La adopción de inteligencia artificial genera una nueva superficie de ataque centrada en identidades de máquina. Así lo revela el informe “CyberArk Identity Security Landscape 2025”. El estudio muestra que el 70% de las organizaciones españolas carece de controles de seguridad de identidad para la IA. El 98% de las compañías utiliza agentes de IA y modelos de lenguaje para optimizar sus estrategias de identidad. La ausencia de validación y supervisión de estas identidades expone datos sensibles a riesgos de acceso privilegiado. Además, el 50% de las empresas no controla el uso de shadow AI. Esto agrava la falta de visibilidad y de gestión de permisos no autorizados.
Superficie de ataque y controles de identidad
En los últimos tres años, el 98% de las empresas ha registrado un aumento de identidades de máquina en sus infraestructuras. El informe destaca que en España hay 81 identidades de máquina por cada identidad humana. Esta proporción eleva la complejidad de la gestión de accesos en entornos híbridos y en la nube. Además, el 45% de las identidades de máquina dispone de privilegios sensibles o accesos privilegiados. La falta de controles específicos para agentes de IA facilita la proliferación de permisos no registrados. En consecuencia, las organizaciones asumen riesgos al conceder permisos sin protocolos de auditoría.
El documento revela que el 94% de las compañías limita la categoría de usuario privilegiado a las identidades humanas. Esta práctica deja fuera del alcance de los sistemas de gestión a agentes de IA que operan con amplitud de funciones. La falta de visibilidad impide detectar abusos de privilegios y patrones anómalos. El acceso de máquinas a datos de entrenamiento no se supervisa con los mismos estándares que el acceso humano.
Según el informe, el 98% de las empresas aprovecha la IA y los grandes modelos de lenguaje (LLM) para optimizar la seguridad de identidad. No obstante, el 89% reconoce que el acceso de IA a datos confidenciales durante el entrenamiento genera riesgos de privilegios. Este hallazgo muestra la dualidad de la IA como aliado y como fuente de vulnerabilidades. La capacidad de los LLM para procesar grandes volúmenes de información sensible exige protocolos de segmentación y enmascaramiento de datos.
El término shadow AI describe el uso de herramientas de inteligencia artificial fuera de los canales oficiales de TI. Estas soluciones no aprobadas generan fugas de datos y acciones no registradas, al operar sin supervisión centralizada. La falta de políticas claras permite que empleados utilicen modelos externos con información sensible. Esto dificulta la trazabilidad de accesos y la detección de anomalías en el uso de datos corporativos.
Brechas de identidad y amenazas emergentes
El informe sitúa al phishing como origen del 94% de las brechas de identidad, incluidas las estafas basadas en deepfake. La estadística revela que el 61% de las organizaciones ha sufrido estos ataques en varias ocasiones. Estos vectores concentran un 39% de los incidentes reportados. En concreto, los procesos de DevOps, canales de integración y entrega continua y repositorios de código aparecen como actores críticos. A continuación, los servicios en la nube concentran otro 37 % de las vulnerabilidades señaladas. Asimismo, el estudio identifica que el 66% de las infracciones se deben a debilidades en las aplicaciones. Además, el 58% derivan del robo de credenciales. Estas cifras subrayan la necesidad de reforzar los controles en todos los niveles de la cadena de desarrollo y en los accesos a la nube.
Hacia una nueva estrategia de seguridad de identidad
El informe recoge datos de 2.600 responsables de ciberseguridad en 21 mercados, incluidas España, Italia y Reino Unido. Todas las organizaciones contaban con más de 500 empleados.
Albert Barnwell, director de ventas para Iberia de CyberArk, advierte del riesgo que suponen las identidades de máquina no gestionadas por la IA. Barnwell señala que los agentes de IA con acceso privilegiado podrían convertirse en un vector totalmente nuevo de ataque. En su opinión, los responsables de seguridad deben modernizar sus estrategias e incorporar controles que aborden tanto las identidades humanas como las máquinas. Solo así podrán gestionar el crecimiento continuo de identidades y mitigar el riesgo de accesos no autorizados.
En el informe completo “Panorama de seguridad de la identidad 2025” se incluyen directrices para implementar auditorías continuas, establecer políticas de acceso granular y supervisar el uso de shadow AI. Estas medidas buscan dar visibilidad a todas las identidades y reducir la superficie de ataque. La actualización de equipos de seguridad y de protocolos de autenticación aparece como prioridad en las conclusiones del estudio.
La seguridad de identidad se perfila como un elemento esencial para la resiliencia de la economía digital. La capacidad de las organizaciones para gestionar identidades de máquina influirá en la protección de infraestructuras críticas y en la confianza de usuarios y clientes. Las conclusiones del informe destacan que sin un enfoque integral, los riesgos asociados a la IA y al acceso privilegiado seguirán creciendo.
