Los analistas confirmaron recientemente lo que los equipos de seguridad de identidad temían silenciosamente: los agentes de IA se están implementando más rápido de lo que las empresas pueden controlarlos. En su Guía de Mercado inaugural para Agentes Guardianes, Gartner afirma que “la adopción empresarial de agentes de IA se está acelerando, superando la madurez de los controles de las políticas de gobernanza”. Los líderes empresariales pueden solicitar acceso a la Guía de mercado de Gartner para agentes guardianesdisponible de forma gratuita en Orchid Security.
El desafío no es simplemente de herramientas. Es una brecha estructural en la forma en que se ha gestionado la identidad durante las últimas décadas. La gestión tradicional de identidad y acceso se diseñó para que los usuarios humanos iniciaran y cerraran sesión en los sistemas. Los agentes de IA operan de manera diferente: se ejecutan continuamente, abarcan múltiples aplicaciones, adquieren permisos de manera oportunista y generan actividad a la velocidad de la máquina. El resultado es otra forma de lo que Orchid Security llama «materia oscura de identidad»: una capa invisible y no administrada de actividad de identidad que opera bajo el radar de las plataformas IAM convencionales.
Según el análisis de Orchid, Aproximadamente la mitad de la actividad de identidad empresarial ya ocurre fuera de la visibilidad centralizada de IAM. ¿Por qué? Porque si bien muchas identidades residen en directorios centrales y los controles están disponibles en herramientas centrales de IAM, muchas identidades y controles viven en las propias aplicaciones. Este es el desafío de la gestión de identidades y accesos (IAM), ¿cómo gestiono lo que ni siquiera puedo ver?
Sin embargo, la buena noticia es que una respuesta es «pregúntale a Orchid». A continuación se muestran algunos ejemplos.
Tres preguntas que se hacen ahora los equipos de identidad
Ask Orchid es el agente de inteligencia artificial integrado en la plataforma de Orchid exactamente para esto. Aplica la observabilidad de la identidad en el origen (dentro de las aplicaciones, en la capa binaria y de configuración) y responde preguntas en lenguaje natural sobre el estado completo de la identidad. Estas son tres de las preguntas que los líderes de seguridad y cumplimiento plantean ahora.
Pregunta 1: «¿Qué agentes de IA se ejecutan en nuestro entorno?»
Ésta es la pregunta que la mayoría de las empresas aún no pueden responder, y quizá sea la más importante. Los agentes de IA se están implementando en todas las unidades de negocios, incrustados en plataformas SaaS, integrados a través de API y construidos internamente por equipos de desarrollo. Los procesos de gobernanza no han seguido el ritmo. Muchas organizaciones no tienen un inventario centralizado de los agentes que operan dentro de su entorno, y mucho menos visibilidad de lo que hacen esos agentes, a qué datos acceden o qué identidades utilizan para hacerlo.
«Ask Orchid aborda esto directamente. Cuando se le pregunta «¿Qué agentes de IA se están ejecutando en nuestro entorno?», aplica la observabilidad de identidad en cada aplicación, examinando cuentas de usuario, flujos de autenticación, permisos de autorización y actividad de tiempo de ejecución en la fuente. La plataforma no simplemente marca los agentes que están activos durante una ventana de monitoreo. Proporciona:
- Descubrimiento automático de agentes de IA, incluido su probable propósito y perfil de riesgo.
- Identificación de áreas donde se confirma que los agentes de IA no están en uso, para obtener una imagen completa
- Acciones recomendadas para ayudar a establecer una supervisión adecuada
Para los líderes de gobernanza, riesgo y cumplimiento, esta capacidad representa la diferencia entre gestionar la adopción de la IA y ser gestionado por ella.
Pregunta 2: «¿Hasta qué punto cumplimos con los requisitos de identidad del NIST en este momento?»
Para los CISO empresariales, el cumplimiento normativo es una doble obligación: un requisito legal y una base de seguridad. Pero con las aplicaciones en constante evolución, conocer el estado real de cumplimiento del NIST, por ejemplo, en un momento dado históricamente ha requerido una auditoría externa de un tercero.
«Pregúntale a Orchid» cambia esa ecuación. Cuando se le preguntó directamente: «¿Hasta qué punto cumplimos ahora con los requisitos de identidad de NIST LCR?»: examina cómo se implementan los controles de identidad dentro de cada aplicación, a nivel binario, donde finalmente se definen. Luego compara lo que realmente está codificado con lo que requiere NIST, cubriendo tanto el marco 1.1 establecido como la versión 2.0 actualizada. El resultado no es un cuadro de mando genérico. Incluye:
- Una visión clara de qué controles se implementan adecuadamente y dónde existen brechas.
- Detalle a nivel de aplicación, no solo a nivel de plataforma o resúmenes específicos de herramientas
- Una hoja de ruta de remediación priorizada con próximos pasos viables
En lugar de esperar a que un auditor revele las vulnerabilidades después del hecho, los CISO ahora pueden evaluar y abordar su postura de cumplimiento a pedido, antes de la auditoría, no debido a ella.
Pregunta 3: «¿Tenemos credenciales estáticas que deberían rotarse inmediatamente?»
Las credenciales estáticas son uno de los problemas más antiguos y persistentes en la seguridad de la identidad. Cuentas de servicio, acceso a API, tokens de máquina a máquina, credenciales “rompidas”: se acumulan en todas las empresas, a menudo se emiten por motivos legítimos y luego se olvidan. Si no se gestionan, se convierten en uno de los objetivos de mayor valor para los atacantes y en uno de los puntos de apoyo más comunes para los agentes de IA que explotan la materia oscura de identidad de forma diseñada.
Cuando se nos pregunta «¿Tenemos credenciales estáticas que deberían rotarse inmediatamente?», Ask Orchid examina las credenciales en todas las aplicaciones, no solo las conectadas a un proveedor de identidad central, sino también las que están en la nube, en las instalaciones y en cuentas locales. La respuesta incluye:
- Un inventario completo de credenciales estáticas en todo el entorno.
- Dónde viven y por qué es necesario rotarlos
- Una priorización por niveles de riesgo, que identifica qué credenciales representan la exposición más urgente
La inteligencia de credenciales que solía ser invisible se entrega en minutos.
El problema más profundo: la materia oscura de la identidad se está acelerando
Los tres escenarios anteriores no son casos extremos. Representan el desafío principal que enfrentan los equipos de seguridad empresarial en la actualidad: el patrimonio de identidad ha crecido mucho más allá de lo que las plataformas IAM tradicionales fueron diseñadas para ver. Las aplicaciones autentican a los usuarios localmente. Las cuentas de servicio se aprovisionan y se olvidan. A los agentes de IA se les otorgan nuevas identidades con amplios permisos. La suma de toda esta actividad no administrada (y más), la materia oscura de la identidad, se está expandiendo a un ritmo que iguala, y en muchos casos supera, la tasa de adopción de la IA en sí.
Lo que hace que esto sea particularmente difícil es la naturaleza estructural de la brecha. No se trata simplemente de agregar más conectores a una plataforma IAM existente. El problema es que la mayoría de las herramientas de identidad se detienen en el evento de inicio de sesión. No observa lo que sucede dentro de las aplicaciones después de la autenticación.
Cómo cierra la brecha Orchid Security
Orchid Security fue creado exactamente para este entorno. Funciona dentro de las aplicaciones, en el origen de la actividad de identidad, en lugar de en el perímetro de un sistema IAM centralizado. A través del análisis binario y la instrumentación dinámica, Orchid inspecciona la lógica de autenticación y autorización nativa directamente dentro de las aplicaciones, sin requerir API, cambios de código fuente ni integraciones prolongadas. Esto le brinda visibilidad de la mitad de la actividad de identidad empresarial que queda fuera de la visibilidad de IAM convencional, incluidos todos los agentes de IA que operan en todo el patrimonio.
Reconocido como Vendedor Representante en Guía de mercado inaugural de Gartner para agentes guardianes — descrito como un proveedor que «administra las identidades/el acceso de los agentes de IA con políticas y gobernanza de confianza cero» — Orchid ofrece lo que llama autoridad de identidad de espectro completo: desde la observabilidad hasta la orquestación, en todas las identidades, humanas y no humanas.
Para los agentes de IA en particular, su enfoque se basa en cinco principios que rigen la adopción segura de agentes de IA:
- Atribución de humano a agente: Cada acción del agente de IA está vinculada a un propietario humano responsable, lo que garantiza la responsabilidad por la actividad impulsada por la máquina.
- Auditoría Integral de Actividad: Se registra una cadena de custodia completa: Agente → Herramienta/API → Acción → Objetivo, lo que permite generar informes de cumplimiento y respuesta a incidentes.
- Barandillas dinámicas y sensibles al contexto: Las decisiones de acceso se evalúan continuamente, en función del contexto en tiempo real, la sensibilidad del recurso objetivo y los derechos del propietario humano, reemplazando privilegios amplios con autorización específica
- Mínimo privilegio: La elevación Just-in-Time reemplaza el acceso persistente en «modo dios» entre agentes de IA e identidades de máquinas
- Remediación automatizada: El comportamiento riesgoso desencadena respuestas automáticas, incluida la rotación de credenciales y la finalización de la sesión, sin requerir intervención manual.
Para obtener más información, consulte La plataforma de Orchid para proteger la identidad autónoma.
Pensamiento final
Para los equipos de seguridad que preguntan si tienen agentes de IA no gobernados en su entorno, credenciales no rotadas en aplicaciones olvidadas, brechas de cumplimiento que su última auditoría pasó por alto, Orchid proporciona las respuestas (y la ruta de solución) sin esperar a que una infracción las haga visibles.
Los líderes empresariales responsables de la ciberseguridad, la gestión de identidades y accesos y la gobernanza de agentes de IA pueden solicitar acceso a la Guía de mercado de Gartner para agentes guardianescortesía de Orchid Security.
Gartner no respalda a ningún proveedor, producto o servicio descrito en sus publicaciones. Las publicaciones de Gartner reflejan las opiniones de la organización de investigación de Gartner y no deben interpretarse como declaraciones de hechos.
