Cuentas zombie: el punto ciego del IAM en el proceso de desvinculación
6 Min. de lectura
Un microservicio se apaga, la documentación se archiva y el equipo se va. La cuenta de servicio con la que se ejecutaba permanece activa, con permisos que nadie supervisa. OWASP llama exactamente a esto el punto ciego número uno en las identidades de máquina, y los atacantes ya lo saben.
Lo más importante en resumen
- Las máquinas sobreviven a su desactivación: Las cuentas de servicio, las claves de API y las identidades de carga de trabajo permanecen activas mucho después de que el servicio asociado haya desaparecido. Para los humanos existe un proceso de RRHH, pero para las máquinas generalmente no.
- OWASP lo pone en primer lugar: En las Non-Human Identities Top 10 se encuentra Improper Offboarding como riesgo NHI1. Las identidades huérfanas son en la práctica un camino preferido para el movimiento lateral.
- La palanca es un ciclo de vida: Quien inventaría las identidades de máquina, asigna un propietario y las vincula a la vida útil del servicio, cierra la brecha antes de que la ola de IA aumente aún más el número de cuentas.
Relacionado:Las cuentas que nadie cuenta / MFA adaptativo en la auditoría NIS2
Por qué las cuentas de máquina sobreviven a su propio final
Cuando un empleado abandona la empresa, se inicia un proceso. El departamento de recursos humanos informa de la salida, la cuenta se desactiva y se revocan los permisos. Para las identidades humanas, este proceso está establecido, aunque no siempre funciona correctamente. Para las identidades de máquina, en muchas organizaciones no existe.
¿Qué es una identidad de máquina? Es todo aquello con lo que un sistema se autentica en lugar de un humano: cuentas de servicio, claves de API, tokens, certificados o la identidad de una carga de trabajo en la nube. Estas cuentas se crean incidentalmente cuando se configura un servicio. Sin embargo, no desaparecen incidentalmente cuando el servicio se apaga. La desactivación afecta al código y la infraestructura, pero rara vez a la identidad con la que se ejecutaba.
Exactamente aquí es donde OWASP interviene. En las Non-Human Identities Top 10 de 2025, Improper Offboarding ocupa el primer lugar, por delante de Secret Leakage y cuentas sobreprivilegiadas. La definición es sobria: la desactivación o eliminación insuficiente de identidades de máquina cuando ya no son necesarias. Detrás de la formulación sobria se esconde un problema práctico. Nadie se siente responsable de desactivar una cuenta de cuya existencia no tiene conocimiento.
En la práctica, una de estas cuentas se crea en segundos y sobrevive durante años. Un desarrollador crea una cuenta de servicio para una integración, deposita una clave de API en la canalización y el trabajo se realiza. Cuando la integración se reemplaza más tarde, el equipo se encarga del nuevo camino, no de la huella que dejó el antiguo. La clave sigue siendo válida, la cuenta sigue siendo autorizada y ambas no aparecen en ningún proceso de salida porque no hay salida para una máquina. Así, con el tiempo, se acumulan capas de identidades que nadie puede asignar a un propósito.
Cómo un ataque se convierte en un camino desde una cuenta olvidada
Una cuenta de servicio huérfana no es un riesgo teórico. Es una identidad válida con derechos válidos que ya no está bajo supervisión. Para un atacante, esta es la situación ideal de partida. Quien se hace cargo de dicha cuenta se mueve por la red sin activar una alarma, porque la cuenta es legítima y nadie supervisa su actividad.
Esto se agrava por dos puntos más de la lista de OWASP, que rara vez ocurren solos. Los secretos de larga duración, es decir, datos de acceso sin fecha de caducidad, mantienen una cuenta huérfana utilizable indefinidamente. Las identidades de máquina con privilegios excesivos le otorgan más derechos de los que el servicio original jamás necesitaría. Ambas cosas juntas convierten una cuenta olvidada en una ubicación cómoda para el movimiento lateral, es decir, el movimiento lateral de un sistema comprometido a otro.
La diferencia con la identidad humana es fundamental, y explica por qué las rutinas de Offboarding probadas no funcionan aquí.
| Aspecto | Identidad humana | Identidad de máquina |
|---|---|---|
| Desencadenante para Offboarding | Salida, reportada por RRHH | Cierre del servicio, a menudo no reportado |
| Propietario | La persona misma más supervisores | A menudo poco claro o huérfano |
| Duración de los datos de acceso | Vinculado al empleo | A menudo sin fecha de caducidad |
| Visibilidad después del final | Cuenta desactivada, acceso bloqueado | Permanece activo, uso legítimo |
La segunda trampa: cuando las personas usan cuentas de máquina
Existe una variante del problema que se discute con menos frecuencia y que figura en la lista de OWASP como NHI10: Uso humano de NHI. Se refiere al caso en que un administrador utiliza una cuenta de servicio para una tarea manual porque está disponible y tiene los derechos necesarios. En el momento, esto ahorra tiempo. Después, el registro de auditoría está dañado, y una cuenta con derechos de máquina a menudo amplios queda sin control en manos humanas.
Una vez que una acción humana se ejecuta bajo una identidad de máquina, ya no se puede separar limpiamente qué se hizo de forma automatizada y qué fue desencadenado por una persona. Para la investigación forense de un incidente, esto es un problema real. Exactamente en el momento en que se necesita una pista clara, las actividades de máquina y humanas privilegiadas se mezclan en un solo registro. En entornos híbridos con cuentas administrativas compartidas, este reflejo es aún cotidiano, mientras que la supervisión y la regulación exigen pistas claras.
Lo que necesita un ciclo de vida de NHI limpio
Ninguna de estas lagunas requiere un producto nuevo. Requieren un ciclo de vida que las identidades humanas ya tienen. Tres componentes básicos aportan la mayor parte.
El primero es un inventario. No se puede apagar nada que no se conozca, y en la mayoría de las organizaciones no hay una lista completa de las identidades de máquinas activas. El segundo es la propiedad. Cada identidad de máquina necesita una persona o equipo responsable, de lo contrario, el problema básico se repite en cada apagado. El tercero es la vinculación al ciclo de vida del servicio. Si se retira un servicio, su identidad debe desactivarse en el mismo paso, no en uno posterior que nunca llega.
La presión sobre este tema crece porque el número de identidades de máquinas con agentes de IA y pipelines automatizados aumenta más rápido que cualquier rutina de Offboarding manual. Quien establece el ciclo de vida solo cuando las cuentas ya son inmanejables, debe limpiar primero lo que ya es un crecimiento descontrolado. Empezar ahora es mucho más barato que más tarde.
Preguntas frecuentes
¿Qué es una identidad de máquina?
Una identidad de máquina, a menudo denominada como Identidad No Humana, es todo aquello con lo que un sistema se autentica en lugar de un humano: cuentas de servicio, claves de API, tokens, certificados o la identidad de una carga de trabajo en la nube. Permite que los servicios se comuniquen entre sí y con recursos.
¿Qué significa Offboarding inadecuado en identidades de máquina?
El Offboarding inadecuado describe la desactivación o eliminación insuficiente de una identidad de máquina cuando ya no se necesita. OWASP lo incluye en el Top 10 de Identidades No Humanas de 2025 como riesgo NHI1, es decir, en primer lugar.
¿Por qué son tan peligrosas las cuentas de servicio huérfanas?
Son identidades válidas con derechos válidos que nadie supervisa. Un atacante que se hace con una de estas cuentas se mueve por la red sin activar una alarma, porque la actividad parece legítima. Esto hace que las cuentas huérfanas sean un camino preferido para el Movimiento Lateral.
¿Cómo encuentro identidades de máquina huérfanas?
El primer paso es un inventario de todas las identidades de máquina activas con su servicio y propietario correspondientes. Las identidades sin un servicio activo reconocible o sin propietario son los primeros candidatos para una verificación y desactivación.
¿Qué tiene que ver la IA con el problema?
Los agentes de IA y las pipelines automatizados generan nuevas identidades de máquina a un ritmo elevado. Esto hace que el número de cuentas crezca más rápido que los procesos de Offboarding manuales puedan seguir, y el punto ciego se agranda si no se establece un ciclo de vida.
Consejos de lectura de la redacción
- SearchLeak: Cómo un enlace hizo que Microsoft 365 Copilot tuviera una fuga de datos
- La vulnerabilidad que solo la IA encontró
- Conciencia de seguridad: la tasa de clics mide lo incorrecto
Más del network de MBF Media
Fuente de la imagen: La imagen del título y las imágenes de los artículos fueron generadas por IA (mayo de 2026), certificado C2PA depositado en la imagen
