Las tres amenazas de la IA: cómo reducir los riesgos de la adopción de inteligencia artificial mediante la seguridad de identidad.

Recientes incidentes de ciberseguridad han puesto de manifiesto la vulnerabilidad del Reino Unido ante amenazas cibernéticas cada vez más sofisticadas. Esta situación se ha visto agravada por la creciente integración de la inteligencia artificial en los procesos empresariales cotidianos. Las herramientas de IA son ahora fundamentales para las organizaciones que buscan aportar valor y mantenerse competitivas. Sin embargo, estos beneficios también conllevan riesgos que muchas entidades aún no han abordado de manera adecuada.

Una investigación reciente resalta a la inteligencia artificial como una compleja "triple amenaza". Por un lado, se utiliza como vector de ataque; por otro, se emplea de manera defensiva y, lo más preocupante, está generando nuevas brechas de seguridad significativas. En este contexto de amenazas en evolución, es crucial que las organizaciones coloquen la seguridad de identidad en el centro de sus estrategias de IA para construir una resiliencia a futuro.

La IA ha elevado el estándar de los métodos de ataque tradicionales. El phishing, que sigue siendo el camino de entrada más común para las brechas de identidad, ha avanzado de correos electrónicos mal redactados a estafas sofisticadas que utilizan deepfakes generados por IA, voces clonadas y mensajes que parecen legítimos. Casi el 70% de las organizaciones en el Reino Unido fueron víctimas de ataques de phishing exitosos el año pasado, con más de un tercio reportando múltiples incidentes. Esto demuestra que incluso las capacitaciones robustas y las medidas técnicas pueden ser eludidas cuando los atacantes usan IA para imitar contactos de confianza y aprovechar la psicología humana.

Es insuficiente confiar en que las defensas perimetrales convencionales detendrán estas amenazas. Las organizaciones deben adaptarse incorporando procesos más sólidos de verificación de identidad y cultivando una cultura en la que la actividad sospechosa sea reportada e investigada sin dudar.

Mientras la IA fortalece las capacidades de los atacantes, también está transformando la operativa de los defensores. Casi el 90% de las organizaciones del Reino Unido utilizan IA y grandes modelos de lenguaje para monitorear el comportamiento de la red, identificar amenazas emergentes y automatizar tareas repetitivas que antes consumían horas de esfuerzo manual. En muchos centros de operaciones de seguridad, la IA se ha vuelto un multiplicador de fuerza vital que permite a pequeños equipos gestionar una carga de trabajo vasta y en crecimiento.

Cerca de la mitad de las organizaciones espera que la IA sea el mayor impulsor del gasto en ciberseguridad en el próximo año, reflejando una creciente conciencia de que los analistas humanos por sí solos no pueden mantener el ritmo de la escala y velocidad de los ataques modernos. No obstante, el uso de la defensa potenciada por IA debe implementarse de manera responsable. La dependencia excesiva sin la supervisión humana adecuada puede resultar en zonas ciegas y confianza infundada. Los equipos de seguridad deben asegurarse de que las herramientas de IA se entrenen con datos de alta calidad, se prueben rigurosamente y se revisen regularmente para evitar sesgos no deseados.

La IA también ha ampliado el alcance de los ataques. El crecimiento acelerado de identidades de máquina y agentes de IA es un tercer aspecto de esta triple amenaza. A medida que los empleados adoptan nuevas herramientas de IA para aumentar su productividad, el número de cuentas no humanas que acceden a datos críticos ha aumentado, superando a los usuarios humanos en una proporción de 100 a 1. Muchas de estas identidades de máquina poseen privilegios elevados, pero operan con una gobernanza mínima. Las credenciales débiles, secretos compartidos y una gestión de ciclo de vida inconsistente brindan oportunidades a los atacantes para comprometer sistemas con poca resistencia.

El uso no autorizado de aplicaciones de IA, conocido como "Shadow AI", también está complicando este desafío. Se estima que más de un tercio de los empleados admiten utilizar aplicaciones de IA no aprobadas, a menudo para automatizar tareas o generar contenido de manera rápida. Aunque los aumentos de productividad son reales, las consecuencias en términos de seguridad son significativas. Las herramientas no aprobadas pueden procesar datos confidenciales sin las salvaguardias adecuadas, exponiendo a las organizaciones a filtraciones de datos, incumplimientos regulatorios y daños a la reputación.

Abordar este riesgo exige más que controles técnicos. Las organizaciones deben establecer políticas claras sobre el uso aceptable de la IA, educar a su personal sobre los riesgos de eludir la seguridad y proporcionar alternativas aprobadas y seguras que satisfagan las necesidades del negocio sin crear vulnerabilidades ocultas.

Asegurar empresas impulsadas por IA requiere integrar la seguridad de identidad en cada capa de la estrategia digital de una organización. Esto implica garantizar la visibilidad en tiempo real de todas las identidades, sean humanas, de máquina o agentes de IA, aplicando el principio de menor privilegio de manera consistente y monitoreando continuamente el comportamiento de acceso inusual que pueda señalar una brecha.

Las organizaciones que están a la vanguardia ya están actualizando sus marcos de gestión de acceso e identidad para satisfacer las demandas específicas de la IA. Esto significa adoptar acceso justo a tiempo para identidades de máquina, monitorear la escalación de privilegios y tratar a todos los agentes de IA con la misma atención que a las cuentas humanas. La IA ofrece un valor inmenso a las organizaciones que la adoptan de forma responsable, pero sin una sólida seguridad de identidad, ese valor puede convertirse rápidamente en una carga.

Las empresas que prosperen serán aquellas que reconozcan que la resiliencia no es opcional, sino la base para un crecimiento a largo plazo. En una época en que tanto empresas como adversarios están potenciados por la IA, un principio se mantiene firme: asegurar la IA comienza y termina con asegurar la identidad.