Barracuda full logo

¿Qué es una identidad no humana?

Temas:
14 abr 2025
|
Paul Dughi

Las identidades de máquina o programáticas, como servicios, aplicaciones, scripts, bots y otros agentes automatizados, operan tras bambalinas para automatizar los flujos de trabajo. En otras palabras, las máquinas y los sistemas se comunican con otras máquinas sin intervención humana.

Estas identidades no humanas (NHIs) se autentican automáticamente mediante claves de API, tokens o certificados. Están diseñados para automatizar y agilizar los flujos de trabajo, pero abren la puerta a riesgos potenciales. Si uno de estos sistemas o máquinas se ve comprometido, puede tener un efecto en cadena en otros sistemas.

Identidades comunes no humanas

Aunque la lista es extensa, los tipos más comunes de NHIs incluyen:

  • Cuentas de servicio: cuentas con fines especiales utilizadas por aplicaciones o scripts para acceder a sistemas o recursos sin intervención humana
  • Claves de API: tokens utilizados para autenticar aplicaciones o servicios al llamar a las API, a menudo codificados o mal gestionados
  • Clientes/bearer tokens de OAuth: credenciales utilizadas por las aplicaciones para obtener tokens de acceso e interactuar con otros sistemas bajo autoridad delegada
  • Certificados y claves privadas: credenciales criptográficas empleadas para verificar y asegurar la comunicación entre máquinas o servicios
  • Identidades de dispositivos IoT: credenciales únicas asignadas a dispositivos conectados para autenticarse e interactuar con servicios o redes en la nube
  • Bots de automatización robótica de procesos (RPA): bots de software que realizan tareas repetitivas y requieren acceso a aplicaciones o datos mediante credenciales almacenadas
  • Identidades de contenedores o pods: Identidades de máquina asignadas a contenedores o pods (por ejemplo, en Kubernetes) para acceder de forma segura a otros recursos nativos de la nube

La explosión de las NHIs en los últimos años es significativa. En la mayoría de los sistemas, el número de identidades no humanas supera al de usuarios humanos. Por ejemplo, los secretos NHI, como las cuentas de servicio en Kubernetes, superan en número a las identidades humanas en una proporción de 45:1 en entornos de DevOps. Muchos de estos secretos quedan expuestos y permanecen así. Un estudio de GitGuardian mostró que el 70 % de los secretos detectados en repositorios públicos en 2022 siguen activos hoy en día.

Los problemas potenciales parecen ser aún más agudos con la adopción de IA para el desarrollo de código. Aunque esto puede mejorar la producción de código, las credenciales a menudo se exponen de formas que no suelen ocurrir con las prácticas de desarrollo tradicionales.

Los 10 principales riesgos de OWASP NHI

Debido a la prevalencia de las identidades no humanas, OWASP lanzó una lista exhaustiva de los riesgos y vulnerabilidades de seguridad más urgentes derivados del uso de NHI. Los 10 principales riesgos de identidades no humanas de OWASP – 2025 incluyen posibles vulnerabilidades para ayudar a los desarrolladores a gestionar y proteger mejor los recursos.

1. Desincorporación inadecuada

No desactivar o eliminar las identidades no humanas, como las cuentas de servicio o las claves de acceso, una vez que ya no son necesarias, puede dejar los sistemas expuestos. Estas credenciales inactivas pueden ser secuestradas por atacantes para obtener acceso no autorizado a entornos sensibles.

2. Fuga de secretos

Las credenciales sensibles, como las claves de API, los tokens o los certificados, pueden almacenarse accidentalmente en lugares no protegidos, como el código, los archivos de configuración o las herramientas de chat. Si estos secretos se filtran, los atacantes pueden utilizarlos para suplantar servicios o acceder a sistemas restringidos.

3. NHIs de terceros vulnerables

Muchas herramientas de desarrollo y servicios en la nube dependen de componentes de terceros que introducen identidades no humanas en su ecosistema. Si un servicio o complemento de terceros se ve comprometido, podría dar lugar al robo o uso indebido de credenciales y permisos.

4. Autenticación insegura

Las identidades no humanas a menudo dependen de métodos de autenticación obsoletos o débiles para conectar servicios y sistemas. El uso de protocolos obsoletos o una mala higiene de autenticación puede facilitar que los atacantes suplanten componentes de confianza.

5. NHIs sobreprivilegiadas

A veces, a las identidades no humanas se les otorga más acceso del necesario, solo por conveniencia. Si una de estas identidades se ve comprometida, los atacantes pueden explotar los permisos excesivos para moverse lateralmente o escalar sus ataques.

6. Configuraciones inseguras de implementación en la nube

Las herramientas de CI/CD basado en la nube suelen requerir credenciales para desplegar software, pero las configuraciones incorrectas, como almacenar credenciales en texto plano, pueden exponer esos secretos. Si los atacantes obtienen acceso a estas credenciales, podrían tomar el control de los entornos de producción.

7. Secretos de larga vida

Los secretos que nunca caducan o que son válidos durante períodos prolongados son especialmente peligrosos si se ven comprometidos. Un atacante con acceso a un secreto de larga duración podría explotarlo durante meses o años sin ser detectado.

8. Falta de aislamiento del entorno

La reutilización de las mismas identidades no humanas en diferentes entornos (p. ej., desarrollo, ensayo, producción) incrementa el riesgo. Un compromiso en un entorno de menor riesgo podría llevar a un acceso no autorizado a sistemas críticos si no se aplican límites de identidad.

9. Reutilización de NHI en los distintos sistemas

Utilizar la misma identidad no humana para múltiples sistemas o servicios puede parecer eficiente, pero crea un único punto de fallo. Si se vulnera un sistema, todos los demás sistemas que utilizan la misma identidad también pueden quedar expuestos.

10. Uso indebido de las NHIs por parte de los seres humanos

A veces, los desarrolladores utilizan identidades no humanas para acceder manualmente a los sistemas, eludiendo los controles diseñados para los usuarios humanos. Esta práctica dificulta el rastreo de la actividad y elimina la responsabilidad, creando puntos ciegos en la supervisión de la seguridad.

Ataques del mundo real

Dada la magnitud significativa de la superficie de amenaza del NHI, no es sorprendente que actores malintencionados y estados nacionales exploten las brechas de seguridad. Pueden ser especialmente difíciles de detectar porque los NHIs que interactúan con los sistemas tienen autenticación incorporada para eludir la detección de amenazas.

Aquí hay algunas violaciones recientes que se han rastreado hasta problemas de identidad no humanos.

GitHub Actions

Un ataque a la cadena de suministro en GitHub Actions provocó una exposición generalizada de credenciales. Los atacantes comprometieron la cuenta privilegiada de un mantenedor, lo que les permitió modificar las etiquetas de los paquetes y redirigir a los usuarios a una carga maliciosa que extraía secretos de los miembros del servidor mediante flujos de trabajo de CI/CD accesibles públicamente.

Tesoro de EE. UU.

El Departamento del Tesoro de EE. UU. sufrió una grave brecha de seguridad cuando hackers patrocinados por el estado chino explotaron una clave API comprometida de BeyondTrust, un proveedor externo de ciberseguridad, para acceder a las estaciones de trabajo de los empleados y a documentos no clasificados.

AWS

Más de 230 millones de entornos en la nube fueron comprometidos al explotar credenciales de AWS almacenadas de manera insegura. Se expusieron las claves de AWS, los tokens de API y las contraseñas de las bases de datos, que los atacantes utilizaron para escalar privilegios.

The New York Times

La brecha de GitHub de The New York Times en enero de 2024 ocurrió cuando los atacantes explotaron un token de GitHub expuesto, lo que les permitió robar 270 GB de código fuente interno y documentación de TI, que posteriormente se filtró en 4chan.

Snowflake

Los datos confidenciales de más de 165 empresas se expusieron mediante credenciales no seguras que carecían de autenticación multifactorial (MFA) y rotación de credenciales. Se utilizaron claves de credenciales robadas para acceder a las cuentas de Snowflake sin intervención humana.

Dropbox

Los atacantes abusaron de una cuenta de servicio, aprovechando las claves de API y los tokens de OAuth para violar el entorno de producción de Dropbox Sign. Los datos de los clientes, los nombres de usuario y las contraseñas cifradas quedaron expuestos.

Asegurando su entorno

En casi todos los casos, las infracciones del NHI son el resultado de que los usuarios no aseguran adecuadamente los secretos, las credenciales o los entornos. El ataque de identidad no humana más común resulta de un error humano, lo que destaca la necesidad crítica de implementar medidas de seguridad para proteger la información sensible, sin importar dónde esté almacenada o en qué forma se encuentre.

Suscríbase al blog de Barracuda
Paul Dughi

Paul Dughi es un periodista digital y veterano de la industria de los medios. Se desempeñó como VP/Tecnología para un grupo de estaciones de televisión y también como Presidente de seis estaciones de televisión propias y operadas en California. Actualmente trabaja como CEO en StrongerContent.com.

Publicaciones relacionadas:
Navegación por el ciclo de lanzamiento de la API
Navegación por el ciclo de lanzamiento de la API
 Por qué las API zombis son una bomba de tiempo para su negocio
Por qué las API zombis son una bomba de tiempo para su negocio
 Protección contra bots de rastreo de IA generativa: El poder de Barracuda Advanced Bot Protection
Protección contra bots de rastreo de IA generativa: El poder de Barracuda Advanced Bot Protection
 Threat Spotlight: Bad bots are evolving to become more 'human'
Threat Spotlight: Bad bots are evolving to become more 'human'
Search the blog

Subscribe to the Barracuda Blog.

Sign up to receive threat spotlights, industry commentary, and more.

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.