Coincide Barnwell en describir un mercado que ha madurado en su forma de entender la seguridad, aunque sin posibilidad de bajar el ritmo. “Las empresas son cada vez más conscientes de que la identidad ya es el centro de la seguridad”, señala. El crecimiento exponencial del número de identidades —humanas y no humanas— y la necesidad de operar con mayor agilidad están empujando a las organizaciones a replantear cómo protegen accesos y privilegios.
“Un MFA ya no es suficiente”
Si tuviera que señalar el gran cambio de 2025, Barnwell no duda en apuntar a la identidad como nuevo perímetro. Más allá del protagonismo mediático de la inteligencia artificial, el directivo subraya que el verdadero giro está en haber asumido que “ya no es el endpoint, ni la red, ni siquiera el dato lo que define el perímetro, sino la identidad”.
De contar identidades a gestionar riesgo
Durante años, los proyectos de identidad se centraban en cuantificar cuántas cuentas había que proteger. Hoy, el enfoque es muy distinto. “Las empresas han pasado de contar identidades a entender su exposición al riesgo”, explica Barnwell. Identidades huérfanas, credenciales embebidas en código, accesos que nunca se revisan o privilegios que se mantienen durante años forman parte de una superficie dinámica y cambiante. El reto ya no es sólo descubrirlas, sino evaluarlas de forma continua y reducir su impacto potencial.
Privilegios excesivos y credenciales olvidadas
En la gestión de accesos privilegiados, CyberArk sigue detectando carencias recurrentes. Albert Barnwell apunta al exceso de cuentas con privilegios permanentes como uno de los problemas más persistentes. A ello se suman credenciales ocultas en scripts, repositorios o pipelines DevOps, un vector de ataque que ha ganado protagonismo en los últimos años. “Un MFA ya no es suficiente”, advierte, insistiendo en la necesidad de auditar sesiones, aplicar controles contextuales y revisar periódicamente permisos que, en muchos casos, llevan años sin tocarse.
IA al servicio de la defensa
La inteligencia artificial juega un papel cada vez más relevante también en la protección de la identidad. En CyberArk, se utiliza para detectar comportamientos anómalos, priorizar riesgos y automatizar decisiones de seguridad.
“La IA nos permite identificar qué identidades son más críticas y actuar antes”, explica Barnwell, añadiendo que automatizar rotaciones de credenciales, ajustar accesos según el contexto o acelerar la detección de accesos sospechosos son algunos de los casos de uso que refuerzan una tendencia clara del mercado: menos reacción manual y más prevención inteligente.
Zero Trust y las identidades no humanas
Para Barnwell, Zero Trust no es un producto, sino un proceso que exige disciplina y continuidad. El punto de partida es claro: inventariar todas las identidades, humanas y no humanas. A partir de ahí, aplicar mínimo privilegio de forma dinámica, aislar sesiones privilegiadas, sustituir credenciales persistentes por accesos just in time y mantener una autenticación continua basada en riesgo. “Si no sabes qué identidades tienes, es imposible aplicar Zero Trust de verdad”, resume, conectando con una de las ideas más repetidas a lo largo de este especial.
Uno de los grandes desafíos actuales es la explosión de identidades no humanas: APIs, máquinas, servicios y, cada vez más, agentes de IA. Credenciales que se crean y destruyen en segundos, falta de gobernanza y dificultad para aplicar mínimo privilegio en entornos automatizados complican su gestión.
Mirando a 2026: convergencia y nuevos riesgos
De cara a 2026, Barnwell anticipa una convergencia total entre gestión de identidades, accesos y privilegios, con un enfoque verdaderamente end-to-end. La automatización defensiva seguirá creciendo, al igual que los modelos passwordless. También prevé una extensión de los principios Zero Trust hacia entornos OT y una mayor preocupación por riesgos emergentes, como agentes de IA mal configurados o la preparación ante escenarios poscuánticos. “La identidad será aún más crítica en un mundo cada vez más automatizado”, concluye.
