Identidades no humanas (NHI): el nuevo frente de la ciberseguridad empresarial

Bots, microservicios y agentes de IA proliferan en las redes corporativas. Gobernar su identidad y sus accesos ya no es opcional. 

Qué es una identidad no humana (NHI)

Cuando hablamos de identidades en ciberseguridad, la imagen clásica es la de un empleado con su usuario y contraseña. Pero esa imagen quedó obsoleta. Hoy, por cada persona que accede a los sistemas de una organización, hay decenas, o cientos, de entidades automatizadas haciendo lo mismo: bots de RPA que procesan facturas, microservicios que se comunican entre sí en la nube, pipelines de CI/CD que despliegan código, agentes de inteligencia artificial que consultan bases de datos y scripts que sincronizan plataformas.

Todas estas entidades tienen algo en común: necesitan credenciales para operar. Esas credenciales son identidades no humanas (Non-Human Identities o NHI), y representan hoy uno de los vectores de ataque más subestimados de la empresa moderna.

Técnicamente, una NHI puede materializarse como una cuenta de servicio de Active Directory, un token de API, una clave de acceso en AWS IAM, un certificado de cliente en una comunicación mTLS, un secreto almacenado en un vault, o un JWT de larga duración utilizado por un proceso automatizado. La forma varía; el riesgo, no.

Por qué las NHI son un problema de seguridad crítico

El volumen ya supera a las identidades humanas

Las identidades no humanas superan ampliamente en número a las de los empleados en la mayoría de organizaciones. En entornos con arquitecturas de microservicios o implantaciones significativas de RPA, la relación puede superar 50:1. Tokens de API, cuentas de servicio, certificados, secretos embebidos en código, claves de acceso a la nube… la proliferación es silenciosa pero constante. Cada nueva integración, cada nuevo bot desplegado, cada microservicio añadido suma más NHI al inventario, generalmente sin que nadie lleve un registro sistemático.

Están fuera del radar habitual

Los procesos de IAM (Identity and Access Management) tradicionales están diseñados para personas. Los ciclos de revisión de accesos, las políticas de contraseñas o los procesos de offboarding, nada de esto aplica de forma natural a una cuenta de servicio. El resultado es predecible: credenciales que nunca rotan, accesos que nadie revisa, permisos que se acumulan con el tiempo sin control.

Un escenario habitual: un microservicio se despliega con una cuenta de servicio que tiene permisos de lectura y escritura sobre un almacén de datos sensible. Seis meses después, el equipo que lo creó ya no existe. La cuenta sigue activa. Nadie la revisa. Nadie sabe exactamente qué puede hacer.

Las consecuencias de un compromiso son graves

Un atacante que consiga las credenciales de un microservicio con acceso privilegiado puede moverse lateralmente por la red sin levantar alarmas. No hay un comportamiento humano que analizar, no hay horarios irregulares que detectar, no hay geolocalización sospechosa que correlacionar. Las NHI comprometidas son invisibles para muchos sistemas de detección convencionales precisamente porque su comportamiento anómalo es indistinguible del operacional si no existe una línea base bien definida.

Ataques recientes de alto impacto han aprovechado exactamente este vector: credenciales de pipelines de CI/CD comprometidas para inyectar código malicioso en el proceso de build, tokens de API filtrados en repositorios públicos usados semanas después para exfiltrar datos, o cuentas de servicio con privilegios excesivos utilizadas como punto de pivote en un movimiento lateral.

Los tres riesgos principales en la gestión de accesos de bots y RPA

1. Credenciales estáticas y de larga duración. Los bots RPA y las cuentas de servicio suelen operar con contraseñas o tokens que se configuran una vez y nunca cambian. La razón es operativa: rotar credenciales en entornos de automatización complejos puede romper integraciones, y los equipos prefieren la estabilidad. Pero una credencial que nunca rota es una credencial que, si se filtra, por un repositorio mal configurado, un log expuesto o un ataque dirigido, concede acceso indefinido al atacante.

2. Sobreprivilegios acumulados. Siguiendo el principio implícito de que “más permisos = menos fricción operativa”, las cuentas de automatización tienden a acumular privilegios que nunca se revisan. Una cuenta creada para una integración puntual puede acabar con acceso a sistemas completamente ajenos a su función original. En la práctica, aplicar el principio de mínimo privilegio (PoLP) a las NHI es más difícil que aplicarlo a personas: los procesos automatizados tienen patrones de acceso menos predecibles y sus necesidades reales son difíciles de acotar sin análisis específico.

3. Ausencia de trazabilidad y gobierno ¿Quién creó esta cuenta de servicio? ¿Para qué proceso? ¿Sigue siendo necesaria? ¿Qué ha accedido con ella en los últimos 30 días? En la mayoría de organizaciones, estas preguntas no tienen respuesta fácil. Sin trazabilidad, es imposible auditar, imposible detectar anomalías y muy difícil responder ante un incidente. La cuenta puede llevar meses comprometida sin que nadie lo note.

Cómo proteger las identidades no humanas en la empresa

Una estrategia sólida de seguridad NHI no requiere reinventar la gestión de identidades, sino extenderla de forma coherente a entidades no humanas. Los pilares son:

Inventario y descubrimiento continuo

No se puede proteger lo que no se conoce. El primer paso es un catálogo actualizado de todas las NHI: cuentas de servicio en directorio activo, tokens de API activos, certificados emitidos, claves de entornos cloud, secretos en vaults o, peor, en variables de entorno o repositorios de código. Este inventario debe ser dinámico: las NHI aparecen y desaparecen continuamente.

Principio de mínimo privilegio aplicado a la máquina

Cada identidad no humana debe tener acceso exclusivamente a los recursos necesarios para su función, con el nivel de permisos mínimo imprescindible. Esto implica revisar regularmente los accesos concedidos y revocar los que ya no sean necesarios, con la misma disciplina que se aplica a los accesos humanos.

Rotación y ciclo de vida gestionado

Las credenciales deben tener fecha de expiración y procesos de rotación automatizados, preferiblemente sin intervención manual. Las NHI inactivas deben desaprovisionarse. Los secretos de larga duración deben sustituirse, donde sea posible, por mecanismos de autenticación basados en credenciales efímeras: tokens de corta duración, certificados con TTL corto, autenticación federada mediante OIDC o SAML.

Autenticación fuerte entre máquinas

En comunicaciones entre servicios, sustituir autenticación simple por usuario y contraseña por mecanismos como mTLS (mutual TLS), donde ambos extremos presentan certificado, o por tokens de acceso firmados con validez limitada. La autenticación debe ser bidireccional: el servicio que llama se autentica, pero también debe verificar la identidad del servicio al que llama.

Monitorización, alertas y trazabilidad

Registrar qué accede a qué, cuándo y desde dónde. Establecer líneas base de comportamiento para cada NHI y alertar sobre desviaciones: un microservicio que de repente accede a un recurso al que nunca había accedido, o lo hace a una frecuencia inusual, es una señal que no debe pasar inadvertida.

NHI, ciberseguridad y soberanía tecnológica

Para las organizaciones que operan con datos sensibles (sector público, defensa, infraestructuras críticas, banca) la gestión de identidades no humanas tiene una dimensión adicional: la confianza en la solución que las gestiona.

Depositar el control de credenciales y accesos en plataformas extranjeras introduce dependencias que pueden comprometer tanto la seguridad operativa como el cumplimiento normativo bajo marcos como el ENS, NIS2 o el Esquema Nacional de Seguridad Industrial.

En entornos de alta sensibilidad, la cadena de custodia de las credenciales, quién las emite, quién las almacena, quién puede consultarlas y bajo qué condiciones, debe ser auditada, soberana y trazable de extremo a extremo.

Endurance: gobierno de accesos con trazabilidad completa, también para NHI

Endurance, la plataforma de entorno de trabajo seguro de Cosmikal, aborda desde su arquitectura los problemas estructurales que hacen peligrosas las identidades no humanas: la opacidad en el acceso a credenciales, la ausencia de gobierno sobre cuentas de servicio y la falta de trazabilidad sobre qué entidad accede a qué recurso y en qué momento.

Custodia y gestión centralizada de credenciales

Endurance centraliza el almacenamiento y la gestión de credenciales ,tanto de usuarios humanos como de cuentas de servicio y procesos automatizado, en un entorno controlado y auditado. Ninguna credencial queda dispersa en configuraciones locales, variables de entorno o repositorios: existe un punto único de gobierno con control de acceso estricto sobre quién puede consultar, modificar o utilizar cada secreto, y bajo qué condiciones.

Autenticación robusta y control de acceso granular

La solución implementa mecanismos de autenticación fuerte que van más allá de la contraseña estática, aplicables tanto a personas como a procesos. El control de acceso es granular: se puede definir con precisión qué identidad, humana o no, puede acceder a qué recurso, desde qué contexto y en qué ventana temporal. Esto permite implementar el principio de mínimo privilegio de forma operativa, no solo declarativa.

Trazabilidad de accesos auditada y continua

Cada acceso a credenciales o recursos protegidos por Endurance genera un registro auditado, inmutable y consultable. Esto proporciona dos capacidades críticas: la detección de anomalías, accesos inusuales por parte de cuentas de servicio o bots que se desvían de su patrón habitual, y la respuesta ante incidentes, con una línea de tiempo precisa de qué entidad accedió a qué, facilitando tanto el análisis forense como el cumplimiento normativo.

Fabricada en España, certificada por el CCN, validada por la OTAN

Endurance no es solo una solución técnicamente sólida. Es la única solución española incluida en el NATO Information Assurance Product Catalogue (NIAPC) en la categoría de control de acceso, el catálogo de productos de seguridad evaluados por los estándares más exigentes de la Alianza Atlántica. Para organizaciones que operan en entornos regulados o que manejan información clasificada o crítica, esa validación no es un detalle: es la garantía de que la plataforma ha sido sometida a los criterios de evaluación más rigurosos del contexto de seguridad europeo.

En un entorno donde los bots, los microservicios y los agentes de IA multiplican exponencialmente la superficie de ataque, contar con una plataforma que gobierne todos los accesos ,humanos y no humanos, con trazabilidad completa y fabricada en España es una decisión de seguridad y de soberanía tecnológica.

---

¿Quieres saber cómo Endurance puede ayudarte a gobernar los accesos en tu organización?

Contacta con nuestro equipo

---

Cosmikal es una empresa española de ciberseguridad con sede en Santander, fundada en 2013 y parte de Grupo PITMA. Su producto principal, Endurance, está incluido en el catálogo NIAPC de la OTAN como única solución española en control de acceso.