Las empresas se enfrentan a una superficie de ataque de identidad que sigue expandiéndose y quedando fuera de su alcance, según Veza..
El crecimiento de los permisos supera la supervisión
Los permisos ahora crecen más rápido de lo que los equipos pueden rastrearlos. Las empresas suelen operar con cientos de millones de permisos activos, cada uno de los cuales define lo que una identidad puede hacer en un sistema. Veza midió más de 230 mil millones de permisos en su conjunto de datos.
Este volumen crea puntos ciegos persistentes. Los equipos de seguridad gestionan solicitudes de acceso, auditorías e incidentes al mismo tiempo que se añaden nuevos permisos mediante servicios en la nube, herramientas SaaS y automatización. Con el tiempo, se acumulan accesos no utilizados y excesivos. El informe describe esta acumulación como deuda de identidad, una situación en la que el riesgo de acceso se agrava discretamente en las operaciones diarias.
“Al observar la complejidad de las relaciones entre miles de millones de permisos a gran escala, se hace evidente la magnitud del desafío de lograr el mínimo privilegio”, afirmó Rich Dandliker , director de estrategia de Veza. “No es de extrañar que las empresas tengan dificultades para afrontarlo. Se trata de un problema complejo e importante”.
Las cuentas inactivas y huérfanas permanecen activas
El resumen ejecutivo destaca la magnitud de las identidades inactivas que aún conservan el acceso. Veza encontró aproximadamente 3,8 millones de cuentas inactivas en el conjunto de datos, lo que representa el 38 % de todos los usuarios de proveedores de identidad. Estas cuentas no mostraron actividad durante al menos 90 días y continuaron autenticándose.
Las cuentas huérfanas añaden otra capa de exposición. Los investigadores identificaron 824.000 identidades activas sin propietario asociado en los sistemas de RR. HH., aproximadamente el 8 % de todos los usuarios de proveedores de identidad. Estas cuentas suelen persistir tras una baja incompleta o cambios en el sistema, y a menudo escapan a las revisiones rutinarias.
La tendencia de crecimiento es pronunciada. Las cuentas inactivas casi se duplicaron año tras año, mientras que las identidades huérfanas aumentaron aproximadamente un 40 %. Cada cuenta inactiva amplía el conjunto de credenciales susceptibles de uso indebido.
Las identidades humanas conllevan un amplio acceso
El trabajador promedio del conjunto de datos contaba con 96 000 permisos que abarcaban aplicaciones, almacenes de datos e infraestructura. Estos permisos reflejan años de cambios de roles, concesiones de acceso temporales y pertenencias a grupos heredadas.
Veza también descubrió que 78.000 exempleados aún conservaban credenciales activas, lo que representa el 3% del total de usuarios. Incluso cuando los sistemas de RR. HH. marcaban las cuentas como inactivas, el 38% de esas identidades seguían teniendo derechos activos en las principales aplicaciones empresariales.
Este patrón muestra cómo el acceso sobrevive al estatus laboral. Las brechas en el ciclo de vida de la identidad dejan expuestos los sistemas empresariales mucho después de la finalización de un puesto, especialmente cuando las revisiones de acceso se basan en instantáneas en lugar de una validación continua.
Las identidades no humanas dominan el paisaje
Las cuentas de servicio, las claves API, los tokens y las credenciales de automatización ahora superan en número a los usuarios humanos en una proporción de 17 a 1. Cada flujo de trabajo automatizado introduce identidades adicionales, muchas de ellas creadas sin un propietario definido ni fecha de vencimiento.
La concentración de privilegios destaca en los datos. Tan solo 2188 identidades de máquina , aproximadamente el 0,01 % del total, controlaban el 80 % de los recursos en la nube, lo que otorgaba a un pequeño grupo de cuentas amplia autoridad en todos los entornos.
Las identidades no humanas persisten indefinidamente a menos que se revoquen. A diferencia de los empleados, carecen de desencadenantes naturales del ciclo de vida. Su acceso suele abarcar la infraestructura, los datos y los procesos de implementación, lo que amplifica el impacto de cualquier vulneración.
Los malos permisos se multiplican en las operaciones diarias
El informe clasifica el acceso problemático en cuatro grupos: permisos con privilegios excesivos, residuales, no regulados y que infringen políticas. Cada categoría surge de actividades rutinarias del negocio, como la incorporación, los cambios de puesto, la creación de cuentas locales o la omisión de controles.
Los permisos clasificados como seguros y compatibles cayeron del 70% en 2024 al 55% en 2025. Los permisos no regulados impulsaron la mayor parte del cambio, aumentando del 5% al 28% del total.
Las cuentas locales creadas fuera de las herramientas de identidad centralizadas contribuyeron en gran medida a este crecimiento. Estas cuentas eluden los flujos de trabajo estándar y permanecen invisibles para los sistemas de gobernanza.
Las brechas de MFA dejan aberturas predecibles
Los controles de autenticación muestran una mejora limitada. El 13 % de los usuarios empresariales del conjunto de datos aún carecían de MFA . Entre los usuarios con MFA habilitado, muchos dependían de la verificación por SMS o correo electrónico, lo que representaba el 6 % de los usuarios de Okta analizados en el estudio.
La autenticación débil suele coincidir con identidades inactivas y huérfanas. Las cuentas con protección mínima y sin propietario persisten en el tiempo y generan menos alertas, lo que facilita su uso indebido.
El riesgo de identidad se convierte en una métrica empresarial
El informe enmarca la seguridad de la identidad como un problema que afecta a toda la empresa. Las juntas directivas, los organismos reguladores y las aseguradoras exigen cada vez más pruebas de control sobre quién puede acceder a los sistemas y datos. Los datos de Veza muestran que muchas organizaciones carecen de visibilidad continua de las identidades humanas y no humanas.
La investigación apunta a un patrón común en todos los sectores: las identidades se acumulan, los permisos se distribuyen y la supervisión se retrasa con respecto al crecimiento. Estas condiciones configuran la capa de acceso que los atacantes atacan con mayor frecuencia.
“Con miles de millones de permisos que gestionar, los equipos de seguridad e identidad tienen dificultades para mantener y aplicar el principio del mínimo privilegio en sus organizaciones”, señaló Phil Venables , líder en ciberseguridad, socio de Ballistic Ventures y ex CISO de Google Cloud. “Los privilegios excesivos, las cuentas inactivas y el exceso de permisos son comunes”.
Fuente y redacción: helpnetsecurity.com / Sinisa Markovic
