La irrupción de la inteligencia artificial generativa está revolucionando no sólo los modelos de negocio, sino también la forma en que las organizaciones deben proteger su infraestructura digital. Uno de los focos de mayor atención está en las identidades no humanas —máquinas, agentes de IA, procesos automatizados— que ya superan en número a las identidades humanas y acceden a recursos cada vez más críticos. Este nuevo escenario plantea un reto urgente para los responsables de ciberseguridad: ¿cómo controlar lo que hace una IA con credenciales que pueden evolucionar y tomar decisiones sin intervención humana?
“El problema de seguridad con la IA no es de datos, es de identidad”
Para hablar de esta transformación, entrevistamos a Albert Barnwell, responsable de CyberArk en España, compañía especializada en la protección de identidades privilegiadas y la gestión de accesos que durante el último año ha detectado una escalada considerable en el número de identidades de máquina. Hace apenas doce meses se estimaban unas 45 por cada usuario humano; hoy, la cifra asciende a más de 100. Además, su comportamiento se ha sofisticado: ya no se trata de automatizaciones acotadas, sino de agentes con acceso a datos y cierta capacidad de actuar por sí mismos. “Esto cambia completamente el paradigma”, explica Barnwell, asegurando que “ya no sólo se trata de proteger una credencial, sino también la lógica de negocio y los procesos que estas máquinas pueden alterar”.
Desde la matriz de la compañía, esta tendencia es observada como una oportunidad estratégica: la seguridad de identidades se ha convertido en una inversión no discrecional, incluso en entornos de presión presupuestaria. De hecho, CyberArk ha crecido un 50 % interanual en ARR y un 43 % en ingresos totales, lo que demuestra la resiliencia del mercado. El número de identidades de máquina sigue escalando, y el mandato del CA/B Forum de reducir la validez de los certificados a solo 47 días obliga a las empresas a automatizar su gestión.
Una plataforma unificada para cada identidad
CyberArk ha reforzado su propuesta con adquisiciones clave como las de Venafi y Zilla, dos movimientos estratégicos que extienden tanto el alcance funcional como el tamaño del mercado objetivo. La primera potencia la automatización de certificados en un contexto en el que el ciclo de vida manual ya no es viable. En opinión de Albert Barnwell, “muchos clientes siguen gestionándolos manualmente, y eso es un riesgo claro”. Según los últimos resultados presentados por la compañía, Venafi, que tenía una base instalada de 500 clientes, ya está presente en 9 de los 10 principales contratos recientes junto a productos de Secrets Management, confirmando su capacidad de cross-sell.
“Venafi y Zilla no son solo adquisiciones: son extensiones naturales de nuestra visión unificada de la identidad”
La segunda adquisición destacadas es la de Zilla, que posiciona a CyberArk en el ámbito de la Identity Governance (IGA) con una solución moderna que reduce hasta en un 80 % el esfuerzo de despliegue frente a sistemas heredados. “Nos permite certificar permisos y facilitar el cumplimiento en un contexto donde cada identidad —sea persona o máquina— puede tener privilegios cambiantes”, afirma Barnwell durante la entrevista.
Ambas adquisiciones refuerzan la visión global de CyberArk: ofrecer una plataforma unificada y automatizada que descubra identidades, aplique privilegios contextuales y garantice el cumplimiento regulatorio con eficiencia. “Queremos simplificar la complejidad, reducir riesgos y automatizar al máximo. Por eso tantos clientes empiezan por una necesidad puntual y acaban ampliando a toda la organización”, explican desde la compañía.
Otro frente emergente es el de las infraestructuras industriales (OT), tradicionalmente desconectadas y ahora expuestas al cloud. Barnwell señala que muchos entornos OT no están preparados ni presupuestariamente ni tecnológicamente para esta nueva apertura, y que esto está obligando a diseñar soluciones híbridas con fuerte componente on-premise.
También en los entornos cloud distribuidos, el problema se repite: “Cada proveedor tiene su propia herramienta. Lo que falta es una visión centralizada de quién accede a qué, con qué permisos y desde dónde”. Algo que la plataforma de CyberArk —gracias a su capacidad de descubrimiento y su integración con múltiples nubes— busca resolver de forma directa.
Superar el estigma de los proyectos de identidad
La gestión de identidades sigue teniendo fama de ser una de las áreas más complejas de la ciberseguridad. Barnwell lo reconoce abiertamente: “Es un estigma que viene de que estos proyectos tocan a muchos departamentos, implican ciclos de vida, integraciones… y suelen ser largos”. Por eso, la compañía ha trabajado en reducir la complejidad de su arquitectura. “Queremos que nuestras soluciones sean seguras, pero también fáciles de implementar, con retorno rápido y buena experiencia de usuario”.
El CEO de CyberArk, Matt Cohen, también subrayó recientemente que este enfoque está funcionando: el ARR por cliente ha crecido un 36 %, lo que evidencia una expansión natural en las cuentas existentes a medida que estas consolidan más funcionalidades sobre una única plataforma.
“Queremos soluciones seguras, pero también fáciles de implementar, con retorno rápido y buena experiencia de usuario”
IA generativa: el próximo gran frente
Tanto Barnwell como Cohen coinciden en que la identidad de los agentes de IA será uno de los grandes retos —y oportunidades— del mercado. “Se comportan como humanos, pero actúan a escala de máquina, y cada vez tienen más privilegios”, advierte Barnwell. CyberArk lanzará este año su solución Secure AI Agent, que integra capacidades de descubrimiento, privilegios just-in-time y gobierno para estos agentes autónomos. Además, la alianza con Accenture y su AI Refinery amplía el impacto potencial, permitiendo que las organizaciones integren IA de forma segura desde el primer momento.
Según analistas, esta nueva ola de agentes autónomos va a disparar la productividad de las empresas, pero también su exposición a riesgos. Y como operan a velocidad de máquina, la prevención —y no la respuesta— es la clave.
Los datos respaldan esta apuesta: CyberArk cerró el primer trimestre de 2025 con 1.215 millones de ARR, 318 millones en ingresos y un margen operativo del 18 %. La identidad es la base de la continuidad del negocio, la confianza del cliente y el cumplimiento regulatorio. Barnwell lo resume con un enfoque pragmático: “Vendrán problemas, claro, pero también vendrán soluciones. Lo importante es tener visibilidad y empezar a aplicar controles ya, antes de que sea demasiado tarde”.
