La identidad se consolidará como el principal punto de control de seguridad en un año marcado por certificados más efímeros, agentes autónomos desbordados y un riesgo cuántico cada vez más tangible. Es la visión que comparte Kevin Bocek, vicepresidente sénior de Innovación de CyberArk, en las predicciones de ciberseguridad de la compañía para 2026.
Según Bocek, 2026 estará definido por el choque entre “la velocidad del avance tecnológico” —impulsado por la IA autónoma, la explosión de identidades máquina y la irrupción del riesgo post-cuántico— y la limitada capacidad humana para gestionar esa complejidad.
El resultado será un escenario donde la identidad se transformará en el punto crítico de control para detener agentes de IA fuera de control, proteger sistemas interconectados y frenar ataques con un nivel creciente de sofisticación.
1. Certificados con vida útil más corta: el riesgo invisible que paralizará servicios críticos
A partir de marzo de 2026, la validez de los certificados TLS se reducirá oficialmente de 398 a 200 días. Lo que busca mejorar la seguridad, advierte CyberArk, provocará al mismo tiempo una oleada de fallos en cadena por certificados caducados, olvidados o mal gestionados.
Cuando un certificado expira, la máquina pierde su identidad digital y deja de comunicarse de forma segura. Y el impacto no será menor: interrupción de sistemas de equipajes en aeropuertos, fallos en servicios de transporte, cajeros automáticos fuera de servicio o paradas inesperadas de infraestructuras críticas.
CyberArk lo compara con un “tsunami digital” que no afectará a una tecnología concreta, sino a organizaciones de todo el mundo.
2. Agentes de IA descontrolados: la identidad será el único ‘botón de apagado’ posible
La compañía sostiene que la próxima gran brecha no llegará de un ciberataque externo, sino de agentes autónomos mal configurados que actúen sin supervisión debido a identidades, claves o permisos mal gestionados.
La rápida adopción del Model Context Protocol (MCP) está conectando agentes a sistemas críticos, a veces sin políticas mínimas de control. Un simple prompt malicioso o una API expuesta bastará para que un agente ejecute acciones no autorizadas o se propague por procesos interconectados.
El problema es que estos agentes no pueden desconectarse físicamente. Por eso CyberArk asegura que el único “interruptor de apagado” real será la revocación inmediata de su identidad digital, acompañada de una gobernanza estricta del ciclo de vida.
3. Juntas directivas con agentes de IA: un nuevo desafío de gobernanza y seguridad
Otra predicción apunta a la aparición de “juntas sombra” compuestas por agentes de IA utilizados como copilotos estratégicos para CEOs y comités directivos.
Aunque no sustituirán a las personas, estas IA analizarán grandes volúmenes de datos, simularán escenarios complejos y apoyarán decisiones corporativas de alto nivel.
El impacto para la ciberseguridad será profundo: ¿Cómo se gestiona la identidad, el acceso y los privilegios de una IA con visibilidad total de los datos corporativos más sensibles?
Las organizaciones deberán prepararse para un entorno donde la identidad digital de los agentes de IA pase a formar parte del núcleo de la gobernanza.
4. El riesgo cuántico se acelera: del “Q-Day” teórico a la amenaza real sobre RSA 2048
CyberArk anticipa un avance intermedio que, sin ser el temido “Q-Day”, demostrará que ciertos estados ya disponen de capacidades para comprometer RSA 2048, el estándar que protege buena parte de las identidades de máquinas en el mundo.
El riesgo más preocupante será el de “harvest now, decrypt later”: actores capaces de recolectar información cifrada hoy para descifrarla en el futuro cuando la capacidad cuántica lo permita.
Las pruebas piloto ya no bastarán: en 2026, las organizaciones se verán obligadas a acelerar la adopción de defensas post-cuánticas, integrando nuevos algoritmos y reforzando su estrategia de cifrado.
Un 2026 marcado por la urgencia: identidad, IA y criptografía post-cuántica
La conclusión de CyberArk es clara: el próximo año supondrá un salto abrupto hacia un modelo de ciberseguridad donde la identidad lo vertebrará todo, desde la gestión de máquinas hasta el control de agentes autónomos o la adopción de criptografía resistente al futuro.
Un escenario donde la complejidad seguirá creciendo, pero también donde las organizaciones tendrán la oportunidad de reforzar sus cimientos antes de que los riesgos —cuánticos, autónomos o invisibles— se materialicen.
