Según el informe «Estado de las identidades no humanas y secretos en la ciberseguridad 2025″ de Entro Security, el 97 % de las identidades no humanas (NHI, por sus siglas en inglés) poseen privilegios excesivos, lo que incrementa el acceso no autorizado y amplía la superficie de ataque en las organizaciones.
El estudio revela que el 92 % de las empresas expone sus NHI a terceros. Esta práctica genera riesgos significativos si las medidas de seguridad de esos terceros no están alineadas con los estándares organizacionales, facilitando potenciales accesos no autorizados.
Además, sorprendentemente, el 44 % de los tokens se encuentran expuestos en la red. Estos tokens son enviados o almacenados en plataformas como Microsoft Teams, Slack, tickets de Jira, páginas de Confluence, confirmaciones de código y otras. Esta negligencia pone en peligro la confidencialidad de la información, subrayando la necesidad urgente de implementar mejores prácticas de seguridad.
Principales hallazgos del informe
La investigación de Entro Security destaca tendencias preocupantes en el manejo tanto de identidades humanas como no humanas, evidenciando configuraciones erróneas y riesgos generalizados en diversas organizaciones:
- Desproporción de identidades: Por cada identidad humana, existe un promedio de 92 identidades no humanas. Esta abrumadora cantidad complica la gestión de identidades y aumenta el potencial de vulnerabilidades de seguridad.
- Tokens de ex empleados activos: El 91 % de los tokens pertenecientes a antiguos empleados siguen activos, dejando a las organizaciones expuestas a posibles brechas de seguridad.
- Bóvedas sin aprobación de seguridad: El 50 % de las organizaciones incorpora nuevas bóvedas sin la aprobación adecuada en materia de seguridad, lo que puede introducir vulnerabilidades y configuraciones incorrectas desde el inicio.
- Configuraciones incorrectas en bóvedas: El 73 % de las bóvedas están mal configuradas, generando accesos no autorizados y exponiendo datos confidenciales y sistemas comprometidos.
- Uso excesivo de NHI: El 60 % de las identidades no humanas se utilizan en exceso, siendo empleadas por más de una aplicación. Esto aumenta el riesgo de un único punto de falla y de un compromiso generalizado en caso de exposición.
- Duplicación de secretos: El 62 % de todos los secretos se duplican y almacenan en múltiples ubicaciones, provocando redundancia innecesaria y elevando el riesgo de exposiciones accidentales.
- Falta de rotación de identidades: El 71 % de las identidades no humanas no se rotan dentro de los plazos recomendados, incrementando el riesgo de vulneraciones con el tiempo.
Implicaciones para la seguridad empresarial
Los datos recopilados provienen de millones de secretos y NHI en empresas de diversos sectores, desde startups hasta compañías Fortune 100. Estos hallazgos evidencian una gestión deficiente de las identidades no humanas, lo que puede derivar en graves consecuencias para la seguridad de las organizaciones.
La proliferación de NHI con privilegios excesivos y la falta de controles adecuados resaltan la necesidad de que las empresas revisen y fortalezcan sus políticas de gestión de identidades y accesos. Implementar prácticas de seguridad robustas y alineadas con los estándares internacionales es crucial para proteger la información sensible y mantener la integridad de los sistemas.
Conclusión
El informe de Entro Security pone de manifiesto una problemática creciente en el ámbito de la ciberseguridad. Las organizaciones deben tomar medidas inmediatas para abordar las deficiencias en la gestión de identidades no humanas, reduciendo así la superficie de ataque y protegiéndose contra posibles amenazas y accesos no autorizados.
