Un estudio de Semperis, la empresa de resiliencia cibernética y respuesta a crisis impulsada por la identidad, avisa que la IA está redefiniendo silenciosamente los límites de las superficies globales de ataque de identidad y que las organizaciones están entregando a los agentes de IA el acceso a sistemas críticos más rápido de lo que están implementando medidas de protección y control para esas nuevas identidades.
El 74%de las organizaciones de Estados Unidos, Reino Unido, España, Francia, Alemania, Italia,Singapur y Australia cree que la IA incrementará los ataques contra la infraestructura de identidad. Además, el 93% ya utiliza o planea utilizar agentes de IA para tareas de seguridad sensibles, como el restablecimiento de contraseñas y el acceso a VPN. El 92% afirma que la IA está instalada en al menos algunos equipos locales con acceso a claves SSH y de cifrado; sin embargo, a nivel global, solo el 32% tiene mucha confianza en su capacidad para recuperar el control si la IA expone credenciales de administrador. En EEUU, el 53% de las empresas expresa confianza en poder recuperar el control, mientras que en Francia la cifra se desploma hasta el 12%.
“Lo que deja claro este estudio es que, en la era de la IA en la que todos vivimos, la adopción de la inteligencia artificial está superando la preparación en materia de seguridad dentro de la mayoría de las organizaciones, especialmente en lo relativo a los sistemas de identidad”, ha señalado Antonio Feninno, Vicepresidente del Área de Ventas para el Sur deEuropa de Semperis. “En Semperis, nuestro compromiso con la seguridad de la identidades más crucial que nunca. En España, en particular, estamos observando una creciente conciencia de que la inteligencia artificial amplifica tanto las oportunidades como las amenazas. Nuestra prioridad es garantizar que las organizaciones sean capaces de proteger las identidades digitales con resiliencia, transparencia y un enfoque proactivo, anticipando los riesgos antes de que se conviertan en crisis", añade.
“El uso acelerado de la IA está introduciendo una gran cantidad de nuevos agentes, cada uno con su propia identidad no humana (NHI), en las empresas de todo el mundo, y muchas compañías son demasiado optimistas respecto a su capacidad para recuperar su infraestructura de identidad tras una brecha de seguridad, incluso mientras siguen ampliando este ecosistema de identidades no humanas”, advierte Alex Weinert, Director de Producto de Semperis.
A nivel global, solo el 65% de las organizaciones afirma que las identidades de IA están completamente registradas, autenticadas y autorizadas dentro de un sistema formal, mientras que un 6% admite que no las rastrea en absoluto. Entre las organizaciones que sí supervisan las identidades de IA, el 57% utiliza el mismo sistema que emplea para las identidades humanas, mientras que el 43% las autentica y autoriza mediante un sistema independiente.
“Lo que resulta llamativo del estudio de Semperis sobre IA no es solo la rapidez con la quela IA se está integrando en los sistemas de identidad, sino también lo poco preparadas que están muchas organizaciones para recuperarse cuando las cosas salen mal. Introducir IA en la capa de identidad ofrece ventajas operativas, pero debe ir acompañado de controles, capacidad de observación y preparación para la recuperación. En realidad, es una nueva dimensión de una vieja pregunta: ¿son las organizaciones lo suficientemente resilientes como para responder ante una interrupción crítica?”, señala Grace Cassy, socia de TenEleven Ventures.
¿Están las empresas preparadas para brechas de identidad impulsadas por IA?
Una revelación preocupante del estudio es que se está situando la IA muy cerca de infraestructuras sensibles de identidad, y que muy pocas organizaciones están preparadas para las posibles consecuencias. El 29% de éstas ya utilizan agentes de IA para gestionar tickets de soporte relacionados con seguridad, incluyendo restablecimiento de contraseñas y acceso a VPN. Otro 65% tiene previsto hacerlo en el próximo año. En paralelo, el 92% afirma que algún porcentaje de su plantilla tiene IA instalada en máquinas locales donde puede acceder a claves SSH y de cifrado.
“El patrón de las organizaciones globales de sobreestimar lo rápido que pueden recuperarse de un ciberataque es real, especialmente cuando la identidad está dentro del radio de explosión. Sobre el papel, las organizaciones tienen planes y copias de seguridad; en la práctica, los fallos de identidad convierten los incidentes técnicos en crisis empresariales prolongadas, exponiendo una brecha peligrosa entre la resiliencia percibida y la realidad”, indica Chris Inglis, primer Director Nacional de Ciberseguridad de EEUU y asesor estratégico de Semperis.
En el lado positivo, el 83% indicó que la gobernanza de identidades basada en IA es una prioridad para ellos en los próximos meses.
¿Cómo pueden las organizaciones gobernar estas identidades difíciles de controlar?Las mejores prácticas incluyen: