**ServiceNow adquiere una solución de control de acceso de identidades no humanas por 1.000 millones de dólares para reforzar la seguridad en IA y automatización**
—
### 1. Introducción
El panorama de la ciberseguridad empresarial continúa evolucionando a gran velocidad, especialmente en lo relativo a la gestión de identidades y accesos (IAM). ServiceNow, uno de los principales proveedores de plataformas de automatización de flujos de trabajo, ha anunciado la adquisición de una compañía especializada en el control de identidades no humanas (Non-Human Identity Access Control), en una operación valorada en 1.000 millones de dólares. Esta integración estratégica tiene como objetivo fortalecer las capacidades de ServiceNow en la gestión segura de agentes, máquinas y componentes automatizados, especialmente en el contexto de su nueva plataforma AI Control Tower.
—
### 2. Contexto del Incidente o Vulnerabilidad
La proliferación de agentes automatizados, bots, APIs y máquinas virtuales en infraestructuras empresariales ha generado una nueva superficie de ataque. Según datos del informe Gartner IAM Market Trends 2024, cerca del 60% de las identidades gestionadas en grandes organizaciones ya no son humanas, sino máquinas o agentes automatizados. Estos «non-human identities» (NHIs) suelen estar menos protegidos que las identidades humanas tradicionales, constituyendo un vector de ataque crítico, empleado por actores de amenazas avanzadas para la escalada de privilegios o el movimiento lateral.
En los últimos años, se han identificado incidentes relevantes de explotación de credenciales de servicio, API Keys y tokens de acceso de máquinas, como el caso SolarWinds (2020) y las brechas recientes en servicios cloud, donde los atacantes utilizan identidades no humanas comprometidas para acceder a datos sensibles o desplegar ransomware.
—
### 3. Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)
La gestión inadecuada de identidades no humanas puede dar lugar a múltiples amenazas técnicas, entre las que destacan:
– **Vector de ataque principal**: Robo o uso indebido de credenciales de API, tokens OAuth y certificados de máquinas.
– **TTP MITRE ATT&CK relevantes**:
– **T1078**: Valid Accounts (Machine Accounts)
– **T1552**: Unsecured Credentials
– **T1550**: Use of Application Layer Protocol
– **CVE relevantes**: CVE-2023-34362 (MOVEit Transfer SQL Injection), donde la explotación de credenciales de servicio facilitó el acceso masivo.
– **IoC**: Actividad anómala de cuentas de servicio, generación inusual de tokens de acceso, movimientos laterales entre servicios cloud, y logs de autenticación desde ubicaciones no habituales.
La solución adquirida por ServiceNow, aún sin nombre público concreto, incorpora capacidades avanzadas de descubrimiento, inventariado y gestión de ciclo de vida de identidades no humanas. Se integra con frameworks como **OpenID Connect**, **SAML 2.0** y soporta la monitorización en tiempo real mediante SIEMs y soluciones SOAR. Además, proporciona APIs para orquestación de políticas de privilegios mínimos y auditorías automáticas sobre el uso de credenciales de máquinas.
—
### 4. Impacto y Riesgos
El impacto de una gestión deficiente de NHIs puede ser crítico. Según Ponemon Institute, el 80% de las brechas en entornos cloud en 2023 involucraron algún tipo de identidad no humana comprometida. La explotación de estas identidades permite a los atacantes evadir controles tradicionales, desplegar payloads con herramientas como **Cobalt Strike** o **Metasploit**, y mantener persistencia mediante la creación de nuevas cuentas de servicio.
Desde el punto de vista normativo, la protección de identidades no humanas está alineada con los requisitos de **GDPR** (art. 32: Seguridad del tratamiento) y la nueva **Directiva NIS2**, que exige controles robustos de acceso tanto para usuarios como para sistemas automatizados.
—
### 5. Medidas de Mitigación y Recomendaciones
Para mitigar estos riesgos, los equipos de ciberseguridad deben:
– **Inventariar y categorizar todas las identidades no humanas** (agentes, bots, servicios, máquinas virtuales).
– **Implementar políticas de privilegio mínimo** y rotación frecuente de credenciales.
– **Auditoría continua** de accesos y anomalías mediante SIEM y UEBA.
– **Integrar soluciones PAM (Privileged Access Management)** específicas para NHIs.
– **Automatizar la revocación de accesos** a identidades obsoletas o comprometidas.
– **Controlar el ciclo de vida** de las credenciales de API y tokens, evitando hardcoding y exposiciones accidentales en repositorios de código.
– **Actualizar y parchear** tanto las aplicaciones como los frameworks de autenticación utilizados.
—
### 6. Opinión de Expertos
Especialistas como Fernando Gómez, CISO de una gran multinacional europea, advierten: “Las identidades no humanas son la asignatura pendiente en la mayoría de los programas IAM. La integración de soluciones avanzadas como la adquirida por ServiceNow puede marcar la diferencia a la hora de contener movimientos laterales o accesos fraudulentos en arquitecturas Zero Trust”.
Por su parte, Marta Ruiz, analista de amenazas en un SOC, apunta: “El uso de machine identities está creciendo exponencialmente con el auge de la automatización y la IA. Sin controles estrictos, los atacantes tienen la puerta abierta para explotar estos recursos”.
—
### 7. Implicaciones para Empresas y Usuarios
Las organizaciones que adoptan plataformas de automatización y AI, como ServiceNow AI Control Tower, deben priorizar la gestión de identidades no humanas en sus estrategias de ciberseguridad. Ignorar este vector puede provocar pérdidas millonarias, sanciones regulatorias y daño reputacional. Los usuarios finales, aunque menos expuestos directamente, se ven afectados por la posible fuga o manipulación de datos a través de estos agentes automatizados.
—
### 8. Conclusiones
La adquisición de una solución de control de identidades no humanas por parte de ServiceNow representa un paso relevante hacia una gestión integral de la seguridad en entornos automatizados y de IA. Ante la tendencia creciente de ataques dirigidos a NHIs, las empresas deben adoptar estrategias proactivas y tecnologías específicas para proteger este vector crítico, alineándose con las mejores prácticas y los nuevos requisitos regulatorios europeos.
(Fuente: www.darkreading.com)