locales e integraciones de terceros, generalmente con acceso privilegiado y en ocasiones, con bajos niveles de supervisión.

Las identidades no humanas ya superan en número a los usuarios humanos por 82 a 1

La magnitud del problema es considerable, ya que actualmente estas identidades generan un flujo complejo de solicitudes de autorización, lo que incrementa los riesgos de seguridad asociados a las aprobaciones automáticas. Y es que, a diferencia de los usuarios humanos, las NHIs carecen de intención, contexto y gobernanza del ciclo de vida, por lo que pueden incurrir en prácticas como el robo de credenciales, movimientos laterales y exfiltración masiva de datos.

La necesidad de adoptar un enfoque proactivo de revisión

De hecho, las NHIs ya figuran de manera destacada en grandes brechas de seguridad: desde tokens expuestos y cuentas de bots en pipelines de Integración/Entrega o Despliegue Continuos (CI/CD), hasta aplicaciones OAuth con privilegios excesivos utilizadas para acceder a correos electrónicos y datos.

Estos riesgos se intensifican por la intervención de agentes de IA, quienes, a diferencia de la automatización convencional, actúan de forma autónoma. Es decir, crean, modifican y utilizan credenciales sin intervención humana directa. Además, estos sistemas son capaces de generar nuevas identidades, encadenar herramientas entre diferentes dominios de confianza y ejecutar acciones, a menudo requiriendo amplios permisos para lograr resultados empresariales.

Esta autonomía introduce nuevos vectores de ataque y desafíos de gobernanza que los marcos tradicionales de Gestión de Identidades y Accesos (IAM), diseñados para usuarios humanos, no están preparados para abordar. También reduce significativamente las barreras para el compromiso, permitiendo a los atacantes orquestar campañas sofisticadas y multinivel con velocidad y precisión.

Te ayudamos a abordar los desafíos de seguridad que presenta la IA
Déjanos asesorarte

Y es que, a medida que la adopción de IA se acelera, la brecha de supervisión se amplía. Por ello, la adopción de un enfoque proactivo basado en el análisis continuo, la aplicación del principio de mínimo privilegio y el mantenimiento de una adecuada gestión de información sensible puede hacer que las NHIs dejen de ser un riesgo invisible para convertirse en un activo debidamente gobernado que permite una innovación segura.

Asimismo, es fundamental reconocer que las implicaciones trascienden el riesgo técnico, y la falta de acciones oportunas puede derivar en consecuencias empresariales significativas, como la pérdida de confianza, sanciones financieras y daños reputacionales que pueden tardar años en repararse. La gestión proactiva de NHIs se consolida como un pilar esencial para el cumplimiento normativo, ya que tanto los consejos de administración como los reguladores demandan una mayor responsabilidad sobre las interacciones entre máquinas y agentes, exigiendo una supervisión rigurosa y efectiva.

Gobernanza de NHIs en la estrategia de identidad empresarial

Para construir resiliencia, los líderes de ciberseguridad deben comenzar haciéndose las preguntas adecuadas:

  • ¿Tenemos visibilidad de todas las NHIs en nuestros entornos?
  • ¿Cómo gobernamos los agentes de IA y su acceso a sistemas sensibles?
  • ¿Están nuestros marcos de IAM y PAM (Gestión de Accesos Privilegiados) preparados para gestionar identidades de máquina a escala?
  • ¿Qué controles existen para detectar y remediar comportamientos anómalos de NHIs?

En otras palabras, el descubrimiento de todas las NHIs en los entornos, seguido de la evaluación de riesgos y la aplicación del principio de mínimo privilegio, es crucial para la seguridad de las NHIs. Asimismo, alinear la gestión de NHIs con otras soluciones de ciberseguridad y centralizar la visibilidad en una única fuente de verdad sobre identidades, secretos e integraciones, ayuda a eliminar silos entre entornos. Además, las políticas deben estar vinculadas a resultados medibles, como la reducción de la superficie de ataque, la aceleración de la respuesta a incidentes y la preparación para auditorías.

Las organizaciones deben establecer un marco de gobernanza que defina estándares claros para la creación, uso y retiro de NHIs

De este modo, y con el objetivo de fortalecer los programas de identidad empresarial, las organizaciones necesitan (y deben) establecer un marco de gobernanza que defina estándares claros para la creación, uso y retiro de NHIs, que convierta la seguridad de NHIs en un pilar central de los marcos de identidad, riesgo y cumplimiento.

Gestión eficaz de las NHIs: 3 pasos clave

Los responsables de ciberseguridad pueden iniciar el proceso aplicando estos tres pasos esenciales para lograr una gestión eficiente de NHIs:

  1. Descubrir e inventariar continuamente las NHIs:

  • Escanear sistemas y plataformas en la nube, abarcando todas las identidades, tanto agentes como no humanas.
  • Elaborar inventarios integrales que incluyan detalles sobre propiedad, privilegios, estado de credenciales y datos de telemetría, facilitando el monitoreo y la certificación.

  1. Evaluar y priorizar el riesgo:

  • Clasificar las NHIs considerando criterios de nivel de acceso, alcance e impacto potencial.
  • Correlacionar inteligencia de identidades y secretos para identificar y mitigar identidades huérfanas, configuraciones erróneas o de alto riesgo.
  • Aplicar rigurosamente el principio de mínimo privilegio y mantener registros de auditoría enriquecidos para asegurar el cumplimiento normativo y optimizar la respuesta ante incidentes.

  1. Gobernar y controlar:

  • Identificar las acciones de los agentes a través de autoridad delegada y la gestión de flujos en nombre de terceros.
  • Automatizar los procesos de desprovisión y garantizar la eliminación de identidades obsoletas o comprometidas. Implementar salvaguardas técnicas, como políticas basadas en código y rotación de credenciales, para establecer límites de uso y facilitar la detección de anomalías en tiempo real.

En resumen, la protección de las identidades no humanas ya no es opcional: se ha convertido en un pilar central de la estrategia de ciberseguridad empresarial. Considerar a las NHIs como identidades de primer nivel en los sistemas de gestión de identidades y accesos (IAM) es clave para construir sistemas autónomos confiables y resilientes, así como para preservar la competitividad en el entorno digital actual.

Este artículo se publicó originalmente en la web de KPMG Global: Invisible access, visible risk.

Artículos relacionados