Dentro de poco, echaremos en falta aquellos tiempos felices en los que las ciberamenazas sobre nuestras organizaciones provenían bien de usuarios humanos, bien de máquinas identificables. El workshop más multitudinario de la reciente Identiverse 2025, celebrada en Las Vegas, tenía como temática “comprender y abordar los riesgos emergentes de las identidades no humanas (NHIs)”.
Aunque para algunos el verdadero tsunami es incluso peor, lo traen los agentes de inteligencia artificial (IA) que estamos extendiendo por todas las organizaciones a un ritmo febril. Chandra Gnanasambandam, de SailPoint, ha escrito que “no se comportan como humanos. No se comportan como máquinas”. Son algo “completamente nuevo”, y ese es precisamente el problema.
Mientras las identidades humanas se integran a través de una amplia variedad de sistemas de identificación y las máquinas siguen reglas estructuradas y predecibles, “los agentes de IA operan con inteligencia humana a la velocidad de una máquina”. Millones de decisiones cada hora, sin supervisión humana. Imposible.
¿Cómo garantizar que los agentes de IA están sujetos a los mismos derechos y deberes que los humanos a los que representan y que éstos no tienen acceso a más datos que los autorizados gracias a ellos? Esa va a ser una de las grandes cuestiones a partir de ahora. Los bots que ejecutaban acciones automáticas se pasan a la autonomía y saltan así a una dimensión desconocida.
Gnanasambandam cree que la solución es redefinir la gobernanza de ese ámbito tecnológico sobre el que va a tener que pivotar toda la nueva economía: la identidad. “Para empezar”, sentencia, “habrá que tratar a los agentes de IA como identidades de primera clase”.
La identidad no está resuelta ni siquiera del lado humano. El Banco Mundial da por cierto que 850 millones de personas en todo el mundo carecen de documento de identidad, aunque algunas fuentes elevan la cifra a 1.100 millones. El ODS 16.9 de la ONU propone combatir esta brecha, aunque puede ser un arma de doble filo. El fundador de Prepared International y asesor de la ONU para desastres naturales, Albrecht Beck, me comenta que “muchos migrantes son reacios a compartir sus identidades por el camino, debido las experiencias negativas que han vivido y al peligro de uso indebido de sus datos”.
La app más popular en Arabia Saudí es Nafath, con más de 17,2 millones de descargas, lo que significa que el 75% de la población adulta del país la ha activado. Escuché a Hotham Altwaijry, de la Saudi Data and Artificial Intelligence Authority (SDAIA), explicar en el Gartner IT/Symposium de Barcelona que su solución permite “convertir el móvil en una tarjeta de identificación de bolsillo”.
La Unión Europea quiere extender al 100% de los ciudadanos la identidad digital en 2030 y eso está impulsando las soluciones de autenticación adaptativa. Se podrá personalizar la experiencia de compra, por ejemplo, según el perfil de riesgo del cliente. Los proveedores de billeteras móviles han iniciado la batalla para generar confianza en los usuarios y atraer a las empresas que tratan con ellos, desde las de retail a la banca o las energéticas. La IA se encargará de analizar el comportamiento del cliente en tiempo real.
Sin tener atada del todo la cuestión de la identidad humana, por tanto, nos llegan dos monstruos realmente poderosos que obligarán a evolucionar la arquitectura de los sistemas de identidad. Uno de los ponentes estrella del workshop sobre las identidades no humanas de Identiverse 2025 es Lalit Choda, fundador de NHI Mgmt Group. Lleva ya tiempo analizando el fenómeno junto a otros colegas. En febrero pasado, celebraron en Nueva York la primera Conferencia dedicada al asunto, creen que el tema va en serio.
Según sus investigaciones, en la mayoría de los incidentes cibernéticos más importantes se utilizan credenciales de identidad no humanas. Suelen pasar inadvertidas, quizás sean cuentas inactivas, pero disponen de privilegios elevados que les permiten acceder a sistemas y datos si se manipulan adecuadamente. En su top15 de los últimos años aparecen desde la filtración de BeyondTrust, que provocó un grave incidente al Departamento del Tesoro de EEUU, al secuestro de modelos LLM (los que sirven de base a la IA generativa) o la filtración de datos de 31 millones de cuentas de usuario de Internet Archive.
También se atribuye al uso de NHI la entrada de IntelBroker en Cisco, la filtración de información de The New York Times o la vulneración de seguridad de Snowflake que puso en riesgo los datos de organizaciones como Ticketmaster y el Banco Santander. Incluso el grupo estatal ruso Midnight Blizzard (también conocido como Nobelium o APT29) habría conseguido atacar a Microsoft a través de una cuenta de inquilino de prueba heredada, no productiva, que carecía de autenticación multifactor (MFA).
Lalit Chodadice que reguladores de todo el mundo se han visto obligados a plantearse ya el despliegue de puntos de auditoría en numerosas instituciones financieras por los riesgos de identidad no humanos. Es probable que tengan muchas contraseñas sin reciclar y un porcentaje considerable de cuentas antiguas o inactivas, lo que aumenta la superficie de riesgo.
Gestionar las NHI es muy difícil. Los expertos que se han sumado a Choda sostienen que el número de identidades no humanas presentes en el tejido informático de una gran organización podría multiplicar por 25 o incluso por 50 al de identidades humanas. “He trabajado con más de 500.000 NHI como parte de la gestión de algunos programas globales dentro de la industria financiera”, dice el fundador del grupo.
Habría claves API (son puentes para que diferentes programas informáticos se comuniquen entre sí) para AWS, Microsoft Azure, MongoDB, GitHub, DockerHub y GCP a la venta a partir de 100 dólares, afirma Choda. Solo 1,5 de cada 10 organizaciones confían plenamente en su capacidad para proteger las NHI, en comparación con casi una de cada cuatro en lo que respecta a la protección de las identidades humanas, según un informe de CSA y Astrix Security.
El responsable de IAM (gestión de identidades y acceso) de Walt Disney, Sean O’Dell, fue otro de los ponentes destacados de Identiverse. No debe sorprendernos. Las fronteras digitales de las empresas y los estados son el verdadero y preocupante coladero, por mucho interés que sigan atrayendo las físicas en los telediarios. Quid prodest!