En la actualidad, las identidades digitales crecen a un ritmo que supera la capacidad de gestión de muchas empresas. CyberArk, en su informe “Identity Security Landscape 2025”, alerta sobre una tendencia preocupante: el 90% de las organizaciones ha sufrido al menos una brecha relacionada con identidades. El desafío se agrava con el hecho de que las identidades de máquina ya superan a las humanas en una proporción de 82 a 1. Con la llegada de la IA agentiva, que crea agentes autónomos capaces de acceder a privilegios significativos, el escenario se torna aún más complejo.
CyberArk critica la tendencia actual de aplicar controles de acceso después de desplegar los recursos, una práctica que genera una «deuda de seguridad» cara y lenta de corregir. Esta brecha no es solo técnica, sino también organizacional, con la responsabilidad de seguridad a menudo fragmentada entre diferentes roles dentro de una empresa.
Ante este panorama, CyberArk propone el enfoque “security at inception”: incorporar medidas de seguridad de identidad desde el inicio del proceso. Este planteamiento se basa en cinco pilares esenciales: privilegios sin persistencia, vaulting automático, gestión centralizada de certificados, validación de código seguro desde el desarrollo y completa automatización en la infraestructura como código.
Cuatro factores hacen urgente esta transición: el avance de la IA agentiva, la velocidad del despliegue en la nube, la presión regulatoria y la escasez de talento en ciberseguridad. Los agentes de IA son especialmente preocupantes ya que pueden crear identidades propias sin supervisión humana, entrando así en un ciclo de riesgo autónomo.
James Creamer, desde CyberArk, subraya la importancia de integrar la seguridad en el diseño desde el principio. Para los CISO, esto implica un cambio cultural y técnico hacia la colaboración con CIOs y CTOs, automatización de políticas y medición de protección como una métrica esencial.
El cambio propuesto es filosófico y técnico: la seguridad debe ser un atributo intrínseco del diseño, no una fase posterior. Adoptar herramientas unificadas de gestión de acceso, automatizar políticas de acceso efímero y estandarizar plantillas de infraestructura con seguridad integrada son algunas de las recomendaciones.
El futuro señala hacia identidades que, aunque invisibles, estarán bajo control. Este modelo busca ser transparente para los usuarios finales mientras proporciona a los equipos de seguridad la visibilidad y el cumplimiento necesarios. En conclusión, la protección proactiva y automatizada de identidades puede diferenciar a las organizaciones resistentes de aquellas vulnerables ante crisis latentes.
