El problema: las identidades dejadas atrás
A medida que las organizaciones crecen y evolucionan, los empleados, contratistas, servicios y sistemas van y vienen, pero sus cuentas a menudo permanecen. Estas cuentas abandonadas o «huérfanas» permanecen inactivas en aplicaciones, plataformas, activos y consolas en la nube.
La razón por la que persisten no es la negligencia: es la fragmentación.
Los sistemas IAM e IGA tradicionales están diseñados principalmente para usuarios humanos y dependen de la incorporación e integración manual para cada aplicación: conectores, mapeo de esquemas, catálogos de derechos y modelos de roles. Muchas aplicaciones nunca llegan tan lejos. Mientras tanto, las identidades no humanas (NHI): cuentas de servicio, bots, API y procesos de agente-IA no están gobernados de forma nativa, operan fuera de los marcos estándar de IAM y, a menudo, sin controles de propiedad, visibilidad o ciclo de vida.
¿El resultado? Una capa de sombra de identidades no rastreadas que forman parte de la materia oscura de identidad más amplia: cuentas invisibles para la gobernanza pero aún activas en la infraestructura.
Por qué no se les realiza un seguimiento
- Cuellos de botella en la integración: Cada aplicación requiere una configuración única antes de que IAM pueda administrarla. Rara vez se da prioridad a los sistemas locales y no gestionados.
- Visibilidad parcial: Las herramientas de IAM solo ven la porción de identidad «administrada», dejando atrás las cuentas de administrador local, las identidades de servicio y los sistemas heredados.
- Propiedad compleja: La rotación, las fusiones y los equipos distribuidos no dejan claro quién posee qué aplicación o cuenta.
- Agentes de IA y automatización: Agent-AI introduce una nueva categoría de identidades semiautónomas que actúan independientemente de sus operadores humanos, rompiendo aún más el modelo IAM.
Obtenga más información sobre los atajos de IAM y los impactos que los acompañan, visite.
El riesgo del mundo real
Las cuentas huérfanas son las puertas traseras abiertas de la empresa.
Tienen credenciales válidas, a menudo con privilegios elevados, pero no tienen un propietario activo. Los atacantes lo saben y los utilizan.
- Oleoducto colonial (2021) – los atacantes entraron por un cuenta VPN antigua/inactiva sin MFA. Múltiples fuentes corroboran el detalle de la cuenta «inactiva/heredada».
- Empresa de fabricación afectada por el ransomware Akira (2025) – la infracción se produjo a través de un Cuenta de proveedor externo «fantasma» que no fue desactivada (es decir, una cuenta huérfana/de proveedor). Informe SOC de Barracuda Managed XDR.
- Contexto de fusiones y adquisiciones – durante la consolidación posterior a la adquisición, es común descubrir miles de cuentas/tokens obsoletos; Las empresas señalan las identidades huérfanas (a menudo NHI) como una amenaza persistente posterior a las fusiones y adquisiciones, citando tasas muy altas de tokens de ex empleados aún activos.
Las cuentas huérfanas generan múltiples riesgos:
- Exposición de cumplimiento: Infringe los requisitos de privilegios mínimos y de desaprovisionamiento (ISO 27001, NIS2, PCI DSS, FedRAMP).
- Ineficiencia operativa: Recuentos de licencias inflados y gastos de auditoría innecesarios.
- Arrastre de respuesta a incidentes: Los análisis forenses y la remediación se ralentizan cuando se trata de cuentas invisibles.
El camino a seguir: auditoría de identidad continua
Las empresas necesitan pruebas, no suposiciones. La eliminación de cuentas huérfanas requiere una observabilidad total de la identidad: la capacidad de ver y verificar cada cuenta, permiso y actividad, ya sea administrada o no.
La mitigación moderna incluye:
- Colección de telemetría de identidad: extraiga señales de actividad directamente de las aplicaciones, administradas y no administradas.
- Seguimiento de auditoría unificado: correlacione eventos de incorporación, mudanza y salida, registros de autenticación y datos de uso para confirmar la propiedad y la legitimidad.
- Mapeo de contexto de roles: archive información de uso real y contexto de privilegios en perfiles de identidad, mostrando quién usó qué, cuándo y por qué.
- Aplicación continua: marque o desmantele automáticamente cuentas sin actividad o propiedad, lo que reduce el riesgo sin esperar revisiones manuales.
Cuando esta telemetría alimenta una capa de auditoría de identidad central, cierra la brecha de visibilidad, convirtiendo las cuentas huérfanas de pasivos ocultos en entidades administradas y mensurables.
La perspectiva de las orquídeas
orquídeas La capacidad de auditoría de identidad proporciona esta base. Al combinar la telemetría a nivel de aplicación con la recopilación de auditorías automatizadas, proporciona información continua y verificable sobre cómo se utilizan realmente las identidades (humanas, no humanas y agentes-IA).
No es otro sistema IAM; es el tejido conectivo el que garantiza que las decisiones de IAM se basen en evidencia, no en estimaciones.
Nota: Este artículo fue escrito y contribuido por Roy Katmordirector ejecutivo de Seguridad de orquídeas.