Los nuevos datos de la industria recién publicados sugieren lo contrario.
El 19 de mayo de 2026, Orchid Security anunció los resultados de Identity Gap: Snapshot 2026. Entre los hallazgos, la «materia oscura de la identidad» (elementos de identidad invisibles y no gestionados) eclipsa los elementos visibles en un 57% frente al 43%. Y no podría haber llegado en peor momento, con las empresas adoptando la IA agente con los brazos abiertos (y desafortunadamente, como explica el cofundador de Orchid, Robert Wiseman, con más de un ojo cerrado).
Quizás se pregunte por qué nos preocupa.
Por diseño, los agentes de IA tienden a buscar atajos. Cuando se le asigna una tarea, se le entrena para utilizar la velocidad de una máquina y la creatividad de un humano para encontrar la manera más eficiente de completarla. ¿Se le ha negado el acceso a un sistema requerido? Utilice credenciales codificadas y almacenadas en texto sin cifrar dentro de la aplicación. ¿Necesita información que no tiene derecho a leer? «Tomar prestadas» credenciales con mayores privilegios. ¿Está constantemente expuesto a desafíos en diferentes sistemas? Obtenga un token ampliamente aceptado. En verdad, la creatividad del Agente AI es notable. Simplemente corta en ambos sentidos.
El hecho de que un agente de IA pueda encontrar una manera de acceder a una aplicación, sistema o base de datos no significa que deba hacerlo. Pero mientras que la codificación limita a los actores tradicionales no humanos y requiere una pausa humana para tomar conciencia, los agentes de IA casi siempre no tienen tales limitaciones o escrúpulos.
Por lo tanto, una gestión de identidades y acceso bien gestionada es una base fundamental para mantener la actividad de la IA del agente dentro de los límites permitidos. Basta mirar las interrupciones en la nube reportadas a principios de año para comprender la importancia de esto.
Por supuesto, a lo largo de los años se han acumulado atajos, lagunas y excepciones de IAM. Incluso durante décadas. Por lo tanto, no es razonable esperar que todo se limpie de una vez. Es por eso que los hallazgos de Identity Gap Snapshot de este año (las revelaciones más comunes para las empresas en América del Norte y Europa) son tan importantes y oportunos.
Los 3 principales hallazgos
Ocultar cuentas no humanas: Dos de cada tres cuentas no humanas se configuran localmente en la propia aplicación. Esto hace que el programa central IAM no los reconozca ni los administre. Entiendo cuentas de máquina y cuentas de servicio. Peligroso para agentes autónomos de IA. Sobreprivilegiados: el 70% de todas las aplicaciones tienen un número excesivo de cuentas privilegiadas. El área de acceso con “menores privilegios” ha superado con creces las expectativas y corre un gran riesgo dados los actores de amenazas actuales y los agentes de IA mencionados anteriormente. Cuentas huérfanas: en entornos empresariales, descubrimos que el 40 % de todas las cuentas han superado su vida útil de usuario autorizado. Estas cuentas “huérfanas” claramente no están administradas y tal vez no se vean, lo que las hace propicias para que las exploten actores de amenazas y agentes de inteligencia artificial.
Estos son sólo algunos de los aspectos más destacados del panorama completo de la brecha de identidad. Le animamos a leer el informe completo.
que puedes hacer
Si no está seguro de cómo abordar estos (y otros problemas similares) en su organización, o incluso qué tan frecuente es cada problema en su entorno, nuestro equipo de investigadores de seguridad ha publicado una Lista de verificación de preparación para la seguridad de la identidad. Si su organización se está preparando para una transformación de Agent AI (o ya ha participado en ella), ahora es el momento de actuar.
Source link
