Ciberseguridad 
Un proveedor de servicios de seguridad gestionados (MSSP) en el ámbito de la ciberseguridad es una organización externa que gestiona y protege de forma remota los
Los empleados están adoptando herramientas de inteligencia artificial, agentes y automatizaciones a un ritmo más rápido del que las empresas pueden regular. El verdadero peligro surge cuando estas herramientas se conectan directamente a los sistemas internos y a los datos confidenciales con el pretexto de mejorar la productividad. Entre los empleados que usan IA en el trabajo, una parte significativa lo hace sin la aprobación formal de los equipos de TI o de seguridad, lo que comúnmente se llama IA sin supervisión.
Muchas empresas aún tratan la IA sin supervisión como un problema de exposición de datos, cuando en realidad se está convirtiendo en un problema de regulación de identidades. Cada integración no autorizada de IA crea de forma desapercibida nuevas cuentas, credenciales e identidades que operan más allá de los controles de acceso tradicionales. Las empresas deben extender los controles de seguridad centrados en la identidad a todos los humanos y las identidades no humanas (NHI) que están conectadas a sus sistemas para recuperar visibilidad, hacer cumplir la regulación y reducir los riesgos generales de seguridad.
Lo que la IA en la sombra realmente crea
La IA sin supervisión se propaga rápidamente porque las herramientas modernas de IA requieren poca configuración o ninguna en absoluto. Los empleados pueden conectar aplicaciones, automatizar flujos de trabajo y procesar datos casi al instante sin necesidad de recurrir al departamento de TI. Las herramientas en sí rara vez son el problema. El riesgo radica en lo que los empleados conectan a estas. Una vez que las plataformas de IA obtienen acceso a plataformas SaaS, entornos en la nube y bases de datos internas, introducen credenciales e identidades cuya existencia desconoce la mayoría de los equipos de seguridad y para las que no existe un marco de control.
Cada integración no autorizada de IA crea nuevas identidades y credenciales que nadie está auditando. Todas se suman a un inventario creciente de cuentas, puntos de acceso y secretos que el departamento de TI nunca aprovisionó y, por lo tanto, no puede revocar. Cuando los empleados crean cuentas para herramientas de IA, generan identidades con su propio ámbito de acceso, permisos de datos e historiales de sesión. Estas se multiplican a gran velocidad. El departamento de TI termina con un conjunto oculto de identidades no gestionadas repartidas por plataformas externas, sin visibilidad sobre a qué pueden acceder, sin forma de auditar su uso y sin un proceso de desactivación cuando el empleado deja de trabajar en la empresa.
Cuando los empleados conectan las herramientas de IA a los sistemas internos, introducen cuentas de servicio en entornos empresariales. Estas NHI suelen operar completamente por fuera de la gestión del ciclo de vida, la rotación de credenciales y la regulación del acceso. Además, cada integración genera credenciales, como claves API, tokens y secretos, que a menudo terminan almacenadas en extensiones del navegador o en archivos de configuración, por fuera del perímetro de seguridad. Estas credenciales rara vez se rotan y casi nunca se auditan.
La brecha de gobernanza de identidades que esto crea
La seguridad de identidad tradicional se diseñó para usuarios humanos, accesos gestionados por el departamento de TI y perímetros de red definidos. La IA sin supervisión socava los tres factores a la vez.
En muchos entornos empresariales, las NHI ya superan en número a las identidades humanas. Los agentes de IA con acceso a una base de datos de producción representan el mismo nivel de riesgo de acceso privilegiado que un administrador humano con permisos equivalentes, pero con frecuencia se aprovisionan sin el mismo nivel de escrutinio, se monitorean sin la misma consistencia y se desaprovisionan sin el mismo proceso.
Nuestra propia investigación lo reafirma. El informe Identity Security at Machine Speed de Keeper Security reveló que el 43 % de los responsables de decisiones en ciberseguridad a nivel global identifican la gestión de NHI relacionada con la IA como una de las principales brechas en sus programas de gobernanza de identidades. Las empresas que reconocen esta brecha tienen una ventaja sobre las que aún no la han examinado.
Cómo deben actuar las empresas
Para combatir la IA sin supervisión no se necesitan políticas más estrictas ni prohibiciones más amplias. Es necesario ampliar los controles de seguridad basados en la identidad para dar cuenta de cada identidad que crean las herramientas de IA (tanto humanas como de máquinas) y hacer que la regulación sea constante en vez de periódica.
Consiga visibilidad completa sobre el uso de la IA
Las empresas no pueden regular lo que no pueden ver; deben descubrir continuamente cada herramienta, agente, automatización e integración de IA autorizada y no autorizada que opera en sus entornos. Si monitorean sus redes, las empresas pueden rastrear el uso de aplicaciones y desarrollar controles para limitar herramientas de IA no aprobadas, identificando cada una de las NHI que esas herramientas crean y que nunca fueron aprovisionadas originalmente por TI. Además del descubrimiento, las empresas deben implementar monitorización y grabación de sesiones privilegiadas en tiempo real para mantener una visibilidad total sobre los flujos de trabajo impulsados por IA y respaldar las auditorías continuas, en vez de realizar revisiones periódicas y retrospectivas.
Aplique medidas de seguridad de identidad tanto a las personas como a las máquinas
Todas las NHI deberían estar sujetas a la misma autenticación, autorización y gestión del ciclo de vida que las identidades humanas, con acceso con privilegios mínimos, rotación automatizada de credenciales y desaprovisionamiento definido vinculado al ciclo de vida del propietario humano o carga de trabajo asociada. Los mismos controles que se aplican a las cuentas humanas privilegiadas también deben aplicarse a los agentes de IA y a las cuentas de servicio que operan junto a ellas.
Ofrezca a los empleados un camino viable
Los empleados que fomentan la IA sin supervisión, por lo general, lo hacen porque no saben que existe una alternativa regulada, y no porque estén evadiendo la seguridad. Para abordar la causa raíz en vez del síntoma, puede proporcionar una orientación clara sobre qué herramientas están aprobadas, para qué casos de uso y bajo qué condiciones, además de ofrecer alternativas accesibles y aprobadas.
Mejore la seguridad de las identidades para gestionar la IA sin supervisión
Los modelos de seguridad tradicionales fueron diseñados para usuarios humanos, acceso aprovisionado por TI y límites de red definidos. La IA sin supervisión socava esos factores introduciendo identidades de máquina no gestionadas, credenciales e integraciones en entornos cloud y SaaS cada vez que un empleado conecta una herramienta de IA no aprobada a la infraestructura. Las empresas que consideran la IA sin supervisión un problema de fuga de datos están omitiendo el peligro subyacente: la expansión descontrolada de identidades. Para gestionar la IA sin supervisión con mayor eficacia, las empresas deben tener plena visibilidad sobre el acceso impulsado por IA, la regulación tanto sobre las identidades humanas como las máquinas y los controles automatizados de credenciales y accesos privilegiados. Para saber cómo las empresas están adaptando sus estrategias de seguridad de identidad para entornos impulsados por IA, lea nuestro último informe.
