El 70% de las empresas españolas carece de controles de seguridad de identidad para la IA
- Vulnerabilidades
En las organizaciones españolas existen 81 identidades de máquina por cada identidad humana, y el 45% de estas identidades de máquina tienen acceso privilegiado o sensible, lo que incrementa los riesgos de seguridad. El 98% de las empresas utiliza IA y LLM para mejorar la seguridad de la identidad.
Las organizaciones están creando, sin darse cuenta, una nueva superficie de ataque centrada en la identidad, debido al uso, cada vez mayor, tanto de la IA como de la nube. Como señala el informe "CyberArk Identity Security Landscape 2025" de CyberArk, en España las identidades de las máquinas son en su mayoría desconocidas y no están controladas dentro de las organizaciones. El 98% de las empresas informa de un incremento de las identidades de máquina en los últimos tres años, lo que pone de relieve los crecientes riesgos de seguridad asociados a su proliferación. A su vez, en el 94% de las compañías españolas, la definición de "usuario privilegiado" se aplica únicamente a las identidades humanas, pero el 45% de las identidades de máquina tiene acceso privilegiado o sensible.
Riesgos de la IA agéntica
La adopción autorizada y no autorizada de la IA y los grandes modelos de lenguaje (LLM) está transformando a las organizaciones, creando una gran cantidad de nuevas identidades con acceso privilegiado y sensible. Sin embargo, muchas empresas carecen de controles de seguridad adecuados para gestionar estos riesgos. En España, el 70% de las organizaciones carece de controles de seguridad de identidad para la IA y un 50% no puede asegurar el uso de la shadow AI.
El 98% de las compañías en España aprovecha la IA y los grandes modelos lingüísticos (LLM) para mejorar sus estrategias de seguridad de la identidad, mientras que el 89% reconoce que el acceso de la IA y los LLM a grandes cantidades de datos confidenciales durante su entrenamiento genera riesgos relacionados con los privilegios.
Los principales obstáculos para la adopción de agentes de IA incluyen problemas de seguridad en torno a la manipulación externa y de acceso a datos sensibles, lo que indica la aparición de un nuevo y potente desafío de seguridad de la identidad.
Por otra parte, la creciente adopción de la nube y la inteligencia artificial está impulsando un aumento significativo en las identidades de las máquinas dentro de las organizaciones. Estas identidades, que superan ampliamente en número a las humanas (en las organizaciones españolas existen 81 identidades de máquina por cada identidad humana), a menudo tienen acceso sensible o privilegiado, lo que incrementa los riesgos de seguridad. Sin embargo, muchas empresas no están implementando medidas adecuadas para proteger estos accesos críticos.
El informe también revela que el 94% de las brechas relacionadas con la identidad fueron causadas por phishing, incluidas estafas basadas en deepfake. Un 61% fueron víctimas de estos ataques en varias ocasiones. El 66% de las infracciones se debieron al aprovechamiento de debilidades en las aplicaciones, mientras que el 58% fueron causadas por el robo de credenciales.
Los entornos de TI más vulnerables son DevOps, los conductos de CI/CD y los repositorios de código fuente (39%), seguidos de la infraestructura y las cargas de trabajo en la nube (37%).
“La carrera por integrar la IA en los entornos ha creado un nuevo conjunto de riesgos de seguridad de identidad centrados en el acceso de identidades de máquinas no gestionadas y no seguras, y el acceso privilegiado de los agentes de IA representará un vector de amenaza completamente nuevo”, afirma Albert Barnwell, Sales director Iberia de CyberArk. “En España, donde la mayoría de las organizaciones carece de controles de seguridad de identidad para la IA, los CISOs y los líderes de seguridad deben modernizar sus estrategias de seguridad de identidad para hacer frente a una nueva y creciente superficie de ataque caracterizada por la proliferación de identidades con acceso privilegiado”.
