La última demostración pública de capacidades de CyberArk antes de ser absorbida por Palo Alto Networks ha sido la publicación de un exhaustivo estudio en el que pasa revista al actual escenario de la ciberseguridad desde su particular punto de vista, el malware que ataca las identidades no humanas. El precio pactado, 25.000 millones de dólares, se justifica por la aportación de CyberArk en esta categoría. El paisaje no es muy alentador, habida cuenta de que el 72% de los empleados utiliza herramientas de inteligencia artificial pero el 68% de las organizaciones carecen de controles que cubran estas amenazas. Básicamente, lo que se ha hecho hasta ahora es parchear advierte el exhaustivo informe.
lo que se ha hecho hasta aho
CyberArk tiene larga experiencia en esta categoría del mercado de la ciberserguridad https://norbertogallego.com/roberto-llop/2024/03/25/ . La conclusión esencial de este estudio es que crece el número de identidades descontroladas, buena parte de ellas no humanas. Según CyberArk, en la actualidad la proporción es de 80 identidades de máquina por cada identidad humana, siendo aún mayor en sectores como el financiero (96:1).
A tenor del estudio, no parece que la tendencia vaya a desacelerar, puesto que el 94% de las organizaciones prevé un aumento en los últimos tres años. Para rizar el rizo, el 42% de las identidades de máquina (y el 68% de los bots y cuentas de máquina) tienen acceso a datos confidenciales, frente al 37% de los usuarios humanos, un dato sorprendente pese a haber sido identificado hace tiempo.
Un paupérrimo 12% de las organizaciones de la muestra afirma que las identidades de máquina son usuarios con privilegios propios. Para hacerse una idea de la dimensión de la cuestión basta saber que sólo en las tres principales plataformas cloud existen más de 40.000 privilegios distintos, según el estudio.
La encuesta realizada por CyberArk entre 2.600 responsables de seguridad de una veintena de países pone de manifiesto un hueco importante en los mecanismos de ciberseguridad desplegados en las organizaciones. Nada menos que un 87% de los consultados reconoce haber sufrido al menos dos incidentes de seguridad relacionados con la identidad en los doce meses anteriores, ya sea con ataques a su cadena de suministro o el robo directo de credenciales.
Tal y como explica CyberArk, la seguridad de la identidad se ha ido improvisando a medida que crecía la infraestructura TI, generando silos. Sobre la marcha y sin la debida planificación, se han ido adquiriendo múltiples herramientas que – tarde lo reconoce el 68% de la muestra – no ofrecen la integración imprescindible para hacer frente a ataques cada vez más sofisticados.
La gran puerta de entrada en las empresas sigue siendo el phishing, hasta el punto de que nueve de cada diez organizaciones han sufrido alguna brecha de este tipo. Más de tres cuartas partes de ellas admiten haber sido víctimas de ataques de phishing exitosos y más de la mitad en varias ocasiones. La IA generativa (GenAI) se ha convertido en una valiosa herramienta para los atacantes, que se emplea para lanzar deepfakes, generar correos falsos con contenidos personalizados o aportarles un contexto creíble y otras artimañas en tiempo real.
A pesar del alto número de incidentes, el 75% de los CISO – en quienes se presume una profesional desconfianza – sostienen que la eficiencia empresarial tiene prioridad en sus organizaciones. La gestión segura de las identidades es, no obstante, una de las asignaturas pendientes. Podría decirse que es ahora cuando aparecen fantasmas del pasado, puesto que la seguridad en torno a la identidad no ha formado parte de la estrategia general de las compañías en la mayor parte de los casos conocidos.
En el caso de las administraciones públicas el problema es más grave, con un 84% de los CISO advirtiendo de la falta de integración de herramientas da lugar a la proliferación de silos que entorpecen las defensas.
Los nuevos entornos híbridos han complicado las cosas. Tanto es así que son identificados por un 45% de la muestra como el principal causante de esos silos, seguido de carca por las aplicaciones de IA no autorizadas (44%). Se dan curiosas paradojas, como que a despecho de que el 94% de las organizaciones utiliza herramientas que protegen y supervisan automáticamente todas las sesiones en la nube, casi la mitad (49%) admite carecer de visibilidad completa de los derechos y permisos en todo su entorno cloud.
La aplicación de controles de identidad es muy desigual, yendo del algo menos del 40% en la infraestructura y cargas de trabajo cloud al 35% para entornos DevOps, o el 32% para IA y LLM. No sorprende, por tanto, que las aseguradoras estén exigiendo controles mucho más estrictos y requieran el cumplimiento de políticas de privilegios mínimos.
Como era de esperar, el auge de la IA ha puesto todo patas arriba – o más de lo que estaba – no sólo porque los ataques basados en la IA (y contra la IA) son cada vez más rápidos, sofisticados y difíciles de detener, sino porque con la iexplosión de los agentes de IA el número de identidades y de superficie de ataque se ha multiplicado exponencialmente. En el primero de los casos, esto es, el uso de la IA, el 61% de las organizaciones ya la tiene en mente para para proteger tanto las identidades humanas como las de las máquinas en los próximos doce meses; tan sólo 1% no está considerando su uso para este cometido. Entre quienes sí lo harán, el 58% usará la GenAI para detectar identidades sintéticas, el 54% para las verificaciones avanzadas y un 48% para la predicción de amenazas de identidad.
El problema viene de más atrás, de implantar la IA con mucha precipitación y poca planificación. El estudio de CyberArk revela que el uso medio de la IA es de un 66% en entornos de nube pública, de un 59% en máquinas especializadas on-premise y un 53% cuando median proveedores externos. La confianza ¿excesiva? en la nube pública se dispara en el caso de las utilities (77%) y de las finanzas (71%), incluso en el crucial sector sanitario, con un 63%, Por cierto, la situación on-premise no es muy diferente; 65%.
Una primera conclusión del estudio es que se repiten los errores del pasado, con la consecuencia de que el 68% de las empresas que usan IA no cuenta con controles de seguridad de identidad. Una actitud temeraria. Con casos de uso como el análisis de información y datos avanzados (55%), chatbots virtuales y asistentes (51%), atención y soporte al cliente automatizados (50%) o detección y prevención del fraude (48%), las empresas han abierto la puerta a los ciberdelincuentes.
No deja de ser llamativo que mientras que uno de los factores que está impulsando las estafas con phishing es la capacidad de la GenAI de personalizar el contenido de los mensajes, las empresas la utilizan – en un 35% – para su marketing personalizado.
El 64% de los responsables de seguridad se curan en salud afirmando que todas las herramientas de IA de sus organizaciones están debidamente aprobadas y son gestionadas por el departamento de TI. En muchos casos se recurre a modelos generalistas de OpenAI, Google, Amazon Bedrock y Meta AI, combinando conjuntos de datos corporativos para el entrenamiento de modelos. Por esto, uno de los grandes problemas a los que se enfrentan las empresas es la llamada IA en la sombra, todos esos usos de soluciones `inteligentes´ que los empleados usan sin autorización ni control y que, quizás, comprometen información sensible de la compañía. En este sentido, casi la mitad de los encuestados (47%) responde que su organización no puede proteger ni gestionar todas las herramientas de IA no autorizadas que se utilizan.
En cuanto el nuevo fenómeno de los agentes de IA , el estudio destaca cómo introducen una nueva capa de complejidad, dado que se trata de identidades de máquina dinámicas con una autonomía similar a la humana. Regular el acceso privilegiado de miles o millones de estos agentes de IA durante todo su ciclo de vida, no resulta sencillo, advierte púdicamente CyberArk.
De las tres capas que se dan en la superficie de ataque de un agente de IA, a saber, la de infraestructura (credenciales del sistema donde reside), de acceso (privilegios o derechos otorgados) y del modelo (la propia IA) éste último es el menos conocido y más complejo, dado que no atiende a un modelo determinista y predecible, sino que está sujeto a cierto ‘razonamiento’.
Considerando que las previsiones para 2028 pasan por que los agentes de IA tomen al menos el 15% de las decisiones laborales cotidianas, es crucial entender que, en manos de un atacante, son susceptibles de ser manipulados para ejecutar comandos maliciosos, filtrar datos, escalar privilegios o conceder accesos no autorizados.
Un 60% de las organizaciones entiende que esa manipulación es probablemente el mayor desafío al que se enfrenta ahora mismo. No el único, porque le sigue de cerca (56%) la posibilidad de que los agentes de IA accedan a recursos críticos o sensibles.
CyberArk apuesta por hacer valer la seguridad de identidad de las máquinas (MIS, por su sigla en inglés) para blindar este tipo de perfiles tan sensibles, ya sean bots, agentes de IA o cargas de trabajo en la nube. De otro modo, si un atacante suplantara la identidad de estos perfiles no humanos, menos protegidos que los de las personas, podría tener acceso a los sistemas de la empresa accediendo a un gran volumen de información. En esta línea, urge desactivar identidades de cuentas abandonadas que siguen alojadas en el sistema.
Las estrictas políticas de seguridad para establecer las pertinentes salvaguardas ghan de darse tanto en el ámbito del desarrollo como en los de despliegue y uso. El informe detalla las prioridades de las organizaciones de cara a superar estos hándicaps. Destaca la mejora de los controles de seguridad basados en aplicaciones para proteger entornos únicos con un 47%, frente al 35% que cree que la mejor opción pasa por implantar controles de gestión de acceso privilegiado (PAM) más robustos. Al mismo tiempo, un 32% de los encuestados afirma que invertirá en gobernanza y cumplimiento de identidades (IGA), mientras que la cola de estas prioridades se sitúan la protección de las identidades de las máquinas (26%) o la protección de las identidades de terceros y partners (29%).
Muy poco tranquilizador, desde luego. Y probablemente esta sea una de las razones por las que Palo Alto Networks ha escogido CyberArk para su mayor adquisición hasta la fecha, de inminente consumación.
[informe de David Bollero]