La IA está redefiniendo los límites de las superficies globales de ataque de identidad como Active Directory, EntraID u Okta, según los resultados de un estudio global realizado por Semperis entre 1.100 organizaciones.
El hecho que se revela es que las organizaciones están entregando a los agentes de IA el acceso a sistemas críticos más rápido de lo que están implementando medidas de protección y control para esas nuevas identidades.
El estudio ‘El estado de la seguridad de la identidad en la era de la IA’ revela que el 74% de las organizaciones de Estados Unidos, Reino Unido, España, Francia, Alemania, Italia, Singapur y Australia cree que la IA incrementará los ataques contra la infraestructura de identidad.
El 74% de las organizaciones cree que la IA incrementará los ataques contra la infraestructura de identidad
Además, el 93% ya utiliza o planea utilizar agentes de IA para tareas de seguridad sensibles, como el restablecimiento de contraseñas y el acceso a VPN. El 92% afirma que la IA está instalada en al menos algunos equipos locales con acceso a claves SSH y de cifrado; sin embargo, a nivel global, solo el 32% tiene mucha confianza en su capacidad para recuperar el control si la IA expone credenciales de administrador.
En Estados Unidos, el 53% de las empresas expresa confianza en poder recuperar el control, mientras que en Francia la cifra se desploma hasta el 12%.
“Lo que deja claro este estudio es que la adopción de la inteligencia artificial está superando la preparación en materia de seguridad dentro de la mayoría de las organizaciones, especialmente en lo relativo a los sistemas de identidad”, ha señalado Antonio Feninno, vicepresidente del Área de Ventas para el Sur de Europa de Semperis.
“El uso acelerado de la IA está introduciendo una gran cantidad de nuevos agentes, cada uno con su propia identidad no humana (NHI), en las empresas de todo el mundo, y muchas compañías son demasiado optimistas respecto a su capacidad para recuperar su infraestructura de identidad tras una brecha de seguridad, incluso mientras siguen ampliando este ecosistema de identidades no humanas”, ha afirmado Alex Weinert, director de Producto de Semperis.
«Muchas compañías son demasiado optimistas respecto a su capacidad para recuperar su infraestructura de identidad tras una brecha de seguridad»
A nivel global, solo el 65% de las organizaciones afirma que las identidades de IA están completamente registradas, autenticadas y autorizadas dentro de un sistema formal, mientras que un 6% admite que no las rastrea en absoluto. Entre las organizaciones que sí supervisan las identidades de IA, el 57% utiliza el mismo sistema que emplea para las identidades humanas, mientras que el 43% las autentica y autoriza mediante un sistema independiente.
“Lo que resulta llamativo del estudio de Semperis sobre IA no es solo la rapidez con la que la IA se está integrando en los sistemas de identidad, sino también lo poco preparadas que están muchas organizaciones para recuperarse cuando las cosas salen mal. Introducir IA en la capa de identidad ofrece ventajas operativas, pero debe ir acompañado de controles, capacidad de observación y preparación para la recuperación”, señala Grace Cassy, socia de Ten Eleven Ventures.
Índice de temas
¿Están las organizaciones preparadas para brechas de identidad impulsadas por IA?
Una revelación preocupante del estudio es que se está situando la IA muy cerca de infraestructuras sensibles de identidad, y que muy pocas organizaciones están preparadas para las posibles consecuencias. Más de una cuarta parte de las organizaciones encuestadas (29%) ya utilizan agentes de IA para gestionar tickets de soporte relacionados con seguridad, incluyendo restablecimiento de contraseñas y acceso a VPN. Otro 65% tiene previsto hacerlo en el próximo año.
Se está situando la IA muy cerca de infraestructuras sensibles de identidad y que muy pocas organizaciones están preparadas para las posibles consecuencias
En paralelo, el 92% de los encuestados afirma que algún porcentaje de su plantilla tiene IA instalada en máquinas locales donde puede acceder a claves SSH y de cifrado.
En el lado positivo, el 83 % de los encuestados indicó que la gobernanza de identidades basada en IA es una prioridad para ellos en los próximos meses.
¿Cómo pueden las organizaciones gobernar estas identidades difíciles de controlar?
Por ahora, las mejores prácticas incluyen:
- Tratar a los agentes explícitamente como NHI (identidades no humanas) dentro del tejido de identidad.
- Aplicar el principio de mínimo privilegio, con acceso “justo y suficiente” y “justo a tiempo” para los agentes, con la misma rigurosidad que para los humanos.
- Segregar los límites de confianza entre agentes y humanos cuando sea apropiado.
- Utilizar analítica de estilo UEBA para detectar comportamientos ‘zombi’ o anómalos de los agentes.
- Asegurar que la organización pueda recuperar rápidamente los sistemas de identidad a un estado fiable si son comprometidos.
