¿Qué son las identidades no humanas (NHIs)?

Las identidades no humanas (NHIs) son credenciales utilizadas por máquinas, aplicaciones o servicios para autenticación automática. Incluyen claves API, cuentas de servicio, tokens de nube y credenciales de modelos de IA, operando con amplios privilegios y frecuencia prolongada.

¿Por qué las NHIs representan un riesgo de seguridad?

Las NHIs pueden permanecer activas por años, a menudo con amplios privilegios y sin supervisión. Si se exponen accidentalmente, permiten a atacantes acceder a sistemas, datos y pipelines de CI/CD sin generar alertas típicas de actividad de usuario.

¿Qué incidentes reales destacan los riesgos de NHIs?

Ejemplos incluyen la brecha de Snowflake en 2024 donde atacantes accedieron a 165 entornos de clientes usando credenciales expuestas, un token de GitHub activo más de un año en Home Depot y un incidente de Red Hat GitLab en 2025 que expuso repositorios con credenciales integradas.

¿Cómo se pueden mitigar los riesgos de NHIs?

Medidas recomendadas incluyen tratar NHIs como identidades humanas, integrar escaneo automático de secretos antes de publicar código o imágenes, usar credenciales efímeras, revocar claves expuestas proactivamente y emplear herramientas especializadas como Flare para detectar y remediar filtraciones.

¿Dónde se encuentran típicamente las NHIs expuestas?

Se encuentran en imágenes de contenedores, artefactos de compilación, repositorios de código, pipelines de CI/CD y archivos de configuración. Estos activos son vectores potenciales de filtración de credenciales si no se gestionan correctamente.

¿Qué tipos de NHIs se detectaron en el estudio de Flare?

Flare identificó miles de NHIs activas, incluyendo APIs de IA (Grok, Gemini), secretos de nube (AWS/Azure/GCP), credenciales de bases de datos, claves JWT/APP_KEY, tokens de terceros, secretos de SCM/CI, credenciales de comunicación (SMTP, Slack, Telegram) y claves de pagos (Stripe, Razorpay, Cashfree).

La Espada de Doble Filo de las Identidades NO Humanas en el Software Moderno | Noticias Hacking y Seguridad Informática

Un reciente estudio de Flare en 2025 reveló miles de identidades NO HUMANAS (NHIs, por sus siglas en inglés) -incluyendo claves API, cuentas de servicio, tokens de nube y credenciales de modelos de IA- que quedaron accidentalmente expuestas en repositorios públicos**.

Estas credenciales, diseñadas para autenticación máquina a máquina, están profundamente integradas en el software moderno y la infraestructura en la nube.

Identidades NO Numanas

A diferencia de las cuentas humanas, las NHIs operan de forma continua, a menudo con amplios privilegios y larga duración, lo que las convierte en herramientas esenciales para la automatización, pero también en un riesgo crítico de seguridad si se manejan incorrectamente.

Saber Más..

Ejemplos Reales

Brecha de Snowflake

En 2024, el grupo de atacantes UNC5537 accedió a 165 entornos de clientes de Snowflake usando credenciales expuestas de larga duración. No se explotó ninguna vulnerabilidad del software; los atacantes se basaron únicamente en NHIs filtradas, comprometiendo datos corporativos y de clientes en empresas como AT&T, Ticketmaster y Santander.

Exposición de Token de GitHub en Home Depot

Un token de GitHub filtrado de un empleado permaneció activo por más de un año, dando acceso a sistemas internos, pipelines de desarrollo e infraestructura en la nube. A pesar de repetidas advertencias de investigadores externos, el token no fue revocado hasta que la intervención de los medios obligó a actuar, subrayando los peligros de las NHIs estáticas y no gestionadas.

Incidente de Red Hat GitLab

En 2025, un GitLab de consultoría fue comprometido, exponiendo repositorios que contenían credenciales integradas, URIs de bases de datos y claves de servicio. Los repositorios se convirtieron en almacenes de credenciales involuntarios, exponiendo vectores de acceso sensibles en entornos de clientes.

¿Por qué las identidades NO humanas son peligrosas?

Las NHIs alimentan pipelines CI/CD, servicios en la nube, APIs y procesos de automatización. Sus riesgos principales son:

Persistencia: A diferencia de los humanos, no se marchan ni cambian de rol automáticamente.
Amplios privilegios: Los tokens suelen otorgar acceso a múltiples sistemas.
Silenciosas: Las NHIs expuestas pueden ser abusadas sin activar alertas típicas de usuarios.

Una sola NHI filtrada puede permanecer activa años después de su creación, proporcionando silenciosamente acceso legítimo profundo en el ciclo de vida del software (SDLC) de una organización.

Hallazgos del Estudio de Flare

Flare analizó más de 10,000 imágenes de contenedores de 100+ organizaciones, descubriendo miles de claves activas en distintas categorías:

Categoría	Cuentas Docker Hub	Significado
AI	191	APIs de IA (Grok, Gemini, etc.)
CLOUD	127	Secretos de AWS/Azure/GCP
DATABASE	89	Credenciales Mongo/Postgres/SQL
ACCESS	103	JWT / SECRET_KEY / APP_KEY
API_TOKEN	157	Claves API genéricas de terceros
SCM_CI	44	GitHub / Bitbucket / secretos CI/CD
COMMUNICATION	31	SMTP, Slack, Telegram
PAYMENTS	21	Stripe, Razorpay, Cashfree

Estos hallazgos muestran que imágenes de contenedores, artefactos de compilación y repositorios ya no son activos neutros: son vectores potenciales de filtración de credenciales.

Recomendaciones de Seguridad

Para mitigar el riesgo de NHIs expuestas, los equipos de seguridad deben:

Tratar las identidades máquina como humanas: Monitorear comportamiento, restringir accesos y revocar cuando no sean necesarias.
Integrar escaneo automático de secretos: Detectar credenciales expuestas antes de que imágenes o código lleguen a registros públicos.
Adoptar credenciales efímeras: Sustituir tokens de larga duración por identidades federadas de corta vida.
Revocar claves expuestas proactivamente: No esperar a que los atacantes las exploten.
Usar herramientas especializadas: Plataformas como Flare escanean NHIs filtradas y mapean superficies de ataque para una remediación rápida.