Durante décadas, la ciberseguridad ha girado en torno a un único objetivo: proteger a las personas. Contraseñas, autenticación multifactor, formación en concienciación, simulacros de phishing... todo se diseñó pensando en el factor humano. Sin embargo, en los últimos años se ha producido un cambio silencioso pero profundo. Las máquinas —cuentas de servicio, tokens OAuth, claves API, agentes autónomos— se han convertido en los usuarios mayoritarios de las infraestructuras empresariales. Y, mientras tanto, apenas se ha construido nada para protegerlas.
El incidente ocurrido en agosto de 2025 con la plataforma Drift, propiedad de Salesloft, ilustra perfectamente esta nueva realidad. Un grupo de atacantes logró acceder a los entornos Salesforce de más de 700 organizaciones no mediante el engaño a un empleado, sino robando tokens OAuth que permiten a unas aplicaciones comunicarse con otras sin intervención humana. Empresas como Cloudflare, Google, Palo Alto Networks o Proofpoint, todas ellas referentes en ciberseguridad, fueron víctimas. Durante diez días, los atacantes extrajeron credenciales de soporte técnico: claves de AWS, tokens de Snowflake, secretos de VPN. No atacaron a personas; atacaron a una máquina.
Este fenómeno, que algunos denominan \'gravedad de la identidad\', describe cómo el centro de gravedad de la seguridad empresarial se está desplazando de los humanos hacia las identidades no humanas. Las estadísticas son contundentes. Según estudios recientes, por cada identidad humana en una organización existen entre 80 y 144 identidades de máquina. En entornos cloud-native, la proporción puede alcanzar 40.000 a 1. Y lo más preocupante: la mayoría de estas identidades carecen de controles básicos, como rotación de credenciales, registros de auditoría o propietarios asignados.
La industria de la ciberseguridad no ha estado preparada para este cambio. Los marcos de cumplimiento, los presupuestos y las métricas de reporting se han centrado históricamente en los humanos. Un CISO puede informar con precisión del porcentaje de adopción de MFA entre empleados, pero rara vez sabe cuántas cuentas de servicio tiene su organización, quién las creó o qué permisos poseen. Esta ceguera estructural es la que ha permitido que incidentes como el de Salesloft, el compromiso de Snowflake en 2024 o la vulneración de la acción de GitHub tj-actions se repitan una y otra vez.
La llegada de los agentes de IA ha acelerado aún más el problema. Estos agentes autónomos, capaces de encadenar herramientas, solicitar permisos en tiempo de ejecución y actuar en nombre de un objetivo, multiplican la superficie de ataque. Si una cuenta de servicio tradicional realiza una tarea fija, un agente de IA puede moverse lateralmente, invocar a otros agentes y acceder a sistemas que nunca fueron diseñados para ser alcanzados por una máquina con ese nivel de autonomía. El marco de seguridad OWASP para agentes autónomos, publicado a finales de 2025, ya identifica categorías como el secuestro de objetivos del agente o el abuso de privilegios de identidad.
¿Qué pueden hacer las organizaciones para adaptarse? La respuesta no pasa por reinventar la seguridad de la identidad, sino por aplicar de forma rigurosa principios que ya conocemos pero que rara vez se han extendido a las máquinas: inventario completo, credenciales efímeras y con alcance limitado, revisión de permisos basada en el radio de explosión real del agente, y caza programada de identidades zombies. Es necesario que los consejos de administración empiecen a preguntar no solo por el porcentaje de clics en phishing, sino por el número de cuentas de servicio sin propietario y la antigüedad de los tokens no rotados.
En este nuevo escenario, contar con un socio tecnológico que entienda la complejidad de la identidad machine-to-machine resulta crítico. En Q2BSTUDIO, como empresa de desarrollo de software y tecnología, ofrecemos soluciones que abordan precisamente estos desafíos. Por ejemplo, desarrollamos aplicaciones a medida que integran mecanismos de autenticación y autorización robustos tanto para usuarios humanos como para servicios automatizados. Nuestro equipo de ciberseguridad y pentesting ayuda a identificar credenciales expuestas, tokens mal configurados y brechas en la gestión de identidades no humanas, realizando auditorías profundas que van más allá de los tests tradicionales.
Además, acompañamos a las empresas en su transformación hacia entornos cloud seguros mediante servicios cloud AWS y Azure, donde implementamos políticas de acceso just-in-time, rotación automática de secretos y monitorización continua de identidades de máquina. En el ámbito de la inteligencia artificial, ofrecemos IA para empresas que incluye la creación de agentes IA con controles de privilegio granular, así como dashboards de Power BI para visualizar el estado de la identidad no humana en tiempo real. También desarrollamos automatización de procesos que respeta el principio de mínimo privilegio.
La era de la identidad de las máquinas ya ha comenzado. Las organizaciones que tomen conciencia de este cambio y actúen de forma proactiva —inventariando, gobernando y protegiendo cada credencial, humana o no— serán las que eviten ser el próximo titular de una brecha masiva. El resto, como demuestran los datos, seguirá confiando en un modelo de seguridad que ya no se corresponde con la realidad de sus infraestructuras.

.jpg)
.jpg)
.jpg)

.jpg)