Identidades NO Humanas (NHI "Non-Human Identities"): La Gestión de un Riesgo de Seguridad Emergente

Las Identidades No Humanas o Non Human identities (NHI) están últimamente en boca de todos los profesionales de la seguridad de la información y la ciberseguridad que centran su profesión en la gestión de Identidades Digitales. Es cierto que en este mundo Post-Covid, donde se produjo una proliferación del trabajo desde cualquier lugar, utilizando cualquier dispositivo (Anywhere and Anydevice) trajo asociado, en muchos casos, la eliminación del perímetro de red como capa de protección, al igual que las medidas de seguridad a nivel de puesto de trabajo.

Figura 1: Identidades NO Humanas (NHI "Non-Human Identities").

La Gestión de un Riesgo de Seguridad Emergente

Todo esto se produjo gracias a que se comenzó a fomentar que los usuarios se pudieran conectar desde cualquier dispositivo y desde cualquier ubicación. Ee esta manera la identidad, y más concretamente la seguridad en la identidad, pasa a ser el nuevo perímetro, la capa principal y, en muchas casos, única donde puedes poner medidas de seguridad ya que no hay control del dispositivo o la red de conexión desde la que el empleado se conecta.

La mayoría de las empresas entendieron muy pronto este desafío de seguridad y se pusieron manos a la obra implementando medidas de seguridad focalizadas en la protección de la identidad de los usuarios que consumían sus aplicaciones o servicios digitales, donde implementando un factor de autenticación robusto en la autenticación, como pueden ser los basados en Push notificaciones en dispositivos móviles, los basados en Biometría o incluso optando por Passkeys o Yubikeys para obtener una seguridad adicional y eliminar las passwords ya conseguías protegerte en gran medida.

Figura 2: Las Yubikeys

Adicionalmente, si esto lo combinabas con un sistema de “Unknown login location” simplemente geolocalizando la dirección IP pública desde la que los usuarios consumen los servicios digitales, y respondiendo con una verificación de la legitimidad cuando los usuarios intentan conectar de localizaciones que varían significativamente de las habituales, entonces ya estarías gestionando y controlando bastante bien el uso de las identidades digitales, al menos en lo que al proceso de autenticación se refiere.

Identidades No Humanas

Fenomenal, con lo que hemos explicado brevemente en la parte superior entendemos a grandes rasgos el paradigma de gestión las identidades digitales de los empleados (Humanos) que consumen los servicios digitales de nuestra organización. ¿Pero qué pasa con las Identidades No Humanas? O, mejor dicho, ¿Qué son las identidades no Humanas? ¿Por qué son importantes? ¿Hay algún motivo que nos haga pensar que el riesgo relacionado con las mismas está en aumento? 

Pues bien, a estas preguntas intentaremos darlas respuesta en este artículo y así clarificar igualmente si la gestión de las Identidades no Humanas (NHI) es simplemente una moda potenciada por los equipos marketing de los diferentes fabricantes de software de identidad que quieren subirse a este barco, o por el contrario es un riesgo emergente sobre el cual deberíamos empezar a actuar si aún no lo hemos hecho.

¿Qué son las Identidades No Humanas?

Empecemos explicando qué se entiende como una Identidad No Humana, donde de una manera muy simplista podemos definirla como toda aquella identidad que ejecuta una carga de trabajo y/o existe en un directorio de identidades pero que no está relacionado con una persona física (Humana). De esta manera, y desglosando un poco más, entendemos como Identidades No Humanas todas aquellas relacionadas con máquinas y dispositivos, como servidores, contenedores, estaciones de trabajo, dispositivos móviles, dispositivos de OT, dispositivos IOT, etcetera.

A estas hay que sumar todas las identidades relacionadas con cargas de trabajo de software, como cuentas de servicio, APIS, cuentas de conexión a Bases de Datos o Aplicaciones utilizadas por software, cuentas de ejecución de scripts, Robotic Process Automation (RPA), Chatbots, Agentes AI basados en LLMs., y un largo etcétera de cuentas que antes simplemente llamábamos "Cuentas de Servicios" y que ahora se están multiplicando por doquier, y empiezan a ser manejadas por modelos de Inteligencia Artificial o directamente Robots o Humanos Digitales, haciendo muchas más funciones y actividades que lo que haría un simple "servicio".

Por lo tanto, tenemos una gran variedad en cuanto a su tipología y que además se ha incrementado significativamente en los últimos años, donde hemos pasado de tener la sorprendente proporción de 1 Identidad Humana por cada 10 Identidades No Humanas, que era la figura que reportaban los analistas en 2020, a una proporción de 1 Identidad Humana por cada 50 Identidades No Humanas en 2025. Donde a día de hoy, incluso ciertos analistas consideran que la figura puede ser mayor y en algunos casos la proporciona se reporta como 1 Identidad Humana por cada 80 Identidades No Humanas.

Figura 3: Datos del "2025 Identity Security Landscape de CyberARK"

Tras observar la tendencia creciente en la proporción de Identidades Humanas versus Identidades No Humanas, y por lo tanto la necesidad de gestionar y proteger cada vez más identidades no humanas, procedamos dar respuesta a la segunda de nuestras preguntas.  

¿Por qué son importantes las Identidades No Humanas?

Son importantes porque en la mayoría de los casos tienen un nivel de privilegios alto y porque la gestión de las mismas no siempre es la ideal, pensemos simplemente si en algún caso tenemos una cuenta de servicio en nuestro directorio activo donde las credenciales llevan tiempo sin rotarse o si tenemos alguna API configurada para su acceso con un Clientid + Secret y si los mismos están o han podido estar "hardcodeados" en algún código, seguro que todos tenemos casos y estoo sin querer meternos en la gestión de los agente de IA que hacen uso de las tools mediante MCP Servers o escenarios más novedosos y de los que somos menos conscientes y por lo tanto tenemos menos sistemas protección, detección respuesta.

¿Está aumentando el riesgo asociado a las Identidades No Humanas?

Una vez hemos llegado a este punto estaremos en posición de determinar si el riesgo con la Identidades No Humanas está en aumento, donde teniendo en cuenta su incremento exponencial en las empresas y organizaciones, combinado con que en muchos casos la identidad es la única capa de seguridad que se dispone, que además estas NHI suelen privilegiadas, y que no se cuenta en la mayoría de los casos con herramientas o sistemas que permitan tener un monitorización y/o trazabilidad del uso y comportamientos de ellas, podemos fácilmente afirmar que las Identidades No Humanas y especialmente aquellas que tengan unos privilegios más altos, representan un botín más grande sin son comprometidas y son un objetivo claro y en aumento para cibercriminales.

Figura 4: Ciberataque contra Dropbox Sign en Incibe

Hoy en día ya se conocen públicamente graves incidentes de seguridad que de una manera u otra están relacionadas con la gestión - o errores en esta mejor dicho - de las Identidades No Humanas, como por ejemplo el incidente  de seguridad que sufrió Beyondtrust con la API Key que usaba para varios clientes en software de soporte remoto o el incidente de seguridad con el servicio Dropbox sign tras ser comprometida una cuenta de servicio y sobre el cual el propio Incibe hacía eco.

Conclusiones sobre Identidades No Humanas

Concluimos pues que la gestión de las Identidades No Humanas no es simplemente una moda. Es realmente es un riesgo de seguridad de emergente que muy probablemente ira apareciendo como un riesgo residual, con un riesgo residual cada más alto en los análisis de riesgos de todo tipo de compañías si no se empiezan a implementar controles mitigantes, donde la acciones que deberíamos empezar a plantearnos desde ya para las Identidades No Humanas deberían ser:

• Descubrir: Para poder gestionar o realizar cualquier otra acción primero debemos conocer nuestras identidades no humanas y esto no es una tarea sencilla

• Inventariar y clasificar: Debemos al menos ser capaces de asignar un propietario de cada identidad no humana, así como distinguir las privilegiadas de las no privilegiadas

• Gestionar el ciclo de vida: Por supuesto asegurando la terminación de las identidades no humanas que ya no son necesarias, la creación de nuevas identidades siguiendo las fases pertinentes de aprobación y con un propietario asignado, e idealmente realizando una revisión de privilegios o permisos de manera periódica, idealmente cada 6 meses

• Gestión de credenciales: Aquí deberíamos tener en cuenta el rotado de credenciales, el cifrado, el almacenamiento de la mismas en vaults de secretos cuando proceda, así como evitar que los secretos estén en repositorios de código o similar donde puedan ser accedidos sin mayores controles.

Una vez que tengamos estos cuatro puntos conseguidos o medio conseguidos, ya podríamos pensar en escenarios más avanzados como la detección de anomalías de uso de Identidades No Humanas o la protección en tiempo real de las mismas.

Saludos,

Autor: Samuel López Trenado, especialista en Gestión de Identidades Digitales

Contactar con Samuel López Trenado

DotNet Conference Spain 2025: Un evento L-Size para hacker & developer. 19 de Junio en Madrid.

El próximo 19 de Junio en Madrid tendrá lugar una nueva edición de la mítica DotNet Conference Spain de nuestros amigos de PlainConcepts, donde yo voy a tener el honor de compartir escenario con viejos amigos que ya lo han compartido conmigo décadas atrás, como son el mítico David Carmona o el pequeño-gran Luis Fraile, además de un elenco de charlas espectacular.

Figura 1: DotNet Conference Spain 2025.

Un evento L-Size para hacker & developer

19 de Junio en Madrid.

El evento será el día 19 de Junio, como os he dicho al principio. Será en Kinépolis de la Ciudad de la Imagen de Madrid, y tendrá charlas y charlas para developers & hackers, así que márcalo en tu calendario que será un evento en el que sin duda disfrutarás de la tecnología.

Figura 2: Ponentes de la DotNet Conference Spain 2025

con David Carmona y Midudev entre otros muchos.

Entre los ponentes, además de estar David Carmona, como ya os he dicho, estará Ana Escobar de Intel, Glenn Condron, que es Principal Product Manager en Microsoft, el genial Miguel Durán, midudev, o Isabel Delgado que es Senior Technical Specialist Azure Data & AI en Microsoft, entre otros. Pero también estarán Carlos Mendible, que es Principal Cloud Solution Architect en "la micro", Javier Carnero, que es Research Manager en Plain Concepts y el mi viejo amigo Luis Fraile que es un todoterreno del DevOps.

Figura 3: Carlos Mendible, Javier Carnero y Luis Fraile

también darán charlas en la DotNet Conference Spain 2025

Las entradas las puedes comprar hasta fin de mes por 40 €, y después hasta el día del evento por 55€, así que más vales que las compres ahora, pero... si tienes cuenta en MyPublicInbox, con 300 Tempos consigues un descuento de 15 € como ves en las imágenes siguientes, con lo que tu entrada pasaría de 40€ a 25€ y si la compras después - mala idea - el precio pasará a 40€.

Figura 4: Conseguir las entradas de la DotNet 2025

Para conseguir el código descuento, entra en tu cuenta de MyPublicInbox, consigue 300 Tempos - que los puedes conseguir con las campañas de Tempos Gratis, apoyándome a mí en Twitter/X con el servicio de Tempos x Tweets/Posts, o comprándolos si te falta alguno, y luego irte a la sección de Canjear Tempos. Ahí encontrarás el cupón de DotNet2025 que te dará ese descuento de 15€ en tu entrada.  Hazlo ahora mismo y te ahorras la subida (15€ y te descuentas los otros 15€, que ambos suman 30€ menos que los que lo hacen mal y a destiempo)

Figura 5: Consigue15 € de descuento

en la entrada de DotNet2025

Y después, lo aplicas en la compra de la entrada como he hecho yo en la Figura 4, y te haces una entrada en la agenda para que ese día no te moleste nadie y no se te pase. Además, todos los asistentes a este evento tendrán 100 Tempos gratuitos de MyPublicInbox cortesía de nuestros amigos de PlainConcepts, que podréis utilizar para lo que queráis más adelante, así que no te faltes a la cita.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Todos los programas de formación para especializarte en el Campus Internacional de Ciberseguridad

Llevo muchos años trabajando en ciberseguridad, y si algo tengo claro es que este campo necesita cada vez más talento, más pasión y más formación. Por eso creamos 0xWord - cuyos libros son material de apoyo en todas las formaciones en las que participamos -, por eso creamos Singularity Hackers, por eso doy conferencias en las que hablo de Cibeseguridad, y por eso trabajo en la creación de programas de formación desde hace más de 25 años. Cómo sabéis, una de esas iniciativas me llevó a enrolarme como Mentor en el Campus Internacional de Ciberseguridad, una escuela pensada para formar a los futuros expertos en seguridad digital. 

Figura 1: Todos los programas de formación para especializarte

en el Campus Internacional de Ciberseguridad

Ese es un lugar donde puedes empezar desde cero, especializarte en áreas avanzadas, o reconducir tu carrera hacia un sector con futuro un futuro profesional más que prometedor. Y ya se han abierto ya las matrículas para la nueva edición de Octubre de 2025. 

Elige una buena base para tu carrera profesional

 

Sí, he dicho Octubre, que se llena rápido y las plazas son limitadas. Si estás pensando en formarte en ciberseguridad, ahora es el momento. Y como os podéis imaginar, esta carrera profesional es de largo recorrido. Hay que dedicar una vida a ella, pero todo camino tiene un paso tras otro. Os doy una pincelada y un recorrido sobre ellos.

Figura 2: Máster en Ciberseguridad

El camino suele empezar aquí. Si tienes una base técnica y quieres adentrarte en la ciberseguridad de forma seria, práctica y orientada a la realidad del sector, éste es tu punto de partida. Aquí se aprende a:

• Gestionar y responder ante incidentes reales.
• Proteger sistemas operativos, redes, servicios en la nube.
• Analizar vulnerabilidades y aplicar medidas de hardening.
• Entender cómo se atacan y defienden los sistemas actuales.

Múltiples Certificaciones incluidas: Todos los alumnos al finalizar su formación reciben seguro doble titulación: 

• Título de la Universidad Católica de Murcia (UCAM)
• Certificado del Campus Internacional de Ciberseguridad.

Además pueden optar a la Certified Cyber Security Professional (CCSP) de ISMS FORUM y también a la de Administrador de Transformación Digital de Zscaler (ZDTA). Esta certificación ayudará a los alumnos a implementar y gestionar Zero Trust Exchange de Zscaler.

• Perfil de entrada: Técnicos, desarrolladores, sysadmins, recién graduados o profesionales en transición.
• Objetivo: Convertirte en un perfil generalista en ciberseguridad, preparado para incorporarte a equipos SOC, blue teams o departamentos de IT.

Una vez tienes esa base, puedes especializarte en la ruta que más te apasione. Aquí te presento las opciones diseñadas con un enfoque claro: formar expertos reales, preparados para los retos del presente (y del futuro).

Figura 3: Máster en Ciberinteligencia

Piensa como un analista. Actúa como un cazador. Este máster te convierte en los ojos y oídos del ciberespacio. Aprenderás a identificar amenazas antes de que golpeen, utilizando herramientas de OSINT, análisis de actores, técnicas de atribución y perfilado. Con material de 0xWord

Figura 4: Open Source INTelligence (OSINT): Investigar personas e Identidades en Internet 2ª Edición de 0xWord, escrito por Vicente Aguilera y Carlos Seisdedos

Triple Certificación incluida: Todos los alumnos al finalizar su formación reciben seguro doble titulación, y una certificación.

• Título de la Universidad Católica de Murcia (UCAM)
• Certificado del Campus Internacional de Ciberseguridad.
• Certificación Administrador de Transformación Digital de Zscaler (ZDTA). 

Esta certificación ayudará a los alumnos a implementar y gestionar Zero Trust Exchange de Zscaler. Las temáticas de esta formación son:

• Inteligencia de amenazas (Threat Intel)
• Técnicas OSINT avanzadas
• Modelos de atribución y análisis geopolítico
• Plataformas de inteligencia y visualización

Ideal si quieres trabajar en equipos de inteligencia, SOCs, cuerpos policiales o análisis de amenazas para grandes empresas. Se te entrena para actuar con cabeza fría y datos precisos.

Figura 5: Máster en IA Aplicada a la Ciberseguridad

La Inteligencia Artificial también juega… y no siempre en tu equipo, así que tienes que aprender a cómo sacarle partido. La IA está cambiando las reglas del juego en ciberseguridad. Desde ciberataques automatizados hasta sistemas de detección más inteligentes. Este máster te enseña a usarla a tu favor, entender sus riesgos… y adelantarte a su uso malicioso. ¿Qué vas a aprender?

• Aplicaciones de machine learning y deep learning en detección de amenazas
• Análisis de malware con IA
• Técnicas de OSINT automatizado con IA
• Generación y detección de ciberataques mediante modelos generativos (IA generativa)
• Riesgos, sesgos y ética en la aplicación de IA a la ciberseguridad

Múltiples Certificaciones incluidas: Todos los alumnos al finalizar su formación reciben seguro doble titulación: 

• Título de la Universidad Católica de Murcia (UCAM)
• Certificado del Campus Internacional de Ciberseguridad.

Además pueden optar a la Certified Artificial Intelligence and Information Security Professional (CAIP) de ISMS FORUM y también a la de Administrador de Transformación Digital de Zscaler (ZDTA). Esta certificación ayudará a los alumnos a implementar y gestionar Zero Trust Exchange de Zscaler.

Figura 6: Libro de Machine Learning aplicado a Ciberseguridad de
Carmen Torrano, Fran Ramírez, Paloma Recuero, José Torres y Santiago Hernández

¿Para quién es este máster?

Si ya trabajas en seguridad y quieres ir un paso por delante. Si vienes del mundo de la IA y quieres aplicarla al campo con mayor proyección del momento. O si simplemente quieres entender cómo esta tecnología está transformando la defensa (y el ataque). Porque los atacantes ya están usando IA. La pregunta es: ¿y tú?

Figura 7: Máster en Seguridad Ofensiva

El arte de pensar como un atacante. Aquí aprendes a romper cosas. Legalmente, claro. Es el máster para quienes quieren dominar el Pentesting, el Hacking Etico y Exploiting de vulnerabilidades. Aprenderás desde lo básico hasta lo más avanzado.

Figura 8: "The Art of Pentesting" El nuevo libro de

0xWord para formarse como pentester

Es, además, uno de los pocos másteres del mercado que te prepara de verdad para conseguir la tan ansiada certificación OSCP (Offensive Security Certified Professional). Si ese es tu objetivo, aquí vas a entrenarte como se debe, con prácticas reales, laboratorios exigentes y mentores que ya han pasado por ahí. Estos son los temas tratados.

• Hacking web, redes, sistemas y cloud
• Explotación de vulnerabilidades y desarrollo de exploits
• Técnicas de evasión y post-explotación
• Escalada de privilegios, pivoting, acceso persistente

Triple Certificación incluida: Todos los alumnos al finalizar su formación reciben seguro doble titulación, y una certificación.

• Título de la Universidad Católica de Murcia (UCAM)
• Certificado del Campus Internacional de Ciberseguridad.
• Certificación Administrador de Transformación Digital de Zscaler (ZDTA). 

Esta certificación ayudará a los alumnos a implementar y gestionar Zero Trust Exchange de Zscaler. Las temáticas de esta formación son:

• Inteligencia de amenazas (Threat Intel)
• Técnicas OSINT avanzadas
• Modelos de atribución y análisis geopolítico
• Plataformas de inteligencia y visualización

Tiene un enfoque 100% práctico, con laboratorios reales y simulación de entornos corporativos, y es perfecto si quieres ser Pentester, Red Teamer o entrar en el mundo del Bug Bounty.

Figura 9: Máster en Reversing y Análisis de Malware

Desentrañar lo oculto. Decodificar lo imposible. Este máster te lleva al nivel más bajo: ensamblador, binarios, análisis forense, malware... Si te fascina saber cómo funcionan las cosas por dentro, este es tu camino.

Figura 10: "Malware moderno: Técnicas avanzadas y su influencia en la industria"

de Sergio de los Santos en  0xWord

⚙️ Temáticas:

• Análisis de malware y técnicas anti-reversing
• Reversing de aplicaciones y binarios en Windows y Linux
• Ingeniería inversa aplicada al mundo real
• Técnicas de análisis estático y dinámico

Triple Certificación incluida: Todos los alumnos al finalizar su formación reciben seguro doble titulación, y una certificación.

• Título de la Universidad Católica de Murcia (UCAM)
• Certificado del Campus Internacional de Ciberseguridad.
• Certificación Administrador de Transformación Digital de Zscaler (ZDTA). 

Esta certificación ayudará a los alumnos a implementar y gestionar Zero Trust Exchange de Zscaler. Las temáticas de esta formación son:

• Inteligencia de amenazas (Threat Intel)
• Técnicas OSINT avanzadas
• Modelos de atribución y análisis geopolítico
• Plataformas de inteligencia y visualización

Es ideal para quienes quieren dedicarse al análisis de amenazas avanzadas, ciberinteligencia técnica o forense digital. Si te gusta desmontar relojes, este máster es tu laboratorio.

Figura 11:  Máster en DevSecOps y Seguridad en la Nube

Cloud + Seguridad + Automatización = Futuro. Hoy todo pasa por la nube. Y si no está bien protegida, se convierte en la puerta de entrada perfecta para los atacantes. Este máster te enseña a integrar la seguridad en todo el ciclo de desarrollo: desde el código hasta el despliegue.

☁️ Temáticas:

• Seguridad en Azure, AWS y entornos Kubernetes
• Automatización de pipelines seguros (CI/CD)
• Infraestructura como código (IaC)
• Seguridad en contenedores, microservicios y APIs

Múltiples Certificaciones incluidas: Todos los alumnos al finalizar su formación reciben seguro doble titulación: 

• Título de la Universidad Católica de Murcia (UCAM)
• Certificado del Campus Internacional de Ciberseguridad.

Además pueden optar a la Certified Artificial Intelligence and Information Security Professional (CAIP) de ISMS FORUM y también a la de Administrador de Transformación Digital de Zscaler (ZDTA). Esta certificación ayudará a los alumnos a implementar y gestionar Zero Trust Exchange de Zscaler.

Figura 12: "Amazon Web Services (AWS):  Hardening deInfraestructuras Cloud Computing"de Abraham Romero en 0xWord.

Si vienes del mundo DevOps o eres desarrollador y quieres proteger lo que construyes, este máster es tu siguiente paso.

Un campus global, una comunidad real

En el Campus Internacional de Ciberseguridad no estás solo, estás rodeado de:

• Profesionales en activo que comparten contigo lo que hacen cada día.
• Alumnos que ya están trabajando en empresas punteras del sector.
• Eventos, ferias, oportunidades reales de networking y empleabilidad.
• Tutores que te guían durante todo el camino y te ayudan a especializarte.

Además, si necesitas hablar conmigo, en todos los Másters recibes Tempos y podrás usar MyPublicInbox para enviarme consultas, recibir feedback, conectarte conmigo y estar al día del sector.

Figura 13: Visualiza este vídeo de 1 minuto en MyPublicInbox

sobre los programas y gana 50 Tempos gratis.

Porque la formación no acaba en el aula. Pero puedes conocer más aún - y ganar 50 Tempos gratis de MyPublicInbox en el vídeo un minuto donde Sergio de los Santos, Fran Ramírez y otros profesores te cuentan en qué consiste la experiencia de estos programas.

Figura 14: Visualiza este vídeo de 1 minuto en MyPublicInbox

sobre los programas y gana 50 Tempos gratis.

La comunidad es parte esencial del aprendizaje. En la web del Campus Internacional de Ciberseguridad tienes todos los programas y podrás apuntarte a una Openclass gratuita. Ahí podrás hablar también con un asesor que te ayude a elegir el mejor plan de formación para ti.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Cómo servir modelos de ML e IA (LLMs) en Kubernetes con KServe: Autoscaling Inteligente y Eficiencia en GPU

La Inteligencia Artificial no se detiene, y su adopción en producción tampoco, pero hay una brecha silenciosa entre entrenar un modelo y servirlo de forma eficiente, escalable y mantenible. Aquí es donde Kubernetes se convierte en el aliado perfecto, y donde herramientas como KServe (el sucesor de KFServing) brillan.

Figura 1: Cómo servir modelos de ML e IA (LLMs) en Kubernetes con KServe.

Autoscaling Inteligente y Eficiencia en GPU

En este artículo te cuento cómo puedes montar una plataforma moderna para servir modelos de IA y LLMs sobre Kubernetes, aprovechar las novedades más recientes de KServe, y hacer que tu infraestructura escale según uso real y consumo de GPU. 

Figura 2: Arquitectura de KServe

Spoiler: sí, se puede tener eficiencia, velocidad y buena arquitectura al mismo tiempo.

¿Por qué servir modelos sobre Kubernetes?

Entrenar un modelo es sólo la mitad del camino. Lo difícil viene después: ponerlo a funcionar en producción de forma fiable, segura y escalable.

• Alta disponibilidad
• Autoescalado según carga real
• Seguridad, versionado, observabilidad
• Integración con pipelines CI/CD y orquestadores como Argo Workflows o Kubeflow

Kubernetes permite todo esto. Pero no hay que reinventar la rueda, y ahí entra KServe.

Antes de continuar… ¿Qué es Kubeflow y qué ofrece?

Kubeflow es una plataforma Open Source pensada para desplegar, escalar y gestionar flujos de trabajo de Machine Learning (ML) sobre Kubernetes. Su objetivo principal es llevar el desarrollo de modelos de ML a producción de forma reproducible, escalable y portátil.

Figura 3: Componentes de Kubeflow

Kubeflow no es una herramienta única, sino un conjunto de componentes modulares que cubren distintas etapas del ciclo de vida del modelo de Machine Learning:

• Kubeflow Pipelines: Orquestación de pipelines de ML (entrenamiento, preprocesado, validación, etcétera).

• Katib: AutoML y búsqueda de hiperparámetros.

• KServe (antes KFServing): Serving de modelos con escalado automático y despliegues sin downtime.

• Notebook Servers: Entornos Jupyter en Kubernetes, listos para trabajar con datos y modelos.

• Central Dashboard y Profiles: Gestión multiusuario, RBAC, y control de recursos por equipo o proyecto.

Kubeflow se posiciona como una plataforma completa para MLops sobre Kubernetes, especialmente útil cuando necesitas estandarizar y automatizar todo el flujo de trabajo desde el desarrollo hasta el despliegue.

Figura 4: Libro de Machine Learning aplicado a Ciberseguridad de
Carmen Torrano, Fran Ramírez, Paloma Recuero, José Torres y Santiago Hernández

Aunque KServe puede funcionar por separado de Kubeflow, se integra perfectamente como pieza de serving dentro del stack Kubeflow.

KServe: servir modelos como si fueran microservicios

KServe es un componente de Kubeflow, pero puede usarse de forma independiente. Te permite desplegar modelos como recursos de Kubernetes (CRDs), exponiéndose vía REST o gRPC, con soporte para, entre otros, PyTorch, TensorFlow, XGBoost, SKLearn, ONNX etc... e incluso tus propios contenedores.

• Lo bueno: cada modelo es un InferenceService, y tú defines lo que necesita: CPU, GPU, versiones, etcétera.

• Lo brutal: KServe soporta escalado automático hasta cero réplicas, y las vuelve a levantar cuando hay tráfico. Nada de infra desperdiciada.

GPU autoscaling

• Puedes escalar vertical y horizontalmente tus modelos en GPU.
• Mediante Prometheus Adapter + HPA Custom Metrics, se puede escalar según uso de memoria GPU, uso de batch o incluso peticiones por segundo.

Raw Deployment mode

• 1.- KServe por defecto usa Knative para autoescalar.
• Escala basándose en tráfico HTTP (requests por segundo).

• Esto no es suficiente cuando usas GPUs, ya que estas no se liberan con tráfico bajo.

• Además, los workloads con GPU suelen tener procesamiento batch o tiempos largos de inferencia, donde Knative no escala de forma óptima.

• 2.- Para modelos en GPU, muchas veces no se usa Knative, sino raw deployment mode en KServe, para tener más control.
• Aquí ya no dependes de Knative, sino de un Deployment + HPA.

Figura 5: Arquitectura para servir modelos

• 3.- Prometheus Adapter + HPA con métricas personalizadas
• Prometheus Adapter permite exponer métricas personalizadas (por ejemplo: uso de memoria GPU, utilización del device, número de peticiones, etc.) como Custom Metrics API.

• Con eso puedes configurar un HPA (Horizontal Pod Autoscaler) para escalar los pods de inferencia según esas métricas.

• Esto se usa en entornos donde se necesita un autoscaling más inteligente y específico, especialmente con GPU.

Scale down a cero

¿Qué significa “scale down a cero” en KServe?

• Es la capacidad de escalar a cero réplicas un modelo cuando no está recibiendo peticiones, y volver a levantarlo automáticamente (auto-scale up) cuando llega una nueva petición.

¿Qué beneficios tiene esta solución?

• Ahorro de costes brutal: Si tienes muchos modelos desplegados pero no todos se usan constantemente, con scale-to-zero no malgastas CPU ni RAM. Ideal en entornos cloud donde pagas por uso de recursos, como en clusters gestionados (EKS, GKE, AKS…).

• Optimización de recursos en el cluster: En vez de mantener todos los pods activos, los que no reciben tráfico se eliminan temporalmente, dejando espacio a otros workloads que sí lo necesitan. Ayuda a evitar sobrecargas y reduce la necesidad de sobredimensionar el cluster.

• Despliegue eficiente de muchos modelos: Puedes permitir que muchos equipos o usuarios publiquen sus propios modelos sin saturar el sistema. Esto habilita patrones como “multi-tenancy” eficiente para inferencias bajo demanda.

• Escalado bajo demanda: Si un modelo recibe tráfico repentino, KServe lo activa rápidamente. Esto es perfecto para modelos que solo se usan de vez en cuando o que funcionan como microservicios ML reactivos.

Canary rollout

KServe soporta dividir tráfico entre versiones de modelo (v1, v2, etcétera). Por ejemplo puedes hacer un 90/10, observar métricas y logs, y luego promover o descartar la nueva versión. Pero… ¿qué es Canary rollout? 

Figura 6: Canary Rollout

El Canary rollout te permite probar una nueva versión de un modelo (por ejemplo v2) con una pequeña parte del tráfico real, mientras que la versión estable (v1) sigue sirviendo la mayoría del tráfico. Esto es clave para:

• Validar rendimiento y exactitud del modelo en producción.
• Detectar errores o regresiones antes de hacer el cambio completo.
• Observar métricas y logs reales sin impactar a todos los usuarios.

Ejemplo de Canary rollout en KServe

apiVersion: serving.kserve.io/v1beta1
kind: InferenceService
metadata:
 name: sklearn-iris
 namespace: kserve-test
spec:
 predictor:
   model:
     modelFormat:
       name: sklearn
     storageUri: "gs://kfserving-examples/models/sklearn/1.0/model-1"
   canaryTrafficPercent: 10
   canary:
     model:
       modelFormat:
         name: sklearn
       storageUri: "gs://kfserving-examples/models/sklearn/1.0/model-2"

• storageUri: del bloque principal. Apunta a model-1, la versión actual y estable del modelo.
• canary: Define model-2 como la nueva versión que se quiere probar.
• canaryTrafficPercent: 10: indica que el 10% del tráfico entrante será dirigido a model-2, mientras que el 90% restante seguirá siendo servido por model-1.

Novedades destacadas

Desde la versión v0.15.0, KServe ha incorporado mejoras significativas para el despliegue de modelos de lenguaje (LLMs), incluyendo soporte distribuido con vLLM, mejoras en el runtime de Hugging Face y optimizaciones para almacenamiento y readiness. Esto abre la puerta a escenarios como:

• Servir un modelo LLaMA o Falcon en múltiples nodos GPU.

• Integrar modelos de Hugging Face con pipelines existentes y autoscaling por demanda.

• Aprovechar técnicas avanzadas como RAG o agentes con herramientas directamente desde Kubernetes.

Si antes KServe era ideal para modelos tradicionales de Machine Learning, ahora también lo es para los modelos de última generación. 

Algunas otras funcionalidades adicionales:

• Soporte para descarga de archivos individuales desde GCS Google Cloud Storage), lo que mejora los tiempos de inicio.

• Readiness probes más precisas, especialmente para modelos en transformers, mejorando la confiabilidad de despliegues en producción.

• Introducción de “KServe Guru” en Gurubase.io, un espacio para encontrar y compartir soluciones de la comunidad.

Arquitectura tipo: Cómo lo montamos

Una plataforma de inferencia moderna sobre Kubernetes podría verse así:

• KServe + Istio: para gestión de modelos como microservicios.

• Knative Serving: para escalado a 0, cold start optimizado.

• Prometheus + Grafana: para métricas personalizadas de GPU o latencia.

• Cert-Manager + Ingress Gateway: TLS automático para exposición segura.

• ArgoCD o Flux: GitOps para definir modelos como código.

• GPU Operator de NVIDIA: para gestionar drivers y nodos GPU

¿Y si no quieres montar todo esto desde cero?

Aunque herramientas como KServe y Kubeflow son muy potentes, su configuración desde cero puede requerir tiempo, conocimientos avanzados de Kubernetes y una buena integración con infraestructura cloud o on-prem. Aquí es donde entran plataformas como Axebow.io, que están diseñadas para facilitar el despliegue de aplicaciones, entornos de Machine Learning e IA y plataformas completas sobre Kubernetes. Esto permite que equipos de IA y Data Science se enfoquen en desarrollar y servir modelos sin preocuparse por los detalles de infraestructura.

Figura 7: Puedes probar Axebow sin coste

Axebow.io proporciona configuraciones optimizadas para rendimiento, autoscaling con GPU y despliegues reproducibles, lo que reduce la complejidad operativa y acelera el time-to-production. Si estás interesado en saber más, contacta con nosotros.

Autores: Miguel Angel Chuecos /  Carlos García Blanco, CEO de Kumori

Contactar con Carlos García Blanco

"Arquitectura de Seguridad y Patrones de Diseño". El nuevo libro de 0xWord escrito por Elías Grande

Ya os he dicho lo contentos que nos ponemos cuando tenemos un nuevo libro en 0xWord que presentar, y tener el primero del año 2025 en Enero hace que sea un día feliz. Como digo muchas veces, cuesta mucho sacar adelante este proyecto editorial, y poder decir que hoy tenemos ya a la venta el nuevo ejemplar de "Arquitectura de Seguridad y Patrones de Diseño" escrito por Elías Grande, y en el que yo he tenido el placer de escribir el prólogo es por si un hito que tenemos que celebrar. 

Figura 1: "Arquitectura de Seguridad y Patrones de Diseño"

El nuevo libro de 0xWord escrito por Elías Grande

El libro, como os he dicho, lo ha escrito Elías Grande, del que he publicado muchos artículos a lo largo de los últimos años por aquí. Ha estado trabajando en mi equipo, es un ponente destacado en conferencias de seguridad, un trabajador de este mundo y autor ya de otro libro de seguridad. Un autentico profesional del mundo de la cibrerseguridad y voz autorizada.

Figura 2: Contactar con Elías Grande

Este libro es un manual de referencia para aquellos que quieren pasar a ser Arquitectos de Seguridad, y hacerlo siguiendo las normas de la Ingeniería de Seguridad. Para eso se analizan los diferentes Patrones de Diseño y cómo estos se aplican para diferentes tipos de servicios y entornos. Arquitecturas de seguridad para Microservicios, para servicios Web3 o para entornos IoT son tratados en el libro.

Figura 3: "Arquitectura de Seguridad y Patrones de Diseño"

El nuevo libro de 0xWord escrito por Elías Grande.

Para ello, Elías Grande va explicando uno a uno entornos concretos y los va diseñando desde un punto de vista de seguridad, como lo haría un Arquitecto de Seguridad, para no deteriorar el servicio pero dotar desde la ingeniería de la robustez necesaria para hacer que el servicio se pueda lanzar y operar de manera segura. 

Los activos más importantes para cualquier organización son sus usuarios y sus datos. Los usuarios son los que consumen los servicios ofrecidos por las aplicaciones de la organización, y son a través de estas aplicaciones por las que fluyen sus datos e información. Debido a esto, es sumamente relevante mejorar la comprensión y entendimiento, desde un punto de vista de seguridad, de las diferentes formas que pueden tomar estas aplicaciones en función de los modelos de negocio, casos de uso e infraestructura tecnológica disponible de cada organización. 

 

En este libro se abordan los diferentes tipos de arquitecturas software más extendidas a día de hoy a nivel industria como son: las arquitecturas orientadas a servicios, las arquitecturas orientadas a eventos, las arquitecturas de microservicios y las arquitecturas en el Internet de las Cosas. Para cada una de dichas arquitecturas, se analizan en detalle sus características así como sus patrones de diseño arquitecturales más relevantes, teniendo en cuenta los diferentes aspectos y componentes de seguridad a considerar al implementar cada uno de ellos. 

 

Este enfoque proporciona a las disciplinas de seguridad ofensiva y defensiva, de auditoría, y de diseño y desarrollo, el conocimiento y herramientas necesarias para aplicar por diseño la seguridad en las aplicaciones 

 

Estas son las palabras con las que Elías Grande describe este libro dedicado a aquellos que quieren dar un paso en su formación 360 de ciberseguridad y conocer cómo hacer para una aplicación o un servicios un Arquitectura de Seguridad utilizando Patrones de Diseño. Aquí tienes el índice completo:

Figura 4: Índice del libro "Arquitectura de Seguridad y Patrones de Diseño".

El nuevo libro de 0xWord escrito por Elías Grande.

Además, Elías Grande no es un escritor nuevo, ya que no sólo tienes todos su papers publicados en la red, sino que además ya fue co-autor del libro de Docker: SecDevOps (& DevSecOps) que va ya por la segunda edición.

Figura 5: Docker: SecDevOps 2ª Edición de Fran Ramírez, Elias Grande

y Rafael Troncoso en 0xWord.

Así que, si quieres un libro para formarte como Arquitecto de Seguridad, ya tienes este texto disponible para que te lo puedas comprar, y además, puedes usar tus Tempos de  MyPublicInbox. Para terminar, te recuerdo que tendrás también 100 Tempos de MyPublicInbox por la compra de este libro de "Arquitectura de Seguridad y Patrones de Diseño" y que además, puedes pagar completa o parcialmente este libro con Tempos de MyPublicInbox. Aquí te explico cómo se hace. 

Usar tus Tempos de MyPublicInbox 0xWord para adquirir este libro

La idea es muy sencilla, hemos creado un Buzón Público de 0xWord en MyPublicInbox y tenemos disponible el módulo de transferencias de Tempos entre cuentas siempre que el destinatario sea un Perfil Público de la plataforma. Para que se puedan hacer estas transferencias, primero debe estar el Perfil Público destinatario de la transferencia en la Agenda.

Figura 6: Perfil de 0xWord en MyPublicInbox. Opción de "Añadir a  la Agenda".
https://MyPublicInbox.com/0xWord

Para dar de alta un Perfil Público en tu agenda, solo debes iniciar sesión en MyPublicInbox, y con la sesión iniciada ir a la web del perfil. En este caso, a la URL del perfil público de 0xWord en MyPublicInbox, - https://MyPublicInbox.com/0xWord - donde te aparecerá la opción de "Añadir a la agenda". Cuando acabe este proceso, podrás ir a la opción Agenda de tu buzón de correo en MyPublicInbox y deberías tener el Perfil Público de 0xWord allí.

Figura 7: Cuando lo agregues estará en tu agenda

Una vez que lo tengas en la agenda, ya será tan fácil como irte a tu perfil - se accede haciendo clic en la imagen redonda con tu foto en la parte superior - y entrar en la Zona de Transferencias. Desde allí seleccionas el Buzón Público de 0xWord, el número de Tempos que quieres transferir, y en el concepto debes poner que es para recibir un código descuento para usar en la tienda de 0xWord.

Figura 8: Zona de Transferencias en el Perfil de MyPublicInbox

No te preocupes por el texto concreto, porque los procesamos manualmente como los pedidos de se hacen en la tienda. 

Canjear 500 Tempos por un código descuento de 5 €

La última opción es bastante sencilla. Solo debes irte a la sección de Canjear Tempos -> Vales para Tiendas, y "Comprar" por 500 Tempos y código de 5 €. Es lo mismo que enviar la transferencia pero en un paquete de 500 Tempos y de forma totalmente automatizada, así que solo con que le des a comprar recibirás el código descuento y lo podrás utilizar en la tienda de 0xWord.com

Figura 9: Canjear Tempos por Códigos para libros de 0xWord

Así que, si quieres conseguir nuestros libros de Seguridad Informática & Hacking aprovechando los Tempos de MyPublicInbox podrás hacerlo de forma muy sencilla y mucho, mucho, mucho más barato. Y así apoyas este proyecto tan bonito que es 0xWord.com.

Ser escritor de libros de 0xWord

Además, todos lo que queráis convertiros en escritores y hacer un proyecto de libro con nosotros. Podéis también enviarnos vuestra propuesta a través del buzón de 0xWord en MyPublicInbox, y si sois Perfiles Públicos de la plataforma, podéis entrar en la sección de Mi Perfil -> Servicios para ti y solicitar más información sobre el proceso de escribir un libro en 0xWord.

Figura 10: Si eres un Perfil Público de MyPublicInbox

puede solicitar info para escribir un libro en 0xWord

Nuestro equipo se pondrá en contacto contigo y evaluará tu proyecto de publicación de libro. Ya sabes que principalmente de Seguridad Informática & Hacking, y puede ser técnico, súper-técnico, o divulgación, y si es una novela... podemos estudiarlo también.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Infra as Code vs. Platform Engineering: Una Mirada Técnica a la Tendencia Actual

En los últimos años, la gestión y automatización de infraestructuras tecnológicas ha experimentado un cambio significativo. Dos enfoques han surgido como protagonistas: el uso de herramientas de Infra as Code (IaC), y el movimiento hacia la ingeniería de plataformas (Platform Engineering) respaldado por soluciones como Axebow, de la que ya os habló nuestro compañero José Bernabéu-Auban en su artículo: "Platform Engineering as a Service: La encrucijada de la Nube y la ilusión del progreso."

Figura 1: Infra as Code vs. Platform Engineering.

Una Mirada Técnica a la Tendencia Actual

Este artículo explora ambas tendencias, haciendo especial énfasis en la complejidad y el nivel de conocimiento necesario para implementar IaC en entornos multicloud.

Infra as Code: Automatización Granular y Flexible

Infra as Code (IaC) ha sido una revolución para los equipos de DevOps y operaciones. Herramientas como Terraform, Ansible y Pulumi permiten definir y gestionar la infraestructura utilizando código, lo que garantiza consistencia, auditabilidad y capacidad de replicación. 

Figura 2: Docker: SecDevOps 2ª Edición de Fran Ramírez, Elias Grande

y Rafael Troncoso en 0xWord.

Sin embargo, trabajar con ib en entornos multicloud, como AWS, Google Cloud y Azure, agrega capas de complejidad que exigen un nivel avanzado de conocimiento técnico y organización.

Ventajas del Enfoque IaC

1. Granularidad y Control: Las herramientas IaC ofrecen control detallado sobre los recursos. Por ejemplo, con Terraform, se puede definir cada componente de una infraestructura cloud, desde redes hasta bases de datos.

2. Compatibilidad multicloud: Aunque IaC puede implementarse en entornos multicloud, utilizar distribuciones de Kubernetes nativas de los proveedores cloud tipo (EKS, GKE, AKS) puede limitar la portabilidad y la interoperabilidad entre plataformas, lo que puede generar dependencias que dificultan una verdadera estrategia multicloud. 

 

3. Madurez Tecnológica: Muchas herramientas IaC están bien documentadas y cuentan con una comunidad activa, lo que facilita su adopción.

Desafíos del Enfoque IaC

• Complejidad en Entornos Multicloud: Gestionar IaC en una nube ya es complejo; al incorporar múltiples proveedores como AWS, Google Cloud y Azure, se deben manejar diferencias en APIs, servicios y configuraciones. Esto incrementa los riesgos de errores y la necesidad de conocimientos especializados para unificar estrategias.

• Curva de Aprendizaje Pronunciada: Configurar y mantener IaC en un entorno multicloud requiere habilidades avanzadas, lo que implica un costo significativo en términos de formación y tiempo. Los equipos deben dominar lenguajes de configuración, comprender arquitecturas de cada proveedor y desarrollar experiencia en integración. 

 

Esta curva de aprendizaje puede traducirse en retrasos en la implementación y mayores gastos operativos, ya que el tiempo necesario para alcanzar la plena competencia puede ser considerable. Además, los errores derivados de una capacitación insuficiente pueden aumentar los costos asociados al re-trabajo y a la resolución de problemas.

• Escalabilidad Limitada sin Buenas Prácticas: Sin una estrategia bien definida, las configuraciones de IaC pueden volverse inmanejables a medida que crecen las implementaciones.

• Fragmentación Operativa: La falta de estandarización entre nubes puede resultar en implementaciones inconsistentes y más difíciles de mantener.

Platform Engineering: Abstracción y Estandarización

La Ingeniería de Plataformas o Platform Engineering  se posiciona como un enfoque holístico para gestionar infraestructuras y herramientas de desarrollo. Soluciones conocidas como plataformas de ingeniería, entre las que se encuentra Axebow, buscan crear una capa unificada que abstraiga la complejidad técnica y proporcione a los equipos de desarrollo y operaciones una experiencia optimizada.

Figura 3: Puedes probar Axebow sin coste

Beneficios del Enfoque de Platform Engineering

1. Abstracción de Complejidad: Estas plataformas permiten a los equipos trabajar en un entorno preconfigurado que automatiza las configuraciones comunes, reduciendo la necesidad de conocimientos especializados.

Figura 4: Con Axebow, los Developers no necesitan preocuparse

de la infraestructura, y los equipos de operaciones crean

infraestructura como servicio independiente de Cloud Provider.    

2. Control y Optimización de Costes: La ingeniería de plataformas facilita la supervisión y gestión eficiente de los recursos, permitiendo identificar y eliminar ineficiencias en el uso de la infraestructura. Esto es particularmente relevante en entornos multicloud, donde los costos pueden escalar rápidamente si no se controlan adecuadamente. Poder optimizar el coste es un factor fundamental.

Figura 5: Los equipos de DevSecOps pueden proveer infraestructura

como servicio a los developers independiente de Cloud Provider,

reduciendo complejidad y ahorrando costes en la gestión de entornos

de desarrollos, pruebas y producción, usando Axebow.

3. Productividad Mejorada: Con una plataforma estandarizada, los desarrolladores pueden enfocarse en construir aplicaciones en lugar de preocuparse por los detalles de la infraestructura.

Figura 6: Axebow permite que los developers se focalicen

en el código y no en la infraestructura.

4. Escalabilidad Organizacional: La ingeniería de plataformas promueve la coherencia y facilita la escalabilidad al ofrecer una base uniforme para todas las aplicaciones.

5. Seguridad y Gobernanza: La centralización de la gestión reduce los riesgos de configuraciones inseguras o incoherentes.

Figura 7: "Amazon Web Services (AWS):  Hardening deInfraestructuras Cloud Computing"de Abraham Romero en 0xWord.

Desafíos del Platform Engineering

• Costos Iniciales: Implementar este tipo de plataformas requiere una inversión significativa en tiempo y recursos.

• Menor Flexibilidad Inicial: Aunque la abstracción reduce la complejidad, también puede limitar la capacidad de personalización para casos excepcionales.

• Resistencia al Cambio: Los equipos acostumbrados a trabajar con IaC y scripting pueden ser reticentes a adoptar un enfoque centralizado.

Ambos enfoques tienen su lugar en las estrategias modernas de infraestructura. En muchas organizaciones, la convergencia entre ambas filosofías está generando híbridos donde IaC establece las bases de la infraestructura, mientras que la ingeniería de plataformas ofrece una experiencia optimizada para los desarrolladores.

Consideraciones Finales

La elección entre Infra as Code & Scripting vs. Platform Engineering no es excluyente. Las organizaciones deben evaluar sus necesidades específicas, madurez técnica y objetivos a largo plazo. Mientras que IaC es ideal para entornos donde se requiere un control fino y personalización, la ingeniería de plataformas sobresale en contextos donde la escalabilidad y la eficiencia del equipo son prioritarias.

Figura 8: Comparación y Convergencia

En última instancia, herramientas como Axebow representan una evolución hacia un enfoque más colaborativo y orientado a la experiencia del usuario, marcando el camino hacia el futuro de la automatización de infraestructuras. Si quieres probar un servicio líder como el de Axebow solo entra en nuestra web.

Un saludo,

Autor: Carlos García Blanco, CEO de Kumori

Contactar con Carlos García Blanco