La inteligencia artificial no ha creado un problema nuevo en ciberseguridad, pero sí lo ha llevado a otra escala. Es una de las conclusiones que se desprenden del informe State of Secrets Sprawl de GitGuardian, que analiza cómo el auge del desarrollo asistido por IA está multiplicando la exposición de credenciales.
Como explica Eric Fourrier, CEO de la compañía y con quien hablamos sobre algunos de los datos del estudio, “la IA no creó el problema de los secretos, pero sí cambió la escala y la distribución”. Hoy, una única funcionalidad puede depender de múltiples servicios —bases de datos vectoriales, frameworks, herramientas de monitorización o agentes locales—, cada uno con su propia autenticación. “Una funcionalidad de IA puede interactuar con cinco o seis plataformas distintas”, apunta, lo que se traduce en más credenciales en circulación y, sobre todo, en menos visibilidad sobre dónde están y cómo se utilizan.
Los datos del estudio lo reflejan con claridad: los secretos vinculados a infraestructuras de LLM se filtran mucho más rápido que los de los grandes proveedores de modelos. El problema, por tanto, no está tanto en la capa de IA en sí, sino en todo lo que se construye alrededor.
El verdadero riesgo de la IA no está en el modelo, sino en todo lo que se construye alrededor
Más código, más velocidad… y más exposición
El cambio no es solo cuantitativo, también es de ritmo. El desarrollo se acelera —con IA, cloud y arquitecturas distribuidas—, pero los controles siguen prácticamente en el mismo punto. Como resume Fourrier: “la velocidad del desarrollo de software ha superado a los controles de seguridad”.
En ese contexto, las credenciales han dejado de ser un elemento puntual para convertirse en parte estructural del propio software. “Son el tejido conectivo”, señala, ya que todo —APIs, microservicios, pipelines— necesita autenticación. Cuanto más rápido se desarrolla, más crece ese entramado… y más difícil resulta gestionarlo.
A esto se suma un problema menos visible, pero igual de relevante: la falta de gobierno. Muchas organizaciones no tienen claro quién es responsable de esas identidades, ni quién debe gestionarlas a lo largo del tiempo. Se crean, se utilizan y permanecen activas sin un control real, generando un riesgo acumulado que pocas veces se revisa de forma sistemática, nos explica el directivo.
Un desarrollo más distribuido y difícil de controlar
Además, el auge de la IA está introduciendo nuevas dinámicas de trabajo. Los equipos experimentan más, reutilizan código y trabajan en entornos muy diversos. Como explica Eric Fourrier “el desarrollo de IA ocurre en todas partes”, desde portátiles hasta entornos cloud o notebooks compartidos. Cada uno de esos espacios se convierte en un nuevo punto de exposición.
“Seguimos tratando los secretos como si alguien fuera a gestionarlos correctamente”
El propio stack tecnológico también contribuye a ampliar el problema. Lejos de plataformas unificadas, el ecosistema de IA se construye a base de múltiples herramientas e integraciones. “Ocho de las diez categorías de secretos de mayor crecimiento estaban relacionadas con la IA”, señala el directivo, tras detectar filtraciones en decenas de servicios distintos.
En paralelo, el uso de asistentes de desarrollo introduce un cambio sutil, pero relevante. No tanto por la calidad del código —que mejora—, sino por cómo se revisa. “El código parece limpio y funciona a la primera, pero el volumen hace más difícil detectar una credencial escondida”, explica. Además, los modelos pueden arrastrar información sensible ya presente en los repositorios. El resultado es más código, más commits… y más oportunidades de exposición en un entorno donde, como reconoce, “no hemos actualizado nuestros controles para este flujo de trabajo”.
Identidades no humanas y un perímetro que ya no existe
En este escenario, GitGuardian insiste en poner el foco en las identidades no humanas. A diferencia de los usuarios, que cuentan con procesos claros de gestión, estas credenciales suelen crearse sin un marco definido y permanecer activas durante años. “Viven indefinidamente y acumulan permisos sin supervisión”, advierte Fourrier. De hecho, muchas organizaciones ni siquiera pueden responder a preguntas básicas como qué identidades existen o a qué tienen acceso; “no puedes rotar lo que no sabes que existe”.
La IA amplía aún más este reto. Los agentes no sólo acceden a sistemas, sino que ejecutan acciones, y lo hacen además en entornos abiertos y distribuidos, lo que aumenta su impacto potencial.
Al mismo tiempo, el problema ya no se limita al código. Según el informe, una parte significativa de las filtraciones se produce en herramientas de uso cotidiano como Slack, Jira o Confluence. Compartir un log, documentar un despliegue o depurar un error puede acabar exponiendo credenciales sin que haya una intención maliciosa detrás. “Es la forma en que se trabaja en equipos distribuidos y rápidos”, reconoce Fourrier.
Aquí es donde se rompe definitivamente la idea clásica de perímetro. “Se asume que todo lo que está detrás de un login es seguro”, pero en la práctica estos entornos suelen tener menos control. Si un atacante consigue acceso, esas credenciales pueden convertirse en una vía directa para moverse dentro de la organización. “El perímetro nunca existió como pensábamos”, resume.
“La velocidad del desarrollo ya ha superado a los controles de seguridad”
A esto se suma la dificultad de corregir el problema una vez detectado. Rotar una credencial implica localizar todos los puntos donde se utiliza, coordinar equipos y evitar impactos en producción. En muchos casos, ni siquiera se sabe quién la creó o dónde está en uso. Sin procesos claros y automatización, la remediación se convierte en un proceso lento que se pospone.
Por eso, el punto de partida es claro: visibilidad. “No puedes controlar lo que no ves, y no puedes automatizar lo que no entiendes”, concluye el CEO de GitGuardian. Antes de hablar de automatización o control, las organizaciones necesitan saber qué credenciales existen, dónde están y qué acceso tienen. Solo a partir de ahí es posible priorizar y construir una estrategia de gestión real.
