PAM 
Una forma útil de evaluar una plataforma moderna de seguridad de identidad es analizar tres pilares fundamentales: autenticación sólida y controles de acceso, gestión de acceso
Publicado el marzo 23, 2026
Las identidades no humanas (NHIs) y los agentes de IA (como cuentas de servicio, credenciales de CI/CD e identidades de cargas de trabajo en la nube) ahora eclipsan a las identidades humanas en los sistemas de identidad empresarial en una proporción de 50:1 a 100:1. Las plataformas modernas de seguridad de identidades deben asignar identidades a estos activos y, además, aplicar roles, políticas de control de acceso, visibilidad y gobernanza con el fin de proteger la empresa moderna.
A medida que los agentes de IA y la automatización se extienden por los entornos de nube, CI/CD y SaaS, los bots, las cuentas de servicio y las identidades de cargas de trabajo se multiplican a un ritmo superior al que los equipos de seguridad pueden registrar y gestionar, lo que provoca una proliferación descontrolada de identidades. Esto suele ir acompañado de la expansión de secretos, ya que las claves de API, los tokens y los certificados proliferan sin propiedad o rotación clara, creando más rutas de acceso privilegiadas con permisos excesivos y visibilidad limitada.
En este blog, analizaremos el motivo de la proliferación de la identidad, los riesgos de seguridad y cumplimiento que genera y cómo las organizaciones pueden controlarlo con una plataforma de seguridad y gobernanza de identidad como Keeper.
¿Por qué está aumentando la proliferación de identidades
Los agentes de IA a menudo se desarrollan para ejecutar, no para estar en una cola esperando a que alguien haga clic en “aprobar”. Asígneles un objetivo como «aprovisionar un nuevo entorno», y comenzarán a hacer el trabajo: poner en marcha recursos en la nube, llamar a las API, lanzar trabajos de CI/CD, extraer desde repositorios, consultar bases de datos y verificar la configuración en las consolas de administración. Pero para avanzar a ese ritmo, se necesita acceso de máquina a máquina, lo que suele implicar la creación (o reutilización) de cuentas de servicio, identidades de carga de trabajo, roles en la nube, certificados y otras NHIs.
En esta parte interviene la dispersión de la identidad. Las identidades humanas y no humanas se extienden entre herramientas y plataformas más rápido de lo que los equipos pueden asignar una titularidad clara, aplicar controles consistentes o revocar el acceso una vez terminado el trabajo.
Los riesgos de la proliferación de identidades
A medida que las NHIs se multiplican, el acceso privilegiado se distribuye entre pipelines, roles en la nube, integraciones y scripts, a menudo sin una propiedad ni caducidad consistentes. Eso crea más formas para que los atacantes accedan, se muevan lateralmente y escalen privilegios, y hace que las auditorías e investigaciones sean más difíciles de lo necesario.
La mayoría de los problemas se manifiestan en unos pocos patrones previsibles:
- Las cuentas de servicio se crean para un proyecto o una carga de trabajo y luego quedan huérfanas cuando cambia la titularidad. Las claves y los tokens permanecen activos porque nadie es responsable de retirarlos.
- A menudo se asignan permisos excesivos a los procesos de automatización para evitar fallos, y esos permisos persisten mucho tiempo después de que el trabajo haya finalizado. El privilegio permanente se vuelve habitual silenciosamente.
- Las credenciales compartidas y los secretos codificados en el código, los archivos de configuración y los flujos de trabajo hacen que el acceso sea difícil de rastrear y fácil de reutilizar.
- Cuando un agente o un sistema de automatización interactúa con sistemas confidenciales, los equipos tienen dificultades para responder a preguntas básicas como a qué se accedió, qué se modificó y por qué se tenía ese nivel de acceso.
Esas fallas técnicas se convierten rápido en un riesgo operacional real:
- El robo de credenciales permite el movimiento lateral y facilita la escalada de privilegios, ya que los secretos de larga duración y los permisos permanentes brindan a los atacantes tiempo y espacio para ampliar el acceso.
- La respuesta a incidentes se ralentiza cuando la propiedad no está clara y las rutas de acceso están fragmentadas en herramientas, equipos y entornos.
- La preparación para la auditoría se ve afectada cuando las aprobaciones son inconsistentes y la evidencia es incompleta, especialmente cuando no puede producir registros claros o actividad de sesión vinculada a una identidad específica.
Qué hace Keeper para reducir la proliferación de identidades
Reducir la proliferación de identidades no consiste en perseguir cada identidad nueva a medida que aparece. Se trata de cambiar el sistema para que el acceso privilegiado se gobierne de manera consistente, incluso cuando aumenta la cantidad de identidades. Así es como Keeper puede ayudar:
1. Control de acceso privilegiado centralizado
Cuando el acceso privilegiado se encuentra disperso entre consolas en la nube, herramientas de CI, jump boxes y secretos compartidos, no es posible tener una visión completa de la situación. La centralización de los flujos de trabajo de acceso privilegiado le permite responder rápidamente a las preguntas básicas:
- ¿Qué identidades tienen acceso privilegiado?
- ¿Dónde se autentican?
- ¿Quién aprobó el acceso y durante cuánto tiempo?
- ¿Qué ocurrió durante la sesión?
KeeperPAM® centraliza el acceso privilegiado a servidores, bases de datos, aplicaciones web y más en entornos en la nube y locales, con soporte integrado para protocolos como SSH, RDP, VNC, HTTPS y bases de datos comunes.
2. Refuerza los privilegios mínimos mediante acceso con límite de tiempo
Los privilegios permanentes son uno de los impulsores principales de la proliferación de identidades. Los agentes de IA y otras NHIs tienden a funcionar de forma continua, y los equipos suelen conceder permisos amplios para evitar que fallen las automatizaciones. Con el tiempo, esos permisos “temporales” se convierten en rutas de acceso permanente que nadie vuelve a visitar.
KeeperPAM te ayuda a adoptar el acceso justo a tiempo y a reducir el privilegio de permanencia limitando el tiempo de acceso a los recursos. Cuando termina la ventana aprobada, el acceso se revoca de forma automática, por lo que los privilegios no persisten en silencio mucho después de completar la tarea.
3. Evita exponer credenciales siempre que sea posible
Para que los agentes de IA puedan realizar su trabajo, los equipos suelen proporcionarles información confidencial, como claves de API o tokens. Esos secretos se propagan rápido, y ahí es cuando la proliferación de la identidad se vuelve peligrosa.
KeeperPAM reduce esa exposición al intermediar el acceso privilegiado tanto para personas como para la automatización impulsada por IA. Con las sesiones privilegiadas remotas, los usuarios y agentes nunca acceden a las credenciales subyacentes ni a las claves SSH. En lugar de distribuir los secretos entre personas, agentes y cargas de trabajo, el acceso se canaliza a través de la plataforma, de modo que las credenciales permanecen protegidas y cada acción es visible y auditable.
4. Automatiza la rotación y la gestión del ciclo de vida
Incluso una detección sólida no soluciona el problema subyacente si los secretos filtrados siguen siendo válidos. Cuanto más tiempo dure una credencial, más probable es que se reutilice, copie y olvide, especialmente cuando las NHIs se crean para cargas de trabajo de corta duración, pero los secretos que las respaldan son de larga duración. GitGuardian informa que el 70 % de los secretos expuestos en los repositorios públicos en 2022 siguen siendo válidos hoy en día, lo que apunta a una brecha de rotación y remediación.
KeeperPAM admite la rotación automatizada de credenciales para que las credenciales privilegiadas no permanezcan estáticas. Esto acorta el período de exposición y reduce el riesgo de que una credencial filtrada se convierta en una vía de acceso permanente.
5. Captura la actividad de las sesiones y los registros de actividad para rendir cuentas y auditar
Si un agente de IA o un proceso de automatización interactúa con un sistema confidencial, se requiere evidencia.
KeeperPAM proporciona grabación y reproducción de sesiones para sesiones de acceso privilegiado. Las sesiones remotas pueden grabar la actividad de la pantalla y del teclado en distintos protocolos, incluidos SSH, RDP, VNC, sesiones de bases de datos y sesiones de navegadores web, lo que permite crear pruebas fiables incluso en entornos híbridos.
Para el cumplimiento normativo y la respuesta a incidentes, KeeperPAM combina grabaciones con registros detallados e informes automatizados para ayudarle a responder rápidamente preguntas de auditoría como quién inició el acceso, cuándo ocurrió, a qué recurso se accedió y qué actividad se realizó. KeeperAI proporciona resúmenes cifrados de actividades y termina de forma automática las sesiones de alto riesgo. Los eventos también se pueden registrar en las principales plataformas de gestión de información y eventos de seguridad (SIEM), lo que ayuda a correlacionar la actividad de la sesión privilegiada con las alertas de las herramientas de punto final, nube y red.
Controlar la proliferación de identidades
Los agentes de IA están impulsando la automatización en toda la empresa y, al mismo tiempo, aceleran la creación de identidades de sistema (NHIs), tales como cuentas de servicio, identidades de cargas de trabajo, roles en la nube y certificados — así como los secretos que utilizan dichas identidades, como claves de API y tokens. Cuando esas identidades crecen más rápido que la gobernanza, el acceso privilegiado se extiende, los permisos permanentes persisten y los equipos de seguridad pierden visibilidad sobre a qué se accedió y por qué.
KeeperPAM ayuda a controlar la proliferación de identidades al centralizar el acceso privilegiado, aplicar el acceso con privilegios mínimos limitado en el tiempo, reducir la exposición de credenciales y capturar evidencia de sesión preparada para las auditorías.
Solicite una demostración para ver cómo KeeperPAM puede ayudar a mantener bajo control la proliferación de identidades.
