La era de la identidad de las máquinas ya comenzó

La ciberseguridad se centró en humanos, pero las máquinas ya son los principales usuarios. Descubre cómo las identidades no humanas son el nuevo vector de

29 jun 2026 • 4 min read • Q2BSTUDIO Team

Identidades no humanas: el nuevo frente de ataque

Durante décadas, la ciberseguridad ha girado en torno a un único objetivo: proteger a las personas. Contraseñas, autenticación multifactor, formación en concienciación, simulacros de phishing... todo se diseñó pensando en el factor humano. Sin embargo, en los últimos años se ha producido un cambio silencioso pero profundo. Las máquinas —cuentas de servicio, tokens OAuth, claves API, agentes autónomos— se han convertido en los usuarios mayoritarios de las infraestructuras empresariales. Y, mientras tanto, apenas se ha construido nada para protegerlas.

El incidente ocurrido en agosto de 2025 con la plataforma Drift, propiedad de Salesloft, ilustra perfectamente esta nueva realidad. Un grupo de atacantes logró acceder a los entornos Salesforce de más de 700 organizaciones no mediante el engaño a un empleado, sino robando tokens OAuth que permiten a unas aplicaciones comunicarse con otras sin intervención humana. Empresas como Cloudflare, Google, Palo Alto Networks o Proofpoint, todas ellas referentes en ciberseguridad, fueron víctimas. Durante diez días, los atacantes extrajeron credenciales de soporte técnico: claves de AWS, tokens de Snowflake, secretos de VPN. No atacaron a personas; atacaron a una máquina.

Este fenómeno, que algunos denominan \'gravedad de la identidad\', describe cómo el centro de gravedad de la seguridad empresarial se está desplazando de los humanos hacia las identidades no humanas. Las estadísticas son contundentes. Según estudios recientes, por cada identidad humana en una organización existen entre 80 y 144 identidades de máquina. En entornos cloud-native, la proporción puede alcanzar 40.000 a 1. Y lo más preocupante: la mayoría de estas identidades carecen de controles básicos, como rotación de credenciales, registros de auditoría o propietarios asignados.

La industria de la ciberseguridad no ha estado preparada para este cambio. Los marcos de cumplimiento, los presupuestos y las métricas de reporting se han centrado históricamente en los humanos. Un CISO puede informar con precisión del porcentaje de adopción de MFA entre empleados, pero rara vez sabe cuántas cuentas de servicio tiene su organización, quién las creó o qué permisos poseen. Esta ceguera estructural es la que ha permitido que incidentes como el de Salesloft, el compromiso de Snowflake en 2024 o la vulneración de la acción de GitHub tj-actions se repitan una y otra vez.

La llegada de los agentes de IA ha acelerado aún más el problema. Estos agentes autónomos, capaces de encadenar herramientas, solicitar permisos en tiempo de ejecución y actuar en nombre de un objetivo, multiplican la superficie de ataque. Si una cuenta de servicio tradicional realiza una tarea fija, un agente de IA puede moverse lateralmente, invocar a otros agentes y acceder a sistemas que nunca fueron diseñados para ser alcanzados por una máquina con ese nivel de autonomía. El marco de seguridad OWASP para agentes autónomos, publicado a finales de 2025, ya identifica categorías como el secuestro de objetivos del agente o el abuso de privilegios de identidad.

¿Qué pueden hacer las organizaciones para adaptarse? La respuesta no pasa por reinventar la seguridad de la identidad, sino por aplicar de forma rigurosa principios que ya conocemos pero que rara vez se han extendido a las máquinas: inventario completo, credenciales efímeras y con alcance limitado, revisión de permisos basada en el radio de explosión real del agente, y caza programada de identidades zombies. Es necesario que los consejos de administración empiecen a preguntar no solo por el porcentaje de clics en phishing, sino por el número de cuentas de servicio sin propietario y la antigüedad de los tokens no rotados.

En este nuevo escenario, contar con un socio tecnológico que entienda la complejidad de la identidad machine-to-machine resulta crítico. En Q2BSTUDIO, como empresa de desarrollo de software y tecnología, ofrecemos soluciones que abordan precisamente estos desafíos. Por ejemplo, desarrollamos aplicaciones a medida que integran mecanismos de autenticación y autorización robustos tanto para usuarios humanos como para servicios automatizados. Nuestro equipo de ciberseguridad y pentesting ayuda a identificar credenciales expuestas, tokens mal configurados y brechas en la gestión de identidades no humanas, realizando auditorías profundas que van más allá de los tests tradicionales.

Además, acompañamos a las empresas en su transformación hacia entornos cloud seguros mediante servicios cloud AWS y Azure, donde implementamos políticas de acceso just-in-time, rotación automática de secretos y monitorización continua de identidades de máquina. En el ámbito de la inteligencia artificial, ofrecemos IA para empresas que incluye la creación de agentes IA con controles de privilegio granular, así como dashboards de Power BI para visualizar el estado de la identidad no humana en tiempo real. También desarrollamos automatización de procesos que respeta el principio de mínimo privilegio.

La era de la identidad de las máquinas ya ha comenzado. Las organizaciones que tomen conciencia de este cambio y actúen de forma proactiva —inventariando, gobernando y protegiendo cada credencial, humana o no— serán las que eviten ser el próximo titular de una brecha masiva. El resto, como demuestran los datos, seguirá confiando en un modelo de seguridad que ya no se corresponde con la realidad de sus infraestructuras.

A BREAK?

Play for a moment before you go

OUR SERVICES

How we can help you

Artificial intelligence

AI agents, chatbots, and intelligent assistants that automate tasks and serve your customers 24/7 to improve the efficiency of your business.

More info

Software Development

Web, mobile, and desktop applications, intranets, e-commerce, SaaS, and management platforms designed for your company's specific needs.

More info

Cloud services

Migration, infrastructure, managed hosting, high availability, and security on Microsoft Azure and Amazon Web Services to help your business scale without limits.

More info

Cybersecurity and pentesting

Security audits, penetration testing and protection of applications, data and infrastructure on-premise and cloud, with ethical hacking and regulatory compliance.

More info

Business Intelligence

Dashboards and data analysis with Power BI: we integrate your sources, design dashboards and KPIs and turn your data into decisions.

More info

Process automation

We automate repetitive tasks and connect your applications with n8n, Power Automate, Make, and RPA, eliminating manual work and increasing productivity.

More info

Training for Companies

We train your teams in technology with criteria: web development, databases, Git, best practices and security, automation with n8n, artificial intelligence for companies and creation of AI solutions with Azure AI Foundry.

More info

Code Auditing

We audit the code that you, your team or an AI create: we tell you what is good and what to improve, we secure it and make it ready for production, web or app.

More info

AI Image Generation

We create for you the images that your business needs with artificial intelligence: product, networks, advertising, illustration and avatars. You tell us what you want and we deliver it ready to use.

More info

AI Video Generation

We create videos with artificial intelligence for you: promotional, networking, virtual presenters, dubbing and animations. You tell us the idea and we will deliver it assembled and ready to publish.

More info

AI Conversational Avatars

We create conversational avatars with AI – digital humans with a face and voice – that serve your customers and teams with the knowledge of your company, on your website, interactive monitors, WhatsApp or Teams.

More info

Online Marketing and AI

Google Ads, Meta Ads, LinkedIn Ads and AI Engine Positioning (GEO/AEO): we attract customers and make your brand appear where they search for you, also on ChatGPT, Gemini and Perplexity.

More info

Do you have a project in mind?

Tell us your vision and we'll turn it into a software solution. Whatever the scope, we make your idea real.