Perfil fantasma: cuando una cuenta olvidada puede derribar tu seguridad

Todo empezó con una auditoría rutinaria. Un nombre apareció entre los accesos activos a sistemas críticos.No tenía foto. No tenía historial de uso reciente. No estaba en Recursos Humanos. Y lo más inquietante: tenía privilegios de administrador. Así comenzó la historia de un usuario fantasma que llevaba meses, quizá años,  con acceso completo al entorno digital… sin que nadie pudiera confirmar quién era, por qué existía o si alguien lo había creado intencionalmente.

El usuario invisible, la amenaza perfecta

Este tipo de cuenta, llamada en seguridad una cuenta huérfana, representa un vector de ataque silencioso:

• No tiene dueño asignado.
• No está atada a un flujo de ciclo de vida claro.
• Puede tener privilegios heredados.
• Pasa desapercibida en auditorías manuales.

Y mientras nadie “se atreve a borrarla”, permanece latente como puerta trasera para atacantes o como punto ciego en caso de fuga de información.

¿Por qué existen estas cuentas?

En entornos donde el aprovisionamiento y desaprovisionamiento no está automatizado, es común que los usuarios permanezcan activos tras un cambio de rol, baja de personal o incluso error de sincronización.
A eso se suma la fragmentación de sistemas: lo que se actualiza en RRHH no siempre se refleja en los sistemas de TI… y viceversa.

Peor aún, cuando hay presión por acceso rápido o tareas urgentes, se crean usuarios “temporales” que terminan siendo permanentes por olvido.

Tecnología que devuelve el control

Con Okta Lifecycle Management y SPHERE, es posible erradicar este tipo de amenazas invisibles desde la raíz:

1. Automatización del ciclo de vida: altas, bajas y cambios de acceso conectados a HRIS o fuentes confiables.
2. Descubrimiento de cuentas huérfanas: SPHERE identifica usuarios sin propietario, sin uso, con permisos excesivos o sin trazabilidad.
3. Políticas de acceso justo a tiempo (JIT): ningún acceso permanece si no está justificado en tiempo y contexto.
4. Alertas de comportamiento: con CrowdStrike, cualquier actividad inesperada sobre cuentas inactivas genera una respuesta automática.

Más allá de proteger el perímetro, las organizaciones deben gobernar internamente el acceso.
No basta con saber quién entra, sino también quién permanece y por qué.

Con el acompañamiento de TEC360 y nuestras soluciones líderes en identidad y ciberseguridad, puedes convertir estos puntos ciegos en fortalezas auditables y controladas.

Evita que el próximo incidente venga desde adentro.