Colaborador Invitado

La gestión de identidades no humanas en entornos digitales

Hoy, las identidades no humanas, incluyendo cuentas de servicio, máquinas, dispositivos móviles, aplicaciones, bots y agentes de IA, se han convertido en uno de los principales desafíos de la ciberseguridad.

La evolución acelerada de la inteligencia artificial (IA), la automatización y el uso simultáneo de múltiples plataformas de nube están redefiniendo un concepto clave dentro de las organizaciones: la identidad digital. Ya no se trata únicamente de usuarios humanos; hoy, las identidades no humanas, incluyendo cuentas de servicio, máquinas, dispositivos móviles, aplicaciones, bots y agentes de IA, se han convertido en uno de los principales desafíos de la ciberseguridad, tanto por su volumen como por su impacto potencial en la resiliencia operativa y la confianza digital.

De acuerdo con el informe Cybersecurity considerations 2026 de KPMG, estas identidades ya superan ampliamente en número a las identidades humanas. Este crecimiento responde a la creciente adopción de microservicios, la automatización de procesos y las cadenas de suministro digitales interconectadas; sin embargo, su expansión no ha estado acompañada del mismo nivel de control, responsabilidad y visibilidad que tradicionalmente se exige a los usuarios humanos.

La falta de control sobre estas identidades tiene consecuencias medibles, un ejemplo de ello es que 59% de las organizaciones reportaron brechas de datos vinculadas a terceros en los últimos 12 meses, lo que evidencia la relación directa entre una gestión deficiente de accesos no humanos y la exposición cibernética. Muchas de estas identidades operan con privilegios excesivos, accesos de larga duración y una supervisión limitada, lo que las convierte en puntos de ataque atractivos y difíciles de detectar.

Este desafío se intensifica con la incorporación de agentes de IA capaces de actuar de manera autónoma. A diferencia de las identidades tradicionales, estos agentes pueden generar código, acceder a grandes volúmenes de datos, tomar decisiones contextuales e incluso crear otras identidades temporales para cumplir tareas específicas. En este contexto, 92% de las y los ejecutivos de tecnología consideran que la gestión de agentes de IA será una competencia crítica en los próximos cinco años, lo que subraya la dimensión estratégica de este reto.

Frente a este escenario, el papel del CISO (Chief Information Security Officer) adquiere un carácter central. La gestión de identidades humanas y no humanas debe consolidarse como un eje transversal de la seguridad digital, obligando a integrar la ciberseguridad en la toma de decisiones empresariales. Esto implica no solo la implementación de controles técnicos, sino también el fortalecimiento de funciones de gobernanza, gestión de riesgos y comunicación con la Alta Dirección.

Al respecto, 61% de las organizaciones aún desconfían de operar con agentes autónomos sin supervisión humana, lo que obliga al CISO a establecer modelos de control que combinen automatización con una responsabilidad humana claramente definida. En este sentido, eliminar o desactivar una identidad no humana no resuelve el problema, cada una debe contar con un responsable específico, así como con definiciones claras sobre su propósito, permisos y ciclo de vida.

Asimismo, el CISO debe desempeñar un papel clave en la transición hacia modelos de gestión de identidades basados en zero trust, con controles dinámicos y monitoreo continuo; sin embargo, la ausencia de inventarios completos de identidades no humanas limita la detección de comportamientos anómalos, la respuesta oportuna a incidentes y el cumplimiento regulatorio.

Como resultado, una de las responsabilidades estratégicas del CISO es impulsar la centralización de la identidad como base de la arquitectura de seguridad y traducir el riesgo cibernético en impacto empresarial. Una gestión inadecuada de identidades no humanas no solo incrementa la probabilidad de incidentes de seguridad, sino que también compromete la continuidad operativa, la confianza de los grupos de interés y el cumplimiento normativo.

En conclusión, la gestión de identidades no humanas representa uno de los retos más críticos de la ciberseguridad actual y ya tiene efectos tangibles en la resiliencia organizacional. Ante este panorama, el liderazgo del CISO resulta indispensable para establecer marcos de gobernanza sólidos que permitan aprovechar los beneficios de la automatización y la IA, sin comprometer el control, la confianza ni la estabilidad del negocio.

Rommel García

Rommel García

Socio de Asesoría en Ciberseguridadde KPMG México

COLUMNAS ANTERIORES

La tecnología detrás del crecimiento económico
Del huizache a la organización

Las expresiones aquí vertidas son responsabilidad de quien firma esta columna de opinión y no necesariamente reflejan la postura editorial de El Financiero.