En el mundo digital de 2025, la identidad es el nuevo campo de batalla. Según el último informe de CyberArk, basado en una encuesta a 2.600 responsables de seguridad en 20 países, el panorama no puede ser más claro (ni más preocupante): la adopción de la inteligencia artificial (IA) está disparando el número de identidades digitales con acceso privilegiado, muchas de ellas fuera de control.
Y lo más alarmante: 9 de cada 10 organizaciones han sufrido alguna brecha de seguridad relacionada con identidades en el último año.
La inteligencia artificial ya no es sólo una herramienta. Es un actor más en el mundo de la ciberseguridad. Por un lado, ayuda a detectar amenazas y automatizar respuestas. Por otro, los atacantes también la están utilizando para lanzar campañas más sofisticadas y difíciles de detectar, como correos de phishing casi indistinguibles de los reales.
Pero hay un tercer ángulo aún más inquietante: la IA, en sí misma, se ha convertido en un nuevo riesgo a gestionar. Cada vez que una empresa implementa un asistente o modelo de IA, está generando nuevas identidades con permisos y accesos que muchas veces no se controlan adecuadamente.
Identidades máquina y Shadow AI
El informe revela que las identidades máquina ya superan a las humanas en una proporción de 82 a 1. En algunos sectores como el financiero, esa cifra llega a 96 a 1. Y lo peor es que muchas de esas identidades tienen acceso a datos sensibles… sin que nadie las vigile.
Aun así, el 88 % de los profesionales de seguridad siguen pensando que un “usuario privilegiado” es sólo un humano. Este enfoque, claramente, ya no sirve.
Otro problema creciente recogido en el informe de CyberArk es el llamado “shadow AI”: el uso de herramientas de inteligencia artificial por parte de empleados sin pasar por el departamento de TI. El 47% de las empresas admite que no tiene forma de controlar estas aplicaciones no autorizadas, lo que multiplica el riesgo de filtraciones, errores y vulnerabilidades.
Además, muchos de estos sistemas se entrenan con datos internos o confidenciales, lo que complica aún más su gestión desde el punto de vista de privacidad y cumplimiento normativo.
Los agentes de IA, la próxima frontera
CyberArk también alerta sobre el auge de los agentes autónomos de IA, que toman decisiones y actúan de forma independiente en nombre de la empresa. Aunque todavía están en una fase inicial, se espera que para 2028 gestionen hasta el 15% de las decisiones del día a día. ¿El reto? Gestionar su acceso, supervisar su comportamiento y evitar que se conviertan en un problema más.
El informe también señala que el 70% de los encuestados considera que los “silos de identidad” son una fuente importante de riesgo. Muchos departamentos siguen usando sus propias herramientas, con poca o ninguna coordinación entre sí, lo que dificulta el control global de accesos. La mitad de los responsables de seguridad admite que no tiene visibilidad completa de los permisos en la nube.
A esto se suma la presión de las aseguradoras, que están endureciendo los requisitos para renovar las pólizas cibernéticas. El 88% de las organizaciones ha tenido que aplicar controles más estrictos de privilegios para mantener su cobertura.
¿Qué están haciendo las empresas al respecto?
Entre las prioridades estratégicas para este año, destacan:
- Mejorar los controles de seguridad en aplicaciones (47 %)
- Reforzar la gestión de accesos privilegiados (35 %)
- Invertir en soluciones de gobierno de identidades (32 %)
Aun así, el 75 % de los responsables de seguridad reconoce que su empresa sigue priorizando la eficiencia operativa por encima de la seguridad. Un equilibrio difícil, pero cada vez más urgente.
La conclusión del informe no deja lugar a dudas: todo gira en torno a la identidad. Ya sea un empleado, una máquina, un script o un agente de IA, cualquier identidad puede ser la puerta de entrada a una brecha de seguridad.
