Todas las organizaciones se enfrentan al reto de dar respuesta a las cuestiones de seguridad que plantea la aparición de los agentes de IA. En ningún ámbito estas cuestiones son más cruciales que en la infraestructura de seguridad de la identidad.
Los ciberdelincuentes atacan sin descanso los entornos híbridos de Active Directory, Entra ID y Okta, ya que, si logran hacerse con el control del sistema de identidades, pueden hacerse con el control de toda la red. Sin una infraestructura de identidades operativa, la actividad empresarial se paraliza, ya que los usuarios ya no pueden acceder a aplicaciones y servicios críticos.
Esta guía práctica se centra específicamente en las identidades de los agentes de Entra ID y en los ataques dirigidos contra ellas. Elaborada por el equipo de investigación de Semperis, la guía se divide en capítulos que se pueden consultar fácilmente y cuyo objetivo es ayudar a las organizaciones a comprender cómo aborda Microsoft las identidades tanto humanas como no humanas en Entra ID, y cómo las organizaciones pueden proteger estos activos críticos frente a los autores de amenazas.
A medida que avances por los capítulos, verás enlaces y referencias a los «puntos de control prácticos»: breves tutoriales prácticos que muestran los objetos y comportamientos exactos que estamos tratando. Si lo que te interesa es el modelo mental, no dudes en leerlos por encima. Si estás realizando pruebas en tu propio tenant, son la forma más rápida de seguir el hilo. Cada punto de verificación es independiente y mantiene una lista actualizada de identificadores (plantilla, principal, identidad del agente, usuario del agente) para que los artículos posteriores de la guía puedan hacer referencia a los mismos objetos.
¿Listos? ¡Empecemos!
Contenido de la serie
- Te presentamos las identidades de Entra ID Agent (por cierto, no son personas)
- La taxonomía de las identidades de carga de trabajo en Entra ID: aplicaciones empresariales, entidades de servicio y otras formas de confusión organizada
- Conceptos básicos sobre el ID de Microsoft Agent y la plataforma de identidad de Agent
- Identidades de los agentes: análisis en profundidad del diseño
- El Registro de Agentes: no es el registro en el que estás pensando
- Qué puede salir mal con las identidades de los agentes en Entra ID… y cómo evitar un desastre
- Ejercicio práctico n.º 1: Creación de un identificador de agente con MS Graph
- Ejercicio práctico n.º 2: Configuración de los permisos de identidad de los agentes
- Ejercicio 3: Registro de un agente —con y sin ID de agente—
- Punto de control práctico n.º 4: Verificación de tokens y reclamaciones en tres flujos de autenticación
Descargo de responsabilidad
Esta guía se basa en la documentación oficial de Microsoft, en presentaciones públicas y en observaciones personales. Dado que las funciones de Agent ID aún se encuentran en fase de vista previa pública, ten en cuenta que algunos comportamientos, API y elementos de la interfaz de usuario podrían cambiar con el tiempo.
