Las empresas han construido redes de identidad cada vez más complejas, pero la gobernanza no ha seguido el mismo ritmo. A medida que organizaciones y equipos crecen, la identidad se dispersa entre miles de aplicaciones, cuentas locales, servicios automatizados y agentes de IA que actúan por su cuenta. El resultado es una capa invisible que muchos expertos ya llaman “materia oscura de la identidad”: actividad y permisos que existen fuera del alcance de los sistemas centrales de gestión de identidades y, por tanto, fuera de la vista de los equipos de seguridad.
Un análisis reciente de Orchid Security señala que cerca de la mitad de la actividad relacionada con identidades empresariales ocurre donde los controles centralizados no la supervisan. Esa afirmación —que puede consultarse en el trabajo público de la compañía— revela algo elemental: si no vemos dónde se concede o utiliza un acceso, no podemos protegerlo ni auditarlo correctamente. Este problema no es sólo técnico, también es organizativo: herramientas desconectadas, responsabilidades fragmentadas y aplicaciones creadas por equipos independientes alimentan esa invisibilidad.
Gartner ha colocado el reto en un contexto más amplio proponiendo la idea del “Identity Visibility and Intelligence Platform” (IVIP) dentro del marco de Identity Fabric. Según esta visión, hace falta una capa de supervisión independiente que capture y entienda señales de identidad por encima de los sistemas de acceso y gobernanza tradicionales. En otras palabras, la solución no puede limitarse a otro repositorio de identidades; debe convertirse en un motor de inteligencia que descubra, unifique y analice la actividad real de humanos y máquinas. Más información sobre el marco de Identity Fabric puede encontrarse en el recurso de Gartner: Gartner — Identity Fabric.
¿Qué implicaría una plataforma con esas características? Primero, la capacidad de descubrir de forma continua las identidades presentes en todo el paisaje tecnológico: desde directorios corporativos hasta aplicaciones a medida, sistemas legados y copilotos de IA que operan con credenciales propias. Segundo, que esa plataforma sirva como una capa de datos de identidad consolidada, que unifique registros, telemetrías y flujos de autorización para ofrecer un único “relato” de cómo se están usando los accesos. Y tercero, que convierta esos datos en inteligencia accionable usando analítica avanzada y modelos que distingan comportamiento legítimo de actividad sospechosa.
Varios de los retos prácticos aparecen cuando las aplicaciones no exponen APIs estándar o cuando sus lógicas de autenticación son opacas. Algunas propuestas tecnológicas actuales recurren a la instrumentación dinámica y al análisis binario para inspeccionar cómo funcionan internamente las apps sin pedir reescrituras de código ni integraciones largas. Esa aproximación permite descubrir cuentas locales, rutas de autenticación no documentadas y credenciales de máquina que de otro modo permanecerían escondidas. Cuando no se conoce la verdadera dimensión del parque aplicacional, no es posible medir ni mitigar el riesgo que alberga.
La unión de telemetría propia de las aplicaciones con logs de sistemas centralizados genera una capa de evidencias que cambia la manera de evaluar el riesgo: en vez de basarse en configuraciones declaradas, las decisiones se apoyan en el comportamiento observado. Informes que analizan entornos a nivel de aplicación muestran patrones preocupantes: muchas aplicaciones conservan cuentas vinculadas a dominios antiguos o incluso a correos de consumo, una proporción alta presenta privilegios excesivos y un volumen significativo de cuentas termina huérfano con el tiempo. Estos hallazgos sirven para ilustrar que el riesgo real suele estar oculto detrás de supuestos de gobernanza incompletos.
El problema se complica con la llegada de agentes autónomos de IA. Estos actores del entorno digital pueden disponer de identidades y permisos independientes y, si no se integran en las políticas de gobierno, se convierten en otra fuente de “materia oscura”. Adaptar el modelo de visibilidad e inteligencia a estos agentes exige reglas claras de atribución humana, registros completos de actividad, controles contextuales que evalúen el acceso según la sensibilidad del recurso y mecanismos de privilegio mínimo que favorezcan accesos just-in-time. Todo ello debe ir acompañado de capacidades de remediación automática para acortar la ventana de exposición.
Desde el punto de vista operativo, adoptar una plataforma de este tipo transforma también la forma en la que se mide el éxito. Más allá de contar licencias o controles desplegados, los responsables de seguridad deberán medir resultados: por ejemplo, la reducción real de permisos inactivos o el tiempo medio para revocar accesos críticos tras la salida de un empleado. Formalizar acuerdos de protección con el negocio —servicios con objetivos concretos de seguridad— ayuda a alinear prioridades y a traducir controles técnicos en beneficios tangibles.
La recomendación práctica para los equipos que quieran cerrar estas brechas no es compleja en idea, aunque sí exigente en ejecución. Requiere romper silos entre operaciones, propietarios de aplicaciones, equipos de IAM y gobernanza; priorizar el análisis cuantificado del riesgo (con especial atención a identidades de máquinas); automatizar correcciones simples que cierren desviaciones de postura en cuanto se detectan; y usar la visibilidad unificada como activo crítico en momentos de alto riesgo, como integraciones tras una adquisición. En definitiva, se trata de convertir la observabilidad continua en una forma de reducir la superficie de ataque y acelerar auditorías y cumplimiento.
La conclusión es clara: la visibilidad dejará de ser un lujo para convertirse en la capa de control esencial. Mantener siempre cerrada la “puerta principal” ya no basta si detrás del edificio hay pasadizos y llaves repartidas sin control. Las organizaciones que consigan ver, entender y actuar sobre la materia oscura de la identidad tendrán una ventaja enorme frente a los atacantes; las que no, seguirán enfrentándose a brechas inesperadas que emergen precisamente donde los controles no miran.
Para quien quiera profundizar en guías y marcos de referencia útiles al diseñar estas capacidades, es recomendable revisar documentos de referencia sobre gestión de identidades y cero confianza como los de NIST (NIST SP 800-63), recursos sobre modelos de cero confianza de CISA y análisis sobre gestión de identidades de proveedores especializados en identidades de máquina como Venafi. Para entender la propuesta IVIP en el contexto del Identity Fabric, la explicación de Gartner puede servir como marco conceptual: Gartner — Identity Fabric. Finalmente, para seguir el trabajo y las auditorías que identifican la “materia oscura” dentro de aplicaciones, puede consultarse la documentación técnica y estudios publicados por las compañías que desarrollan estas soluciones, por ejemplo en los recursos de Orchid Security.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...