Lo m\u00e1s importante en resumen<\/p>\n
- \n
- Las m\u00e1quinas sobreviven a su desactivaci\u00f3n:<\/strong> Las cuentas de servicio, las claves de API y las identidades de carga de trabajo permanecen activas mucho despu\u00e9s de que el servicio asociado haya desaparecido. Para los humanos existe un proceso de RRHH, pero para las m\u00e1quinas generalmente no.<\/li>\n
- OWASP lo pone en primer lugar:<\/strong> En las Non-Human Identities Top 10<\/i> se encuentra Improper Offboarding<\/i> como riesgo NHI1. Las identidades hu\u00e9rfanas son en la pr\u00e1ctica un camino preferido para el movimiento lateral.<\/li>\n
- La palanca es un ciclo de vida:<\/strong> Quien inventar\u00eda las identidades de m\u00e1quina, asigna un propietario y las vincula a la vida \u00fatil del servicio, cierra la brecha antes de que la ola de IA aumente a\u00fan m\u00e1s el n\u00famero de cuentas.<\/li>\n<\/ul>\n<\/div>\n
Relacionado:<\/span>Las cuentas que nadie cuenta<\/a> \/<\/span> MFA adaptativo en la auditor\u00eda NIS2<\/a><\/p>\n
Por qu\u00e9 las cuentas de m\u00e1quina sobreviven a su propio final<\/h2>\n
Cuando un empleado abandona la empresa, se inicia un proceso. El departamento de recursos humanos informa de la salida, la cuenta se desactiva y se revocan los permisos. Para las identidades humanas, este proceso est\u00e1 establecido, aunque no siempre funciona correctamente. Para las identidades de m\u00e1quina, en muchas organizaciones no existe.<\/p>\n
\u00bfQu\u00e9 es una identidad de m\u00e1quina?<\/strong> Es todo aquello con lo que un sistema se autentica en lugar de un humano: cuentas de servicio, claves de API, tokens, certificados o la identidad de una carga de trabajo en la nube. Estas cuentas se crean incidentalmente cuando se configura un servicio. Sin embargo, no desaparecen incidentalmente cuando el servicio se apaga. La desactivaci\u00f3n afecta al c\u00f3digo y la infraestructura, pero rara vez a la identidad con la que se ejecutaba.<\/p>\n
Exactamente aqu\u00ed es donde OWASP interviene. En las Non-Human Identities Top 10<\/i> de 2025, Improper Offboarding<\/i> ocupa el primer lugar, por delante de Secret Leakage<\/i> y cuentas sobreprivilegiadas. La definici\u00f3n es sobria: la desactivaci\u00f3n o eliminaci\u00f3n insuficiente de identidades de m\u00e1quina cuando ya no son necesarias. Detr\u00e1s de la formulaci\u00f3n sobria se esconde un problema pr\u00e1ctico. Nadie se siente responsable de desactivar una cuenta de cuya existencia no tiene conocimiento.<\/p>\n
En la pr\u00e1ctica, una de estas cuentas se crea en segundos y sobrevive durante a\u00f1os. Un desarrollador crea una cuenta de servicio para una integraci\u00f3n, deposita una clave de API en la canalizaci\u00f3n y el trabajo se realiza. Cuando la integraci\u00f3n se reemplaza m\u00e1s tarde, el equipo se encarga del nuevo camino, no de la huella que dej\u00f3 el antiguo. La clave sigue siendo v\u00e1lida, la cuenta sigue siendo autorizada y ambas no aparecen en ning\u00fan proceso de salida porque no hay salida para una m\u00e1quina. As\u00ed, con el tiempo, se acumulan capas de identidades que nadie puede asignar a un prop\u00f3sito.<\/p>\n
C\u00f3mo un ataque se convierte en un camino desde una cuenta olvidada<\/h2>\n
Una cuenta de servicio hu\u00e9rfana no es un riesgo te\u00f3rico. Es una identidad v\u00e1lida con derechos v\u00e1lidos que ya no est\u00e1 bajo supervisi\u00f3n. Para un atacante, esta es la situaci\u00f3n ideal de partida. Quien se hace cargo de dicha cuenta se mueve por la red sin activar una alarma, porque la cuenta es leg\u00edtima y nadie supervisa su actividad.<\/p>\n
Esto se agrava por dos puntos m\u00e1s de la lista de OWASP, que rara vez ocurren solos. Los secretos de larga duraci\u00f3n, es decir, datos de acceso sin fecha de caducidad, mantienen una cuenta hu\u00e9rfana utilizable indefinidamente. Las identidades de m\u00e1quina con privilegios excesivos le otorgan m\u00e1s derechos de los que el servicio original jam\u00e1s necesitar\u00eda. Ambas cosas juntas convierten una cuenta olvidada en una ubicaci\u00f3n c\u00f3moda para el movimiento lateral, es decir, el movimiento lateral de un sistema comprometido a otro.<\/p>\n
La diferencia con la identidad humana es fundamental, y explica por qu\u00e9 las rutinas de Offboarding probadas no funcionan aqu\u00ed.<\/p>\n
\n\n\n
\n \nAspecto<\/th>\n Identidad humana<\/th>\n Identidad de m\u00e1quina<\/th>\n<\/tr>\n<\/thead>\n \n Desencadenante para Offboarding<\/strong><\/td>\n Salida, reportada por RRHH<\/td>\n Cierre del servicio, a menudo no reportado<\/td>\n<\/tr>\n \n Propietario<\/strong><\/td>\n La persona misma m\u00e1s supervisores<\/td>\n A menudo poco claro o hu\u00e9rfano<\/td>\n<\/tr>\n \n Duraci\u00f3n de los datos de acceso<\/strong><\/td>\n Vinculado al empleo<\/td>\n A menudo sin fecha de caducidad<\/td>\n<\/tr>\n \n Visibilidad despu\u00e9s del final<\/strong><\/td>\n Cuenta desactivada, acceso bloqueado<\/td>\n Permanece activo, uso leg\u00edtimo<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n La segunda trampa: cuando las personas usan cuentas de m\u00e1quina<\/h2>\n
Existe una variante del problema que se discute con menos frecuencia y que figura en la lista de OWASP como NHI10: Uso humano de NHI. Se refiere al caso en que un administrador utiliza una cuenta de servicio para una tarea manual porque est\u00e1 disponible y tiene los derechos necesarios. En el momento, esto ahorra tiempo. Despu\u00e9s, el registro de auditor\u00eda est\u00e1 da\u00f1ado, y una cuenta con derechos de m\u00e1quina a menudo amplios queda sin control en manos humanas.<\/p>\n
![\"Foto](\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/06\/post-iav0-hero-5.jpg\")
Cuentas olvidadas abren a los atacantes la puerta a la red sin ser notadas.<\/figcaption><\/figure>\n Una vez que una acci\u00f3n humana se ejecuta bajo una identidad de m\u00e1quina, ya no se puede separar limpiamente qu\u00e9 se hizo de forma automatizada y qu\u00e9 fue desencadenado por una persona. Para la investigaci\u00f3n forense de un incidente, esto es un problema real. Exactamente en el momento en que se necesita una pista clara, las actividades de m\u00e1quina y humanas privilegiadas se mezclan en un solo registro. En entornos h\u00edbridos con cuentas administrativas compartidas, este reflejo es a\u00fan cotidiano, mientras que la supervisi\u00f3n y la regulaci\u00f3n exigen pistas claras.<\/p>\n
Lo que necesita un ciclo de vida de NHI limpio<\/h2>\n
Ninguna de estas lagunas requiere un producto nuevo. Requieren un ciclo de vida que las identidades humanas ya tienen. Tres componentes b\u00e1sicos aportan la mayor parte.<\/p>\n
El primero es un inventario. No se puede apagar nada que no se conozca, y en la mayor\u00eda de las organizaciones no hay una lista completa de las identidades de m\u00e1quinas activas. El segundo es la propiedad. Cada identidad de m\u00e1quina necesita una persona o equipo responsable, de lo contrario, el problema b\u00e1sico se repite en cada apagado. El tercero es la vinculaci\u00f3n al ciclo de vida del servicio. Si se retira un servicio, su identidad debe desactivarse en el mismo paso, no en uno posterior que nunca llega.<\/p>\n
La presi\u00f3n sobre este tema crece porque el n\u00famero de identidades de m\u00e1quinas con agentes de IA y pipelines automatizados aumenta m\u00e1s r\u00e1pido que cualquier rutina de Offboarding manual. Quien establece el ciclo de vida solo cuando las cuentas ya son inmanejables, debe limpiar primero lo que ya es un crecimiento descontrolado. Empezar ahora es mucho m\u00e1s barato que m\u00e1s tarde.<\/p>\n
Preguntas frecuentes<\/h2>\n
\u00bfQu\u00e9 es una identidad de m\u00e1quina?<\/h3>\n
Una identidad de m\u00e1quina, a menudo denominada como Identidad No Humana, es todo aquello con lo que un sistema se autentica en lugar de un humano: cuentas de servicio, claves de API, tokens, certificados o la identidad de una carga de trabajo en la nube. Permite que los servicios se comuniquen entre s\u00ed y con recursos.<\/p>\n
\u00bfQu\u00e9 significa Offboarding inadecuado en identidades de m\u00e1quina?<\/h3>\n
El Offboarding inadecuado describe la desactivaci\u00f3n o eliminaci\u00f3n insuficiente de una identidad de m\u00e1quina cuando ya no se necesita. OWASP lo incluye en el Top 10 de Identidades No Humanas de 2025 como riesgo NHI1, es decir, en primer lugar.<\/p>\n
\u00bfPor qu\u00e9 son tan peligrosas las cuentas de servicio hu\u00e9rfanas?<\/h3>\n
Son identidades v\u00e1lidas con derechos v\u00e1lidos que nadie supervisa. Un atacante que se hace con una de estas cuentas se mueve por la red sin activar una alarma, porque la actividad parece leg\u00edtima. Esto hace que las cuentas hu\u00e9rfanas sean un camino preferido para el Movimiento Lateral.<\/p>\n
\u00bfC\u00f3mo encuentro identidades de m\u00e1quina hu\u00e9rfanas?<\/h3>\n
El primer paso es un inventario de todas las identidades de m\u00e1quina activas con su servicio y propietario correspondientes. Las identidades sin un servicio activo reconocible o sin propietario son los primeros candidatos para una verificaci\u00f3n y desactivaci\u00f3n.<\/p>\n
\u00bfQu\u00e9 tiene que ver la IA con el problema?<\/h3>\n
Los agentes de IA y las pipelines automatizados generan nuevas identidades de m\u00e1quina a un ritmo elevado. Esto hace que el n\u00famero de cuentas crezca m\u00e1s r\u00e1pido que los procesos de Offboarding manuales puedan seguir, y el punto ciego se agranda si no se establece un ciclo de vida.<\/p>\n
Consejos de lectura de la redacci\u00f3n<\/h3>\n
- OWASP lo pone en primer lugar:<\/strong> En las Non-Human Identities Top 10<\/i> se encuentra Improper Offboarding<\/i> como riesgo NHI1. Las identidades hu\u00e9rfanas son en la pr\u00e1ctica un camino preferido para el movimiento lateral.<\/li>\n