La gestión de identidades está viviendo un cambio silencioso pero profundo. Ya no se trata solo de usuarios, empleados o clientes: las identidades de máquina —aplicaciones, bots, servicios cloud o dispositivos IoT— se han convertido en protagonistas. Así lo pone de manifiesto el informe “Machine Identity Crisis: The Challenges of Manual Processes and Hidden Risks”, elaborado por Dimensional Research y patrocinado por SailPoint.
El estudio, basado en una encuesta a más de 320 responsables de IAM, seguridad y cumplimiento, revela que el 69 % de las organizaciones ya tiene más identidades de máquina que humanas. En casi la mitad de los casos (47 %) hay diez veces más identidades no humanas que usuarios. Un crecimiento que responde a la expansión de entornos cloud, automatización y servicios digitales, pero introduce un reto de gestión que muchas compañías no están resolviendo.
Más complejidad, menos control
El informe subraya que no solo hay más identidades de máquina, sino que son más difíciles de gestionar. El 72 % de los profesionales encuestados reconoce esta complejidad, y un 66 % admite que su gestión implica más procesos manuales que en el caso de identidades humanas.
A esto se suma un problema estructural: la falta de gobierno. El 75 % de las empresas reconoce que no todas las identidades de máquina tienen un responsable asignado, lo que complica su control y seguimiento. La visibilidad tampoco está garantizada: sólo el 38 % dispone de un inventario en tiempo real de las identidades activas.
La consecuencia directa es un deterioro en los procesos de auditoría y cumplimiento. Según el informe, el 59 % considera que auditar identidades de máquina es más complejo que auditar identidades humanas, y un 60% reconoce haber tenido problemas de cumplimiento derivados de ellas.
Gran parte de esta dificultad se explica por la dependencia de procesos manuales: el 52 % de las organizaciones utiliza métodos manuales para identificar identidades activas, y el 63 % hace lo mismo para detectar las inactivas. Esta operativa introduce errores, retrasa la respuesta y dificulta el control continuo.
Un riesgo que crece, y que se asume
El propio informe advierte de que el riesgo asociado a estas identidades ya supera al de las humanas para el 60 % de los encuestados. Y no se trata de una amenaza teórica, ya que el 57 % admite que se han concedido accesos indebidos a identidades de máquina en su organización.
Pese a ello, muchas empresas optan por mantener identidades innecesarias “por precaución”. El 72% reconoce que conserva identidades inactivas, en gran medida por el temor a que su eliminación afecte a sistemas críticos. Este miedo está muy extendido: el 88% cree que borrar una identidad podría “romper algo”.
El informe concluye que las identidades de máquina se están consolidando como un vector de ataque relevante. Son más numerosas, tienen acceso directo a datos y servicios, y en muchos casos no están suficientemente gobernadas ni monitorizadas.
