Hoy las predicciones de ciberseguridad para 2026 versan sobre las identidades. Manuel Belmonte Ortuño, Regional Alliance Manager for ILMED, Iberia & Italy, y Luigi Semente, Regional Alliance Managers Iberia, de Okta.
Actualmente tenemos miles de identidades que no respiran, pero que pueden mover datos, ejecutar procesos o desplegar servicios sin pedir permiso a nadie. Cada vez convivimos con más identidades que no pertenecen a personas: servicios, APIs, workloads, bots, automatizaciones y componentes que toman decisiones sin intervención humana, que juegan un papel crucial en el desarrollo/operación de aplicaciones y de infraestructuras.
La llegada de la IA al día a día de las empresas acelerará aún más la “explosión” de las identidades no humanas. Y el ritmo al que crecen es brutal; y 2026 amplificará más ese escenario.
Lo que ya estamos viendo:
- Identidades de máquina creadas sin control, que nadie revisa.
- Tokens que nunca caducan.
- Servicios que heredan permisos mucho más amplios de lo que necesitan.
- Trazas insuficientes para saber qué pasó cuando algo falla.
El resultado es un entorno donde una API comprometida puede tener más impacto que una cuenta humana con privilegios. Hasta la organizacion de expertos más relevantes en el mundo de la seguridad del sw y de las aplicaciones (Owasp) ha creado un proyecto “OWASP Non-Human Identities (NHI) Top 10” donde destaca los principales riesgos asociados con las NHIs, subrayando la importancia de implementar medidas de protección robustas para mitigar estos riesgos.
En 2026 veremos tres tendencias muy claras:
- Más 𝘃𝗼𝗹𝘂𝗺𝗲𝗻: el número de identidades no humanas superará, con diferencia, al de usuarios reales (el ratio entre identidades no humanas/humanas es de 92 a 1.
- Más 𝗶𝗺𝗽𝗮𝗰𝘁𝗼: una sola identidad de máquina comprometida puede abrir puertas que antes dependían de varias cuentas humanas.
- Más 𝗼𝗽𝗮𝗰𝗶𝗱𝗮𝗱: muchas organizaciones no saben cuántas tienen, para qué sirven ni quién las controla.
Si no ponemos orden, el “shadow IAM” no vendrá de empleados… sino de nuestras propias automatizaciones.
¡El camino es evidente: inventario proactivo (ISPM), gobierno real (IGA) y políticas que traten a cada identidad —humana o no— con el mismo nivel de rigor y trazabilidad (IAM + PAM). La solución pasa por tratar cada identidad —sea quien sea o lo que sea— como un elemento crítico, con rotación de credenciales, mínimo privilegio, automatización bien gobernada y una supervisión que no dependa de hojas de cálculo.
Si 2025 fue el año en el que despertamos a la importancia de estas identidades, 2026 será el año en el que tendremos que gestionarlas de verdad.
