Con la expansión de la inteligencia artificial se agrava una inquietud ya latente que ha pasado a ser acuciante: crece abruptamente el número de identidades dentro de las organizaciones y con ello se multiplican las dificultades para gestionarlas. No son resultado de ampliaciones de plantilla sino de que nuevos y antiguos roles son confiados a entes virtuales residentes en máquinas que se comunican con los empleados y, con frecuencia creciente, entre ellas. En la lengua de ciberseguridad, se considera que es un aumento de la superficie de ataque. Incesante, pero no queda ahí: se espera que la tendencia vaya a más en los próximos años, según un estudio publicado con sentido de oportunidad.
La adquisición de la empresa especializada CyberArk por Palo Alto Networks, consumada el pasado febrero, pone de relieve que no se trata de un ámbito menor, ya lo indica el monto de la operación, 25.000 millones de dólares.
En mayo han coincidido dos novedades, sin duda preparadas durante la espera. Una es la publicación del informe 2026 Identity Security Landscape , continuación de la serie que cada año ha venido publicando la empresa adquirida. Otras es la decisión de la adquirente de que esa estructura funcione como unidad de negocio específica bajo la marca Idira.
El documento repasa el panorama actual de la gestión de identidades, poniendo énfasis en el desfase existente entre la velocidad de adopción de la IA y de las medidas de seguridad que esta requiere. Se basa en 2.930 respuestas de profesionales con capacidad de decisión en el campo de la ciberseguridad, repartidos en veinte países. El objetivo es analizar la transformación que afronta el área de las identidades: de ser un componente de la administración IT va camino de convertirse en una cuestión candente dentro del gran conjunto que es la ciberseguridad.
Antes, no hace tanto, los accesos en una empresa se limitaban a un número limitado – normalmente bajo – de usuarios investidos de privilegios de distinto nivel, pero la proliferación de agentes IA e identidades de máquina ha ensanchado el escenario. Los accesos por entidades autónomas – no humanas – a sistemas y datos sensibles se han disparado. El informe cifra en una diferencia aplastante la relación entre las dos “poblaciones”: 109 máquinas e IA por cada persona de carne y hueso. En España, uno de los países incluidos en el estudio, la brecha es aún mayor: 117 a 1.
Un dato resulta revelador: el 61% de los accesos se proporcionan con un sistema de privilegio permanente, en vez de ser concedidos bajo demanda. Esto demuestra que la gestión de los accesos todavía recurre a mecanismos implantados tiempo atrás, probablemente muy atrás, sin adaptarse a la cambiante realidad de los últimos años. El informe remacha ese clavo: nueve de cada diez organizaciones han experimentado una brecha relacionada con identidades durante el último año, mientras que el 83% sufrió dos o más en el mismo período.
Esta atmósfera entronca con el objetivo de la adquisición de Cyberark: facilitar a Palo Alto Networks una entrada por todo lo alto en un dominio que ha ganado preeminencia en la escena de la ciberseguridad. A falta de resultados del tercer trimestre de su año fiscal – se publicarán la semana entrante – que por primera vez incorporarán las cuentas de la adquirida, se puede decir que el negocio de Palo Alto Networks marcha viento en popa: cerró el anterior cuarto con 2.600 millones de dólares de ingresos, con un crecimiento del 15% y un reseñable beneficio de 432 millones (+61,7%). Junto a estas cifras genéricas, la compañía comunicó que los ingresos anuales recurrentes, ARR, por productos de seguridad next generation – en este capítulo se incluirá el negocio de identidades – crecieron un 33%, por lo que resulta de interés aguardar los números que añadirá Idira.
“La adquisición – escribe el analista Ittai Kidron del broker Oppenheimer en una nota a clientes – ha sido bien recibida por los usuarios de Cyberark [lo que] refuerza nuestra convicción de que el giro de Palo Alto hacia la seguridad de las identidades, incluida la de los nuevos agentes IA, ha sido un rotundo acierto”. Tras firmar esta opinión, Kidron elevó el precio “objetivo” de la acción. Por su parte, un informe de Jefferies, más tibio, apunta que la expansión de Palo Alto refleja una tendencia de la industria hacia más restricciones en los privilegios de acceso, “en los que las empresas han sido bastante descuidadas”.
Los servicios de Idira se van a integrar con los pilares de la oferta de Palo Alto: Strata (plataforma de seguridad de red), Cortex (centro de operaciones de seguridad), Prisma AIRS (componente dedicado a proteger ecosistemas de IA). El objetivo es manifiesto: una capa unificada que permita detectar identidades de primera mano, sin necesidad de recurrir a proveedores externos y, finalmente, habilitar permisos dinámicos y granulares para humanos, máquinas y agentes.
No cabe duda de que la seguridad de la identidad se enfrenta a una crisis de eficacia. Peretz Regev, jefe de producto y tecnología de Idira – antes lo fue de Cyberark – la condensa en una frase sentenciosa: “con los atacantes iniciando sesión en vez de penetrar a la fuerza, cada identidad se ha convertido en un objetivo deseable”. El 99% de todas las entidades ya utilizan agentes de IA, pero muy pocas tienen planes acerca de cómo limitar sus accesos. La fiesta sólo acaba de empezar: en los siguientes doce meses, las organizaciones contemplan un incremento del 85% en el número de agentes de IA; las identidades de máquina crecerán un 77% y, en comparación, las identidades humanas son más juiciosas porque sólo aumentarán…un 56%.
Ante cualquier problema vinculado a las identidades se hace tangible una dolorosa fragmentación de las herramientas disponibles. Según el 97% de los encuestados. los incidentes relacionados con la identidad añaden tiempo adicional a la vigilancia: la media asciende a doce horas, en las que el personal debe consultar múltiples consolas debido a la falta de integración. Entretanto, se calcula que los robos de datos más veloces pueden llevar sólo 72 minutos.
Este asunto de la fragmentación viene de lejos en la gestión de las identidades, pero los agentes han agravado el problema. Las empresas se afanan en asegurar toda clave de acceso, abarcando a personas con o sin privilegios especiales, cuentas de servicio, certificados, cargas de trabajo diversas, y lo hacen con una variedad de herramientas que se revelan incapaces de interceptar abusos a la velocidad que las máquinas los provocan.
El informe heredado de Cyberark – de hecho, la portada del estudio lleva su marca – concluye que el modelo operativo asentado sobre arquitecturas centradas en identidades humanas y herramientas de acceso estáticas ya no es suficiente. Según opiniones recabadas entre profesionales del sector, el 84% de ellos coincide en que sus organizaciones deberían mejorar el conocimiento que tienen de los permisos y accesos que facilitan a conectores y cuentas de servicio, potencialmente peligrosos. Sólo se necesita tener una vía de acceso comprometida para crear un riesgo de seguridad en cascada.
En un contexto como el actual, las identidades de los agentes serán el próximo nicho de crecimiento para Idira, que se apoyará en la nueva solución Secure AI Agents. Un servicio destinado a lidiar con el aumento de este tipo de programas autónomos en las empresas. Y aquí se trata de impulsar un cambio profundo: la herramienta ya no ejercerá un control de acceso basándose en un código secreto – una contraseña o un token que la aplicación solicitante tiene y muestra – sino que, en lo sucesivo, el control se basará en la identidad de quien está detrás de esa petición evaluando el origen del agente, su comportamiento o – muy importante – para qué humano trabaja.
Es decir que Idira no contempla privilegios permanentes sino una emisión de accesos dinámicos, gestionados por una consola centralizada. Según indica Palo Alto Networks, la plataforma evalúa los riesgos constantemente y, en función de ello, ajusta automáticamente los privilegios para los usuarios, los agentes y las cargas de trabajo.
Volviendo al informe, en el documento se pueden encontrar otros síntomas que perfilan el problema latente. El 96% de los encuestados señala que las identidades humanas operan con más accesos que los necesarios para cumplir sus funciones. Si esto es así, limitar privilegios y segmentarlos individualmente requiere un esfuerzo extra que, dicho sea suavemente, no siempre los departamentos de IT están dispuestos a hacer.
La carga de trabajo ya es alta en los equipos a cargo de tareas más y más complejas. El ciclo de vida de los certificados TLS públicos, por ejemplo, ha bajado de 398 a 200 dias. Después, descenderá a 100 y luego a 47. Para ese 71% de empresas que declaran no automatizar los resultados (el 71% del total) la carga operativa se dispara.
Esta reducción del ciclo de vida de los certificados se enmarca en la presión creciente en nombre de la supuesta proximidad de la tecnología cuántica. El 64% de las entidades representadas en el informe afirma no están preparadas para defenderse de amenazas habilitadas por la cuántica, mientras que un significativo 86% expresa que necesitarían ayuda externa para ello.
Ante la avalancha de identidades, el informe respaldado por Palo Alto Networks sugiere, para empezar, que se centralice la gestión de los agentes. A partir de este requisito se trataría de detectar y auditar todas las identidades basadas en IA para aplicarles el mínimo privilegio que sea posible y garantizando acceso sólo para una tarea específica y sólo durante su ejecución. El objetivo es trazar una respuesta automatizada ante incidentes que elimine la fragmentación en la operativa y acerque los procesos de detección y control. No sería mucho pedir, si no fuera porque el panorama se muestra tan incierto.