Marc Sureda
Las identidades de las máquinas ya superan en número a las humanas en una proporción de 81 a 1 dentro de las organizaciones españolas, según el estudio “CyberArk Identity Security Landscape 2025”. Este crecimiento exponencial, vinculado a la adopción de tecnologías como la inteligencia artificial y la nube, ha generado una nueva superficie de ataque centrada en la identidad digital, con importantes implicaciones para la ciberseguridad empresarial.
En concreto, el 98% de las organizaciones en España ha registrado un aumento de identidades de máquina en los últimos tres años. A pesar de ello, en el 94% de las empresas solo se considera “usuario privilegiado” a las identidades humanas, cuando un 45% de las identidades de máquina tiene acceso sensible o privilegiado.
El informe también destaca que, aunque el 98% de las empresas utiliza actualmente la IA y los grandes modelos de lenguaje (LLM) para fortalecer la seguridad de las identidades, el 89% reconoce que el acceso a datos confidenciales durante el entrenamiento de estos modelos representa un riesgo importante. Además, el 70% de las organizaciones carece de controles de identidad específicos para la IA, y la mitad no es capaz de gestionar ni supervisar el uso de la shadow AI.
Esta situación refleja un entorno en el que el uso extensivo de tecnología avanzada no está siendo acompañado de las medidas necesarias para proteger los accesos, especialmente cuando se trata de agentes de IA con privilegios elevados que interactúan con grandes volúmenes de información sensible.
Phishing, credenciales robadas y entornos vulnerables
La otra gran amenaza destacada en el informe de CyberArk tiene que ver con las técnicas de ingeniería social; el 94% de las brechas de seguridad relacionadas con la identidad en España se deben a ataques de phishing, muchos de ellos reforzados con técnicas de deepfake o vishing, con un 61% de empresas afectadas en múltiples ocasiones.
Asimismo, el informe señala como entornos especialmente vulnerables a los sistemas DevOps, los pipelines de CI/CD y los repositorios de código fuente (39%), seguidos de cerca por las infraestructuras en la nube (37%). En cuanto a las causas de las infracciones, el 66% se originaron por vulnerabilidades en aplicaciones y el 58% por robo de credenciales.
En palabras del director de ventas de CyberArk para Iberia, Albert Barnwell: «La carrera por integrar la IA en los entornos ha creado un nuevo conjunto de riesgos de seguridad de identidad centrados en el acceso de identidades de máquinas no gestionadas y no seguras, y el acceso privilegiado de los agentes de IA representará un vector de amenaza completamente nuevo«.
El informe concluye señalando que, a medida que las organizaciones aceleran la integración de tecnologías avanzadas, resulta imperativo adoptar una gestión de identidades más robusta, que contemple no solo a los usuarios humanos, sino también a las crecientes identidades digitales no humanas que interactúan con sistemas críticos de negocio.
