Los nuevos datos de la industria recién publicados sugieren que no.
El 19 de mayo de 2026, Orchid Security publicó los resultados de nuestro Brecha de identidad: instantánea de 2026. Entre los hallazgos, la «materia oscura de la identidad» (los elementos invisibles y no gestionados de la identidad) ahora eclipsa a los elementos visibles en un 57% frente a un 43%. Y no podría haber ocurrido en peor momento, con las empresas adoptando el Agente AI con ambos brazos (y desafortunadamente, como explica el cofundador de Orchid, Robert Wiseman, con más de un ojo cerrado).
¿A qué se debe esta preocupación?, te preguntarás.
Los agentes de IA son buscadores de atajos por diseño. Cuando se les asigna una tarea, se les capacita para encontrar la forma más eficiente de completarla, con la velocidad de las máquinas y la creatividad de los humanos. ¿Se le negó el acceso a un sistema necesario? Utilice una credencial codificada almacenada en texto sin formato dentro de la aplicación. ¿Necesita información que no tiene derecho a leer? «Tomar prestada» una credencial con mayores privilegios. ¿Ser desafiado constantemente en muchos sistemas diferentes? Obtenga un token ampliamente aceptado. En verdad, la creatividad del Agente AI es notable. Simplemente corta en ambos sentidos.
El hecho de que un agente de IA pueda encontrar una manera de acceder a una aplicación, un sistema o una base de datos no significa que deba hacerlo. Pero mientras que la codificación restringiría a un actor no humano tradicional y la conciencia debería dar una pausa humana, en la mayoría de los casos, los agentes de IA no tienen tales limitaciones o escrúpulos.
Es por eso gestión de identidad y acceso bien gestionada es una base fundamental para mantener la actividad del Agente AI dentro de los límites autorizados. No busque más allá de las interrupciones en la nube reportadas a principios de año para comprender esta importancia.
Por supuesto, los atajos, las lagunas y las excepciones de IAM se han ido acumulando a lo largo de los años. Incluso décadas. Por lo tanto, no es razonable esperar que todo se limpie de una vez. Es por eso que los hallazgos del informe Identity Gap Snapshot de este año (las exposiciones más comunes en las empresas norteamericanas y europeas) son tan importantes y oportunos.
Los 3 principales hallazgos
- Cuentas invisibles no humanas: Dos de cada tres cuentas no humanas se configuran localmente en la propia aplicación. Eso hace que el programa central IAM no los vea ni los administre. Comprensible para cuentas de máquinas y servicios. Peligroso para agentes autónomos de IA.
- Permisos excesivos: El setenta por ciento de todas las aplicaciones tiene una cantidad excesiva de cuentas privilegiadas. Mucho más de lo esperado en el área de acceso con «privilegios mínimos» y un riesgo importante dados los actores de amenazas actuales, así como los agentes de IA mencionados anteriormente.
- Cuentas huérfanas: Se descubrió que el cuarenta por ciento de todas las cuentas, en entornos empresariales, habían sobrevivido a su usuario autorizado. Estas cuentas «huérfanas» claramente no están administradas y probablemente no se vean, y están listas para ser seleccionadas por actores de amenazas y agentes de IA.
Estos son sólo algunos de los aspectos más destacados del resumen completo de la brecha de identidad. Te animamos a leer el informe completo.
Qué puedes hacer
Si no está seguro de cómo abordar estos (y otros problemas similares) dentro de su organización, o incluso qué tan prevalentes podrían ser cada uno en su entorno, nuestro equipo de investigadores de seguridad también ha publicado una Lista de verificación de preparación para la seguridad de la identidad. Si su organización se está preparando para (o ya participa en) la transformación de la IA del agente, ahora es el momento de actuar.
