Ciberseguridad 
Un proveedor de servicios de seguridad gestionados (MSSP) en el ámbito de la ciberseguridad es una organización externa que gestiona y protege de forma remota los
Publicado el abril 20, 2026
Los empleados están adoptando herramientas de Inteligencia Artificial (IA) para mejorar su productividad, pero rara vez consideran las implicaciones de seguridad de hacerlo. Cuando un empleado pega datos confidenciales del cliente en una herramienta de IA no aprobada, esos datos son procesados por un modelo de terceros fuera del control de la organización, a menudo sin dejar rastro de auditoría para que los equipos de seguridad los revisen.
Según el Informe Anual 2024 del Índice de Tendencias Laborales de Microsoft, el 78% de los empleados declaró emplear sus propias herramientas de IA en el trabajo. Este uso no aprobado de herramientas de IA destaca cuán generalizada se ha vuelto la IA no supervisada. La seguridad de identidad proporciona la base para abordar este desafío al ayudar a las organizaciones a obtener visibilidad sobre quién accede a las herramientas de IA y en qué condiciones, lo que brinda a los equipos de seguridad el control que necesitan para gobernar el uso de la IA.
Continúe leyendo para obtener más información sobre la IA no supervisada, por qué es un riesgo importante para la seguridad de la identidad y cómo gobernar la IA no supervisada centrada en la identidad.
TI no supervisada e IA no supervisada
La IA no supervisada amplía los riesgos existentes de la TI no supervisada, pero introduce amenazas más modernas y complejas. La TI no supervisada se refiere al uso no autorizado de software o sistemas dentro de una organización. Por ejemplo, un empleado puede utilizar su cuenta de correo electrónico personal para compartir archivos de trabajo, lo que genera brechas en el control de acceso y la visibilidad. La IA no supervisada lleva esta amenaza un paso más allá, ya que las herramientas de IA no solo almacenan datos, sino que también los procesan de forma activa y pueden conservarlos. Esto genera un nuevo nivel de exposición de datos, en el que la información confidencial puede quedar profundamente integrada en modelos externos que escapan al control de la organización. Dos factores que hacen que la IA sea especialmente difícil de gobernar son:
- Uso de cuentas o dispositivos personales: Los empleados que acceden a herramientas de IA fuera de los entornos aprovisionados por la empresa a través de cuentas y dispositivos personales desconectan su actividad de su identidad organizacional, lo que elimina la transparencia y la trazabilidad.
- Herramientas de IA basadas en navegador: Las herramientas de IA basadas en navegador no requieren instalación, lo que hace que sean más difíciles de detectar en entornos que dependen exclusivamente de controles basados en puntos finales.
Esta combinación de exposición de datos a una escala tan grande y herramientas que son capaces de evadir la detección tradicional hace que la IA no supervisada sea un problema de seguridad particularmente desafiante.
Por qué la IA no supervisada es un problema de seguridad de identidad
Cuando los empleados usan herramientas de IA no aprobadas, los equipos de seguridad no tienen visibilidad sobre qué datos se compartieron, quién accedió a la herramienta o qué hace la herramienta con esos datos. Esta falta de visibilidad de identidad es la razón principal por la que la IA no supervisada es tan difícil de detectar, y mucho menos de administrar. Las soluciones tradicionales de gestión de identidades y accesos (IAM) se diseñaron para usuarios humanos con un comportamiento predecible y roles definidos; sin embargo, las organizaciones modernas deben adaptar sus estrategias de seguridad para tener en cuenta las identidades no humanas (NHI), incluidos los agentes de IA y las cuentas de servicio. Estas identidades de máquina pueden acceder a los sistemas y ejecutar tareas de forma autónoma en múltiples sistemas críticos, y su popularidad está aumentando en las empresas. De hecho, según los líderes sénior encuestados en la Encuesta global del estado de IA 2025 de McKinsey, el 62% informó que sus organizaciones al menos estaban experimentando con agentes de IA. A diferencia de los usuarios humanos, los agentes de IA pueden funcionar de manera ininterrumpida, adaptarse rápidamente e interactuar con múltiples sistemas al mismo tiempo. Sin controles de seguridad de identidades que puedan gestionar tanto las identidades humanas como las de las máquinas, las organizaciones pierden el control sobre cómo se accede a sus datos y cómo se utilizan.
Principales riesgos de IA no supervisada relacionados con la identidad
La débil seguridad de identidad no solo hace que la IA no supervisada sea más difícil de detectar, sino que también exacerba el daño que puede causar la IA no supervisada.
Acceso a datos sin supervisión
Los empleados que comparten datos confidenciales con herramientas de IA no aprobadas crean una exposición de datos que los sistemas de monitoreo tradicionales pueden no detectar. Las herramientas de prevención de pérdida de datos solo pueden monitorear los canales en los que tienen visibilidad; la IA no supervisada opera fuera de esos límites. Si un empleado utiliza una herramienta de IA no aprobada a través de una cuenta personal no supervisada, las organizaciones no tienen forma de monitorear, registrar o llevar un registro de la actividad. Si se exponen datos o credenciales privilegiadas, los ciberdelincuentes pueden acceder a sistemas críticos sin una pista de auditoría clara.
Proliferación de identidades de máquina
A diferencia de los empleados humanos que pasan por procesos formales de incorporación y salida, los agentes de IA y las cuentas de servicio a menudo carecen de una gestión estructurada del ciclo de vida. Como resultado, un número creciente de identidades de máquina operan en múltiples entornos con permisos excesivos y supervisión limitada, lo que lleva a la proliferación de identidades de máquina. Sin visibilidad de las identidades de las máquinas, las organizaciones no pueden verificar a qué sistemas se accede o si se han visto comprometidos.
Deficiencias en materia de cumplimiento y auditoría
Marcos regulatorios como el RGPD, HIPAA y PCI DSS exigen a las organizaciones que rastreen cómo se accede y se procesan los datos confidenciales, independientemente de si es responsable una persona o una máquina. Si la seguridad de identidad solo cubre a los usuarios humanos, las organizaciones no pueden producir pruebas completas que tengan en cuenta la actividad de la IA, lo que las expone a sanciones regulatorias y hallazgos de auditoría que son cada vez más difíciles de remediar a posteriori.
Cómo gobernar una IA centrada en la identidad y no supervisada
La gestión de la IA no supervisada no debe implicar el bloqueo de todas las herramientas de IA para los miembros de su organización; debe comenzar con obtener una visibilidad completa de quién está accediendo a los sistemas y datos críticos. Estos son algunos pasos clave que sus equipos de TI y seguridad deben seguir para adoptar un enfoque centrado en la identidad para gobernar la IA no supervisada:
- Establezca la visibilidad en todas las identidades: emplee una solución IAM sólida para identificar quién accede tanto a herramientas de IA aprobadas como no aprobadas. Sin esto, los equipos de seguridad solo pueden reaccionar a la IA no supervisada después de que los datos hayan sido expuestos. Las organizaciones deben contar con la visibilidad necesaria para gobernar tanto las identidades humanas como las de las máquinas, de modo que puedan determinar qué herramientas permitir y dónde deben ser más precisas las políticas de acceso.
- Ampliar la gobernanza a los institutos nacionales de salud: Combine la gestión de identidades y accesos (IAM) con la gobernanza y administración de identidades (IGA) para gestionar el acceso tanto de identidades humanas como de máquinas. Los agentes de IA y las cuentas de servicio deben estar sujetos a las mismas revisiones de acceso, políticas de privilegios mínimos y procedimientos de baja que los usuarios humanos.
- Aplique la seguridad de confianza cero: Toda solicitud de acceso debe verificarse siempre, independientemente de si proviene de una identidad humana o de una máquina. Exija la autenticación multifactor (MFA), utilice el inicio de sesión único (SSO) y aplique el principio de privilegios mínimos para limitar todas las identidades únicamente a lo necesario para una tarea específica.
- Supervise y registre las sesiones con privilegios en tiempo real: Vincule toda la actividad relacionada con la IA a identidades autorizadas y registre las sesiones que impliquen acceso a sistemas críticos. Herramientas como KeeperAI analizan las sesiones a medida que se producen, señalando automáticamente los comportamientos sospechosos en función de los umbrales de riesgo definidos por el administrador, lo que proporciona a los equipos de seguridad registros de auditoría detallados y la capacidad de intervenir antes de que una amenaza se agrave.
- Implementar la detección y respuesta a amenazas de identidad (ITDR): ITDR supervisa continuamente las anomalías de comportamiento en las identidades humanas y de máquinas, detectando actividades sospechosas como intentos de escalada de privilegios y abuso de credenciales antes de que se conviertan en incidentes mayores. Al extender la detección de amenazas más allá de los controles perimetrales a la capa de identidad, ITDR aborda directamente los puntos ciegos creados por la IA no supervisada.
Proteja las identidades de personas y dispositivos con Keeper®
A medida que la adopción de la IA crece, la IA no supervisada crecerá con ella. Las organizaciones necesitan una plataforma de seguridad de identidades que ofrezca visibilidad, control y gobernanza sobre todas las identidades, tanto humanas como de máquinas.
Keeper asegura el acceso privilegiado tanto para usuarios humanos como para identidades de máquinas, aplica políticas de privilegios de mínimo privilegio y proporciona monitoreo de sesiones en tiempo real en todos los sistemas críticos. Regula los secretos de infraestructura y las claves de API de los que dependen los agentes de IA, garantizando que los NHI operen dentro de los límites definidos y que las credenciales se renueven automáticamente. KeeperAI mejora esta visibilidad al analizar sesiones privilegiadas en tiempo real y mostrar actividades de alto riesgo a medida que ocurren. Construida sobre una arquitectura de confianza cero y de conocimiento cero, Keeper proporciona los registros de auditoría y los controles de acceso que las organizaciones necesitan para gestionar el uso de la IA sin bloquear la productividad que esta habilita.
Comience hoy una prueba gratis de Keeper para obtener visibilidad y control total sobre cada identidad en su entorno.
