En las empresas modernas existe una capa silenciosa y peligrosa que rara vez aparece en los reportes: cuentas que quedaron atrás cuando personas, servicios o sistemas dejaron de formar parte de la organización. Estas identidades abandonadas no siempre son fruto de negligencia, sino del crecimiento acelerado y la fragmentación tecnológica: aplicaciones que nunca se integraron plenamente en los sistemas de gestión de identidades, entornos heredados con cuentas locales y una proliferación de identidades no humanas —como cuentas de servicio, APIs, bots y procesos de IA— que operan fuera del radar de las herramientas tradicionales.
Las cuentas huérfanas son puertas abiertas. Conservan credenciales válidas, a veces con privilegios elevados, y lo más alarmante: sin un propietario claro que pueda cerrarlas o supervisarlas. Ese hueco en la visibilidad es exactamente lo que los atacantes explotan. Casos públicos lo confirman, como el incidente de Colonial Pipeline en 2021, donde una cuenta antigua de acceso remoto sin autenticación multifactor fue el punto de entrada del ataque (informe en DarkReading).
La mecánica detrás del problema no es siempre obvia. Los sistemas clásicos de IAM (gestión de acceso e identidades) y las plataformas de IGA (gobierno de identidades) están pensados sobre todo para usuarios humanos y requieren configuraciones manuales por aplicación: conectores, mapeos de esquemas, catálogos de permisos y modelado de roles. Muchas aplicaciones no pasan por ese proceso; otras nunca se priorizan durante fusiones y adquisiciones. Al mismo tiempo, las llamadas identidades no humanas —a las que la industria también denomina “identidades de máquina”— a menudo carecen de ciclo de vida gestionado, lo que las deja sin controles claros. Microsoft describe la existencia de cuentas de servicio y sus particularidades en su documentación técnica (documentación de Microsoft).
Las consecuencias son múltiples y reales. Más allá del riesgo directo de intrusión, la acumulación de cuentas inactivas o sin dueño aumenta la exposición regulatoria al incumplir principios como el de mínimo privilegio y prácticas de desprovisionamiento que exigen normas como ISO 27001 (ISO), PCI DSS (PCI Security Standards) o los requisitos de ciberseguridad de la UE bajo NIS2 (información sobre NIS2). Además, durante procesos de fusión y adquisición suelen aflorar miles de cuentas y tokens obsoletos, incluidos muchos asociados a terceros, lo que complica la consolidación y aumenta la superficie de ataque.
Las historias recientes lo ilustran: en incidentes reportados, actores maliciosos han aprovechado cuentas de terceros o “ghost accounts” para moverse lateralmente, como describe un análisis de un ataque con ransomware Akira en un informe de operaciones de seguridad (análisis de Barracuda). Estos ejemplos subrayan que las amenazas no vienen solo de usuarios descuidados, sino de la complejidad operacional y la falta de visibilidad sobre identidades no gestionadas.
Frente a esto, la respuesta tradicional —revisiones manuales periódicas de cuentas y listas de permisos— ya no es suficiente. Lo que hace falta es una capa de observabilidad continua que permita ver, correlacionar y comprobar cada identidad y su comportamiento, sea humana o no. Esta visión exige extraer señales de actividad directamente desde las aplicaciones y plataformas, relacionarlas con eventos de incorporación o baja, con logs de autenticación y con patrones reales de uso. Solo así se puede distinguir una cuenta legítima que no fue usada en meses por razones válidas de una cuenta verdaderamente huérfana y peligrosa.
La telemetría de identidad y un rastro de auditoría unificado son herramientas clave: recopilar eventos de forma continua, normalizarlos y conectarlos con información de propiedad y contexto de roles transforma suposiciones en evidencia. Con esa base es factible construir perfiles de identidad que indiquen quién usó qué recurso, cuándo y con qué propósito, y automatizar decisiones como marcar o desactivar cuentas sin actividad documentada. El objetivo no es sustituir los sistemas IAM existentes, sino dotarlos de una capa de datos verificables que respalden las decisiones de gobernanza.
Implementar este enfoque implica retos técnicos y organizativos: integrar telemetría en sistemas heterogéneos, garantizar la integridad y retención adecuada de los logs para auditoría forense, y definir criterios claros de propiedad y lifecycles para identidades no humanas. Las empresas que han avanzado en este terreno lo han hecho combinando ingesta automática de logs con reglas de correlación y flujos de trabajo que notifican a los responsables —o desactivan automáticamente— cuentas que carecen de actividad y dueño.
Este tipo de práctica también mejora la eficiencia operativa y reduce costes indirectos: reducir licencias inactivas, minimizar ruido en auditorías y acelerar la respuesta ante incidentes al acotar más rápidamente qué cuentas existían y cómo fueron usadas. Organizaciones y autoridades de ciberseguridad recomiendan priorizar la higiene de identidades como parte de una estrategia de defensa en profundidad; CISA y otras agencias ofrecen recursos y marcos para mejorar la postura de seguridad en aspectos de gestión de cuentas y configuraciones seguras (recursos de CISA).
La llegada de agentes de IA que actúan de forma semiautónoma añade otra capa de complejidad: esos procesos pueden crear tokens, ejecutar APIs y moverse entre servicios sin un propietario humano claro, lo que obliga a incluirlos en el catálogo de identidades y someterlos a reglas de gobernanza. La comunidad de seguridad está empezando a adaptar prácticas de gestión de “identidades de máquina” para abordar precisamente estos escenarios, reconociendo que no todas las identidades deberían gestionarse igual que un usuario humano.
En resumen, la transformación necesaria es pasar de auditorías puntuales y suposiciones a una supervisión continua basada en evidencias. Solo con esa visibilidad se pueden convertir las cuentas huérfanas —un pasivo escondido en muchas infraestructuras— en objetos gestionables, con dueños claros, permisos justificados y ciclos de vida controlados. La tecnología y las prácticas para lograrlo ya existen; lo que falta en muchas organizaciones es priorizar esta capa de observabilidad como parte central de la estrategia de seguridad y cumplimiento.
Si quieres profundizar en cómo funcionan estos enfoques en la práctica, además de los enlaces citados puedes consultar análisis y guías técnicas sobre gobernanza de identidades y gestión de cuentas de servicio en documentación especializada y estudios de casos. Y para quienes buscan ejemplos de soluciones comerciales que proponen una capa de auditoría continua unificada sobre aplicaciones y telemetría, existen proveedores emergentes que están enfocando sus productos precisamente en cerrar este hueco de visibilidad. Para un punto de partida profesional sobre la problemática y posibles respuestas, el artículo de Roy Katmor en Orchid Security ofrece una visión directa desde la industria (perfil de Roy Katmor).
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...