La gestión deficiente de las de identidades no humanas (NHIs, Non-Human Identities, en su denominación en inglés) se han convertido en uno de los vectores principales de los ataques relacionados con la identidad, según se recoge en el informe “State of identity security 2026” de Sophos, elaborado mediante consultas a 5.000 responsables de TI y ciberseguridad en 17 países (incluido España).
El informe señala que el 70 % de las organizaciones españolas ha sufrido una brecha relacionada con la identidad en el último año, un porcentaje similar a la media mundial que se sitúa en el 71 %; aunque señala que las organizaciones han registrado de media tres incidentes distintos.
A nivel global, el 5 % de los encuestados afirmó haber sufrido seis o más brechas y, además, el 67 % de los que han sufrido un ataque de ransomware confirmaron que el incidente tuvo su origen en un ataque de identidad.
En el 43 % de los incidentes fue causando por un error humano y el 41 % por una gestión deficiente de las NHIs, que incluye claves API almacenadas en el código, credenciales estáticas y cuentas de servicio huérfanas.
El problema de la gestión de NHIs es grave porque los agentes de IA pueden crear de forma autónoma subagentes, cada uno de los cuales genera nuevas credenciales con un acceso amplio y persistente y una supervisión humana inconsistente. Los marcos de identidad existentes no se diseñaron para esto, y las organizaciones ya van con retraso: sólo 1 de cada 3 organizaciones rota o audita regularmente las cuentas de servicio y las identidades no humanas, mientras únicamente el 11% lo hacen manera continua.
Las organizaciones con una gestión deficiente de las NHIs también tienen un 22 % más de probabilidades de sufrir robos financieros, y pagan aproximadamente 150.000 dólares más de lo habitual en la recuperación.
El estudio pone de manifiesto que estas brechas tienen un elevado coste financiero. El coste medio de recuperación a escala global alcanzó los 1,64 millones de dólares, con una media de 750.000 dólares, y el 73 % de los afectados se enfrentó a costes de 250.000 dólares o más.
Ante esta situación, Ross McKerchar, CISO de Sophos, comentó que “el problema de las identidades no humanas es especialmente urgente. Los agentes de IA reciben privilegios más rápido de lo que los equipos de seguridad pueden controlar, y las organizaciones que no se adelanten a esta realidad pagarán un precio cada vez más alto”.
Sophos para reducir la exposición a ataques relacionados con la identidad recomienda a las organizaciones deben implementar un enfoque multicapa que cubra tanto las identidades humanas como las no humanas. Los pasos esenciales incluyen adoptar la autenticación multi-factor (MFA) en todas las cuentas de usuario, aplicar el principio de mínimo privilegio y desactivar o eliminar las identidades inactivas.
