Los modelos clásicos de gestión de identidades y accesos (IAM) en grandes organizaciones se están acercando a su límite operativo. A medida que el negocio crece, las identidades humanas, de máquinas y de agentes de IA se distribuyen entre miles de aplicaciones, servicios en la nube y equipos autónomos. Una parte significativa de esa actividad queda fuera del campo de visión de los equipos de seguridad, creando una superficie de ataque difícil de medir y de controlar.
Identity Dark Matter: la zona ciega de la gestión de identidades
Este espacio oculto de operaciones con identidades ha sido denominado Identity Dark Matter por Orchid Security. Se trata de todas aquellas acciones, credenciales y flujos de autenticación que no son visibles ni gestionables por las plataformas IAM centrales y, por tanto, apenas pueden ser auditados o protegidos.
Según el análisis de Orchid Security, aproximadamente el 46 % de la actividad corporativa relacionada con identidades tiene lugar fuera del alcance de los sistemas IAM centralizados. En la práctica, casi la mitad de la superficie de ataque asociada a cuentas y privilegios no está bajo control efectivo. Dentro de esta “materia oscura de identidades” suelen encontrarse:
- Aplicaciones no registradas o autogestionadas por las unidades de negocio (shadow IT).
- Cuentas locales y embebidas en aplicaciones, bases de datos y componentes de infraestructura.
- Flujos de autenticación opacos y mecanismos de autorización heredados o no estandarizados.
- Identidades de servicio y de máquina con privilegios excesivos, incluidas las usadas por integraciones, scripts y bots.
El problema se agrava por la proliferación de herramientas inconexas, la fragmentación de responsabilidades entre áreas de negocio y el rápido aumento de agentes de IA autónomos. El resultado es una brecha entre el acceso que la seguridad cree que existe y el acceso que realmente se utiliza. Es precisamente en esta brecha donde se concentran hoy muchos de los riesgos más críticos ligados a identidades.
Plataformas IVIP de Gartner: visibilidad e inteligencia sobre identidades
Para abordar estas zonas ciegas, Gartner ha definido la categoría Identity Visibility and Intelligence Platform (IVIP), concebida como un “system of systems” dentro de la arquitectura Gartner Identity Fabric. En este modelo, IVIP se sitúa en el nivel 5, de Visibility and Observability, proporcionando una capa independiente de observabilidad por encima del IAM y del gobierno de identidades tradicionales.
De acuerdo con Gartner, una plataforma IVIP debe consolidar rápidamente datos de IAM y aplicar analítica avanzada e IA para ofrecer una visión unificada de eventos de identidades, relaciones “usuario‑recurso” y estado real de los accesos. Entre sus capacidades clave se encuentran:
- Descubrimiento continuo de identidades humanas y de máquinas en todas las plataformas relevantes, incluidas aquellas que nunca pasaron por un proceso formal de alta en IAM.
- Plataforma unificada de datos de identidades que consolide información fragmentada de directorios, aplicaciones, infraestructura y nubes en una única fuente de verdad.
- Inteligencia y analítica que empleen IA y análisis de comportamiento para transformar señales dispersas en información accionable para equipos de ciberseguridad y gestión de riesgos.
Desde un punto de vista técnico, esto implica soportar funciones como la remediación automatizada de violaciones de políticas, el intercambio de señales en tiempo real (por ejemplo, mediante estándares como CAEP para aplicar políticas Zero Trust de forma inmediata) y la intent‑based intelligence, donde modelos de lenguaje avanzados ayudan a distinguir patrones operativos normales de comportamientos realmente peligrosos.
Cómo Orchid Security implementa IVIP: visibilidad directa en las aplicaciones
Orchid Security ofrece una implementación práctica de la Identity Visibility and Intelligence Platform con un enfoque particular: priorizar la visibilidad directa de lo que ocurre dentro de las aplicaciones, más allá de lo que reflejan las integraciones tradicionales de IAM.
Uno de los requisitos fundamentales de IVIP es el descubrimiento permanente de aplicaciones, identidades y patrones de acceso. Orchid aborda este reto mediante análisis binario e instrumentación dinámica, lo que le permite inspeccionar la lógica nativa de autenticación y autorización en aplicaciones e infraestructura sin modificar el código fuente ni requerir nuevos API. Este planteamiento resulta especialmente relevante en entornos con portfolios extensos de aplicaciones, donde la función de seguridad central a menudo desconoce todas las soluciones en uso.
En una primera fase, la plataforma cartografía el “application estate” real: desarrollos a medida, productos comerciales, sistemas heredados y shadow IT. A continuación, identifica la Identity Dark Matter oculta en estas aplicaciones: cuentas locales no inventariadas, rutas de autenticación no documentadas, así como identidades de servicio y de máquina olvidadas.
Posteriormente, la plataforma IVIP de Orchid construye una capa probatoria de datos de identidades, combinando su propia telemetría de auditoría a nivel de aplicación con registros y eventos procedentes de soluciones IAM centralizadas. Esto proporciona a los equipos de seguridad una visión del comportamiento efectivo de las identidades en el entorno y permite contrastar políticas, roles y configuraciones con el acceso que realmente se está utilizando.
Agentes de IA: la nueva ola de Identity Dark Matter
Los agentes de IA autónomos representan un desafío emergente. Estos sistemas pueden actuar en nombre de la organización, ejecutar operaciones en aplicaciones críticas y, a menudo, emplear credenciales o tokens propios. Muchas de estas identidades no humanas quedan fuera de los modelos IAM clásicos y engrosan la capa de Identity Dark Matter, incrementando el riesgo de abuso de privilegios y movimiento lateral.
Para extender la visibilidad e inteligencia IVIP a estos nuevos sujetos, Orchid ha desarrollado la arquitectura Guardian Agent, diseñada para aplicar principios Zero Trust a los agentes de IA: privilegios mínimos, observabilidad granular de acciones, segmentación rigurosa del contexto y trazabilidad exhaustiva de todas las operaciones. De este modo, la actividad de los agentes de IA pasa de ser opaca a convertirse en un elemento controlable de la superficie de seguridad.
La eficacia de cualquier estrategia de gestión de identidades depende directamente de la calidad y cobertura de los datos subyacentes. Para reducir de forma medible la superficie de ataque de identidades, resulta clave pasar de comprobar solo el “existente de controles” a métricas orientadas a resultados: porcentaje de identidades no inventariadas, tiempo medio de detección de privilegios excesivos, proporción de remediaciones automatizadas, entre otras. Priorizar la adopción de plataformas de observabilidad de identidades (IVIP), auditar aplicaciones ocultas, endurecer la gestión de cuentas máquina y establecer reglas transparentes para agentes de IA permite iluminar esta materia oscura. Invertir en visibilidad real sobre identidades no solo reduce el riesgo de brechas, sino que también prepara a las organizaciones para un ecosistema digital en el que humanos, servicios y algoritmos comparten el mismo perímetro de seguridad.
