Una nueva investigación advierte que las identidades no humanas y las basadas en inteligencia artificial se están multiplicando más rápido de lo que las organizaciones pueden protegerlas, y que otorgar a los sistemas de IA un verdadero poder de decisión los deja muy expuestos a riesgos de seguridad.
Más del 76 % de las organizaciones encuestadas para el estudio SANS Identity Threats & Defences Survey 2026 informaron de un aumento en el uso de identidades no humanas (NHI, por sus siglas en inglés), como cuentas de servicio, claves API, bots de automatización e identidades de carga de trabajo.
El número de identidades se ha duplicado o triplicado discretamente, no porque las empresas tengan más empleados, sino porque los procesos de comunicación máquina a máquina ahora sustentan las operaciones comerciales principales.
Sin embargo, las prácticas de gobernanza no han seguido el ritmo, de hecho, entre las tres cuartas partes de las organizaciones que ya utilizan agentes de IA que requieren credenciales, el 5 % de los responsables de seguridad ni siquiera saben si la IA con capacidad de agente está funcionando en su entorno o no.
Si bien la rotación de credenciales sigue siendo una defensa básica contra las vulnerabilidades a largo plazo, el 92 % de las organizaciones no la llevan a cabo en un ciclo de 90 días, lo que crea un problema de «acceso permanente», mientras tanto, el 15% admite que ni siquiera conoce la frecuencia de rotación de sus credenciales de máquina, y el 59% rota menos de la mitad de sus credenciales NHI trimestralmente.
Según SANS, la razón suele ser el temor a que cambiar las credenciales de la máquina pueda dañar las cuentas de servicio y provocar tiempos de inactividad; esto anima a los equipos a priorizar la disponibilidad del sistema sobre la higiene de las credenciales, dejando las claves de alto privilegio sin cambios durante meses o años.
Los problemas de identidad estructural están aumentando
Según SANS, también existe un problema estructural, muchas organizaciones aún dependen de procesos centrados en el ser humano, como las revisiones de acceso manuales, el aprovisionamiento basado en tickets y la rotación periódica.
Fundamentalmente, estos procesos no son escalables a entornos con grandes volúmenes de identidades de máquinas que se autentican continuamente en sistemas de nube, DevOps y SaaS.
Si bien cada vez se utilizan más controles como las bóvedas de secretos, la rotación automatizada y el acceso con privilegios mínimos limitados, es necesario adaptarlos al crecimiento de los sistemas nacionales de salud.
Las identidades de IA con capacidad agentica son un gran problema
SANS advirtió que la IA agente está creando una situación peligrosa para los equipos de seguridad, casi tres cuartas partes de las organizaciones están implementando sistemas de IA que requieren credenciales y permisos de acceso para operar de forma autónoma, interactuando a menudo directamente con infraestructura y datos críticos.
A diferencia de las redes de información tradicionales, que siguen una lógica fija, los agentes interpretan instrucciones y pueden realizar acciones impredecibles y no deterministas. Esto les otorga, en la práctica, acceso privilegiado a través de diferentes entornos, con el potencial de agravar errores o generar acciones alucinantes.
A pesar de ello, ninguna medida de seguridad, aprobaciones, entornos aislados o registros de auditoría, es utilizada por más del 40 % de las organizaciones.
“Las organizaciones están otorgando a los sistemas de IA un poder real de toma de decisiones más rápido de lo que desarrollan la gobernanza necesaria para controlarlo. Ya hemos visto lo que sucede cuando las identidades no humanas se expanden sin límites, y la IA con capacidad de agencia avanza aún más rápido”, afirmó Richard Greene, instructor certificado del Instituto SANS.
«Los primeros indicios de gobernanza son alentadores: casi cuatro de cada diez organizaciones ya utilizan la aprobación humana para las acciones de los agentes de IA, pero el verdadero desafío reside en mantenerse a la vanguardia de estos sistemas a medida que pasan de las fases piloto a las operaciones principales.»
Las organizaciones están empezando a tomar conciencia de la amenaza, y un estudio reciente de Okta revela que el 85 % considera ahora que la gestión de identidades y accesos (IAM) es importante para su postura de seguridad, frente al 79 % del año pasado.
Más de tres cuartas partes (78%) de los encuestados afirmaron que controlar el acceso y los permisos para los Sistemas Nacionales de Información Sanitaria (SNI) era su principal preocupación en materia de seguridad.
Según el estudio de referencia sobre datos y privacidad de Cisco de 2026, prácticamente todas las organizaciones están ampliando sus programas de privacidad y marcos de gobernanza, siendo la IA la principal razón en un 90 % de los casos.
