Seguridad de la Identidad: por qué proteger a las máquinas es el próximo gran reto de la ciberseguridad

Por Albert Barnwell, sales director Iberia de CyberArk

 

Pero la IA es solo una pieza de un rompecabezas mucho mayor. La proliferación de privilegios y el auge de las identidades de máquinas están redefiniendo el perímetro de seguridad. En España, el 60% de los encuestados en este estudio señala que las identidades no humanas —como cargas de trabajo en la nube, credenciales de aplicaciones o servicios automatizados—, serán el principal factor de crecimiento de las identidades en 2025, superando incluso a la IA generativa y los grandes modelos de lenguaje (LLM). A pesar de ello, el 70% de las organizaciones españolas no cuenta con los controles de seguridad de identidad necesarios para gestionar estas tecnologías de forma segura. Asimismo, la mitad reconoce no tener visibilidad total sobre el uso de IA en sus entornos: hablamos ya de una preocupante “IA en la sombra”.

 

Identidades privilegiadas en entornos cada vez más complejos

El 98% de las empresas españolas afirma estar utilizando IA para mejorar sus estrategias de seguridad de identidad y la mayoría de los empleados utiliza herramientas de inteligencia artificial en su trabajo diario.  Pero este uso masivo también está generando nuevas identidades privilegiadas, tanto humanas como de máquinas, que muchas veces escapan al control de los equipos de seguridad.  Se espera que, en 2025, tanto la IA como los LLM sean los mayores generadores de nuevas identidades con acceso a información sensible.

De hecho, los ciberdelincuentes ya están aprovechando esta evolución: automatizan ataques de phishing, eluden controles tradicionales e, incluso, manipulan modelos para realizar jailbreaks o extraer datos personales. La amenaza es real y va en aumento.

 

El dilema de los agentes de IA

De cara a 2028, se estima que los agentes de IA podrán asumir hasta un 15% de las tareas diarias. A diferencia de las identidades estáticas de las máquinas, estas entidades autónomas pueden percibir, razonar y actuar por objetivos. Aunque suponen una gran oportunidad para las organizaciones, también presentan riesgos significativos: el acceso y la manipulación de datos sensibles siguen siendo el principal freno para su adopción.

Actualmente, la mayoría de los sistemas de gestión de identidades y accesos (IAM) no están preparados para controlar el ciclo de vida, autenticación y privilegios de miles o millones de estas entidades autónomas. Por ello, las organizaciones deben anticiparse: reforzar el control de accesos privilegiados, aplicar una gobernanza continua y definir marcos claros que alineen el comportamiento de la IA con las políticas de seguridad. Porque proteger a los agentes de IA es, ante todo, proteger su identidad.

 

El crecimiento descontrolado de las identidades de máquina

A medida que aumenta la adopción de la IA, también lo hace el número de identidades de máquinas. Las máquinas ya superan ampliamente a los humanos en número: en España, la proporción es de más de 80:1. Y, además, son más privilegiadas: el 45% de estas identidades tiene acceso a datos sensibles, frente al 39% de los humanos. Y, sin embargo, el 94% de los líderes de seguridad de nuestro país sigue considerando como “usuarios privilegiados” solo a los humanos.

Es un error grave. Estas identidades invisibles para muchas herramientas tradicionales están ampliando silenciosamente la superficie de ataque. Sin una redefinición urgente del concepto de privilegio, las organizaciones seguirán expuestas.

 

El reto de los silos y la necesidad de integración

Aunque el 98% de los encuestados en España afirma utilizar herramientas para supervisar y proteger sesiones en la nube, un 44% de ellos no puede saber con certeza quién tiene acceso a qué. No sorprende, por lo tanto, que el 73% de los líderes señale los silos de identidad como una de las principales causas del riesgo cibernético en las empresas españolas.

Por otro lado, para más de dos tercios de los encuestados en España, la desconexión entre sistemas de identidad y seguridad dificulta la detección de amenazas. Los silos dificultan el cumplimiento normativo y para el 93%, las aseguradoras están aplicando actualmente el principio de privilegio mínimo con mayor exigencia.

En este contexto, la gobernanza y administración de identidades (IGA) se convierte en un pilar clave para 2025. Centraliza la gestión en entornos híbridos y ayuda a resolver los problemas derivados de sistemas heredados. Combinada con la gestión de accesos privilegiados (PAM), permite aplicar políticas coherentes, reducir el riesgo y avanzar hacia un modelo de Confianza Cero.

Porque en un mundo impulsado por la inteligencia artificial, donde las máquinas ya actúan como humanos, proteger la identidad —tanto humana como no humana—, es proteger el negocio.