Las ‘identidades invisibles’, el nuevo vector de riesgo más crítico

Según el estudio "CyberArk Identity Security Landscape 2025", las “identidades invisibles” pueden acceder “a datos sensibles sin la supervisión ni los controles adecuados, convirtiéndose en el nuevo vector de riesgo más crítico”. Unas identidades que se cuentan por millones y entre las que la compañía menciona cuentas de servicios, bots, agentes de IA o pipelines de desarrollo.

El informe muestra que el 94% de las compañías españolas han sufrido ataques de phishing o vishing. Además, el 60% ha sufrido los ataques más de una vez. La inteligencia artificial generativa es utilizada de forma cada vez más generalizada por los atacantes. Como señala CyberArk, muchos de las ciberamenazas que llegan a las empresas están potenciadas “por técnicas de deepfake”.

A ello se suma el uso interno de la IA generativa por parte de las empresas, sin que muchas de ellas hayan tomado las medidas de protección adecuadas. Así, mientras el 99% de las empresas españolas ya ha adoptado herramientas de IA, “solo el 39% de ellas ha implementado medidas para proteger su uso por parte de los empleados”. Muchas empresas ni siquiera son conscientes de lo que puede suponer: 6 de cada 10 no creen que incrementen su nivel de riesgo.

Albert Barnwell, sales director de CyberArk Iberia, considera que “estamos en un punto de inflexión en la ciberseguridad: ya no se trata solo de proteger a las personas, sino también de controlar las miles de identidades digitales que operan en un segundo plano. Las organizaciones que no adopten una estrategia de seguridad centrada en la identidad estarán expuestas a riesgos cada vez más sofisticados, especialmente en un entorno donde la IA actúa con más privilegios que nunca”.