El problema: la identidad residual
A medida que las organizaciones crecen y evolucionan, los empleados, contratistas, servicios y sistemas van y vienen, pero a menudo esas cuentas permanecen. Estas cuentas abandonadas o “huérfanas” permanecen inactivas en aplicaciones, plataformas, activos y consolas en la nube.
Persisten no por abandono sino por fragmentación.
Los sistemas IAM e IGA tradicionales están diseñados principalmente para usuarios humanos y dependen de la incorporación e integración manual de cada aplicación, como conectores, mapeo de esquemas, catálogos de derechos y modelos de roles. Muchas aplicaciones no llegan tan lejos. Por otro lado, las identidades no humanas (NHI) (cuentas de servicio, bots, API y procesos de inteligencia artificial de agentes) no se administran de forma nativa, operan fuera de los marcos de IAM estándar y, a menudo, no tienen propiedad, visibilidad ni control del ciclo de vida.
¿resultado? Una capa oscura de identidad no rastreada que forma parte de la materia oscura de una identidad más amplia. Cuentas que son invisibles para la gobernanza pero que aún están activas dentro de la infraestructura.
¿Por qué no me rastrean?
Cuello de botella de integración: cada aplicación requiere una configuración única para ser administrada por IAM. Rara vez se prefieren los sistemas locales no administrados. Visibilidad parcial: las herramientas de IAM solo muestran una porción de identidad «administrada», dejando atrás las cuentas de administrador local, las identidades de servicio y los sistemas heredados. Propiedad compleja: la rotación, las fusiones y los equipos distribuidos no dejan claro quién posee qué aplicaciones y cuentas. Agentes de IA y automatización: Agent-AI introduce una nueva categoría de identidades semiautónomas que operan independientemente de los operadores humanos, rompiendo aún más con el modelo IAM.
Obtenga más información sobre los atajos de IAM y sus implicaciones.
riesgos del mundo real
Las cuentas huérfanas son una puerta trasera corporativa desbloqueada.
Tienen credenciales válidas y, a menudo, privilegios elevados, pero no tienen un propietario activo. Los atacantes lo saben y se aprovechan de ello.
Colonial Pipeline (2021): los atacantes obtuvieron acceso a través de cuentas VPN antiguas/inactivas sin MFA. Múltiples fuentes corroboran detalles de cuentas «inactivas/heredadas». Fabricante, víctima de Akira Ransomware (2025): la infracción se produjo a través de una cuenta de proveedor externo «fantasma» que no estaba desactivada (es decir, cuenta huérfana/de proveedor). SOC escribe desde Barracuda Managed XDR. Situaciones de fusiones y adquisiciones: durante la integración posterior a la adquisición, es común que se descubran miles de cuentas/tokens obsoletos. Las empresas señalan las identidades huérfanas (a menudo NHI) como una amenaza persistente después de las fusiones y adquisiciones debido a la altísima proporción de tokens de ex empleados que permanecen activos.
Las cuentas huérfanas plantean múltiples riesgos.
Riesgo de cumplimiento: viola los requisitos de privilegio mínimo y de desaprovisionamiento (ISO 27001, NIS2, PCI DSS, FedRAMP). Ineficiencias operativas: mayor número de licencias y gastos generales de auditoría innecesarios. Retrasos en la respuesta a incidentes: las cuentas invisibles ralentizan la investigación forense y la remediación.
Dirección futura: auditoría de identidad continua
Las empresas necesitan pruebas, no suposiciones. La eliminación de cuentas huérfanas requiere una observabilidad completa de la identidad, la capacidad de ver y verificar todas las cuentas, permisos y actividades, administradas o no administradas.
Las últimas mitigaciones incluyen:
Colección de telemetría de identidad: extraiga señales de actividad directamente de aplicaciones administradas y no administradas. Seguimiento de auditoría unificado: correlacione eventos de entrada/mover/abandonar, registros de autenticación y datos de uso para confirmar la propiedad y la legitimidad. Mapeo de contexto de roles: archive información de uso real y contexto de privilegios en perfiles de identidad para mostrar quién los usó, cuándo y por qué. Aplicación continua: marque o retire automáticamente la actividad y las cuentas sin propietario para reducir el riesgo sin esperar la revisión manual.
Cuando esta telemetría alimenta una capa de auditoría de identidad central, cierra las brechas de visibilidad y transforma cuentas huérfanas de pasivos ocultos a entidades administradas y mensurables.
Para obtener más información, consulte Guía de auditoría: Informe de inventario continuo de aplicaciones.
perspectiva de la orquídea
Las capacidades de auditoría de identidad de Orchid proporcionan esta base. La telemetría a nivel de aplicación combinada con la recopilación de auditorías automatizadas proporciona información continua y verificable sobre cómo se utilizan realmente las identidades de IA humanas, no humanas y de agentes.
Este no es otro sistema IAM. Es el tejido conectivo el que garantiza que las decisiones de IAM se basen en evidencia y no en presunciones.
Nota: Este artículo fue escrito y contribuido por Roy Katmor, director ejecutivo de Orchid Security.
Source link
