Descubra cómo eliminar la brecha de visibilidad de las identidades no humanas y los agentes de IA para proteger su infraestructura de accesos sin comprometer la innovación.
Un empleado con acceso administrativo permanente y sin supervisión a sistemas críticos, sin registros de auditoría, sin un responsable claramente identificado y sin revisiones periódicas de acceso generaría una preocupación inmediata en la mayoría de las organizaciones.
Sin embargo, las identidades no humanas (NHIs) y los agentes de IA suelen recibir ese mismo tipo de acceso persistente y altamente privilegiado. A medida que aumenta la adopción de la IA, esta brecha resulta cada vez más difícil de ignorar.
Actualmente, las NHIs abarcan mucho más que las cuentas de servicio y las claves API tradicionales. También incluyen agentes de IA que toman decisiones autónomas, flujos de trabajo automatizados con acceso a múltiples sistemas y herramientas de IA paralelas (“shadow AI”) implementadas por usuarios de negocio.
Los equipos de seguridad creen estar preparados para la adopción de la IA a gran escala. Un estudio reciente de Delinea revela que el 87 % de las organizaciones considera que su estrategia de seguridad de identidades está preparada. Sin embargo, las NHIs operan a una velocidad y con patrones de comportamiento para los que los controles tradicionales no fueron diseñados. Los equipos de TI reconocen esta realidad: el 46 % de los encuestados admite que la gobernanza de identidades de IA presenta deficiencias.
Esta discrepancia representa un peligroso doble rasero en la seguridad empresarial.
¿Por qué existe este doble rasero para las NHIs?
Tres factores fundamentales impulsan esta situación, reforzándose mutuamente y creando un ciclo de gobernanza de identidades deficiente.
Prioridad de la velocidad frente a la gobernanza
La presión empresarial para implementar rápidamente iniciativas de IA suele provocar la relajación o eliminación de controles de identidad. El estudio concluyó que el 90 % de las organizaciones presiona a los equipos de seguridad para flexibilizar los controles de acceso con el fin de respaldar la automatización impulsada por IA.
Cuando surgen conflictos entre los requisitos de seguridad y la necesidad de rapidez del negocio, menos de una de cada tres organizaciones aplica los requisitos de seguridad de forma consistente.
Supervisión insuficiente de la Shadow AI
Los agentes no autorizados operan completamente fuera de cualquier marco de gobernanza. Un número significativo de organizaciones (53 %) afirma encontrar regularmente herramientas y agentes de IA no autorizados accediendo a sistemas corporativos.
Estas implementaciones evitan los procesos tradicionales de aprovisionamiento, creando puntos de acceso no supervisados que los equipos de seguridad tienen dificultades para identificar.
Actividad de las NHIs sin control
Los sistemas tradicionales de gestión de identidades se basan en flujos de trabajo previsibles y centrados en usuarios humanos. Las soluciones IAM heredadas carecen de la velocidad y de las capacidades dinámicas necesarias para gobernar agentes autónomos que toman decisiones independientes y solicitan privilegios elevados sin previo aviso.
La realidad operativa hace que este desafío sea aún más complejo. Según los datos del estudio, el 74 % de las organizaciones afirma que el acceso permanente para NHIs y agentes de IA es necesario para garantizar la disponibilidad de los servicios. Al mismo tiempo, el 59 % indica que no dispone de alternativas viables al acceso persistente para estas cuentas. Como resultado, los equipos de seguridad terminan aceptando conscientemente niveles de riesgo más elevados debido a la presión operativa.
¿Qué se necesita para reducir la brecha de riesgo asociada a las identidades de IA?
Las organizaciones deben afrontar la paradoja de la confianza en la seguridad de la IA. Mostrar un alto nivel de confianza en la preparación para la IA mientras se reconocen deficiencias fundamentales en la gobernanza de identidades relacionadas con esta tecnología es consecuencia de una información incompleta. Los equipos de seguridad no pueden proteger aquello que no pueden ver.
Considere lo siguiente: el 82 % de las organizaciones afirma confiar en su capacidad para identificar NHIs con acceso a sistemas de producción, pero menos de una de cada tres valida realmente la actividad de las NHIs y los agentes de IA en tiempo real. La mayoría de los responsables de TI encuestados admite tener algún tipo de brecha de visibilidad de identidades, siendo las NHIs el principal punto ciego.
Paso 1: Visibilidad
Antes de implementar nuevos controles o políticas de acceso, las organizaciones deben crear un inventario claro de las NHIs existentes —incluidos los casos de Shadow AI—, comprender a qué sistemas tienen acceso e identificar si dicho acceso es permanente o persistente.
Sin esta visibilidad básica, cualquier iniciativa de gobernanza se convierte en mera especulación en lugar de una toma de decisiones basada en el riesgo.
Paso 2: Eliminar los privilegios permanentes
El acceso just-in-time y los privilegios temporales representan el objetivo ideal, aunque todavía no sean inmediatamente alcanzables para la mayoría de las organizaciones.
El estudio muestra que las organizaciones utilizan más del doble de credenciales de larga duración (34 %) que mecanismos modernos de autorización just-in-time (16 %).
Como señala Gerry Auger, fundador de SimplyCyber:
“Consideraré una victoria si simplemente conseguimos tener un inventario de todas las identidades que poseen acceso permanente”.
Recomendaciones prácticas adicionales de gobernanza
- Supervise las NHIs que soliciten privilegios elevados de forma inesperada, ya que esto puede indicar cuentas comprometidas o automatizaciones mal configuradas.
- Identifique y revise inmediatamente las cuentas sin propietario definido o sin una justificación empresarial clara.
- Trate las revisiones de acceso de las NHIs con el mismo rigor que las revisiones de acceso de usuarios humanos, incluyendo certificaciones periódicas y la desactivación de cuentas no utilizadas.
Desarrollar una IA segura sin comprometer la innovación
No es posible detener la adopción de la IA. El objetivo realista es eliminar la brecha de visibilidad que permite que los patrones de acceso de riesgo permanezcan ocultos.
Las organizaciones necesitan herramientas automatizadas de descubrimiento capaces de mapear identidades de máquina en entornos cloud e híbridos en tiempo real. Los modelos de gobernanza deben operar a la velocidad que exige el negocio sin generar la fricción que lleva a los equipos a eludir los mecanismos de control.
Esto requiere modernizar la infraestructura de identidad para gestionar la velocidad y la imprevisibilidad de la IA agéntica. De este modo, los equipos de seguridad pueden responder a las exigencias de rapidez del negocio sin renunciar a la gobernanza de identidades.
Para conocer en detalle los datos, las recomendaciones y la hoja de ruta estratégica que respaldan estas conclusiones, incluidos los resultados completos del estudio y las perspectivas de expertos de referencia en el ámbito de la seguridad, descargue el informe Delinea 2026 Identity Security Report: Uncovering the Hidden Risks of the AI Race.
