La ciberseguridad lleva años repitiendo una idea que, en 2026, ya suena a diagnóstico: los atacantes no “entran”, inician sesión. Y si el punto de entrada es la identidad, la expansión de agentes de Inteligencia Artificial y de identidades no humanas (NHI, por sus siglas en inglés) convierte ese problema en un reto de otra escala. Con ese telón de fondo, CrowdStrike (NASDAQ: CRWD) ha anunciado un acuerdo definitivo para adquirir SGNL, una firma especializada en Continuous Identity (identidad continua), con la intención de llevar el control de privilegios y accesos a un modelo dinámico: conceder y revocar acceso en tiempo real según el riesgo.

Según Reuters, la operación está valorada en 740 millones de dólares y se financiará mayoritariamente en efectivo, con una parte en acciones sujeta a condiciones de consolidación. El cierre se espera en el primer trimestre del año fiscal 2027 de CrowdStrike, pendiente de las autorizaciones regulatorias habituales.

Por qué la identidad se ha convertido en el perímetro de la era agéntica

El mensaje que subyace al anuncio es claro: un agente de IA que actúa con autonomía y velocidad “superhumana” se comporta, en la práctica, como una identidad privilegiada. Si se le asignan permisos permanentes —los clásicos standing privileges—, el riesgo se dispara: basta un error de configuración, un token expuesto o un compromiso de cuenta para abrir la puerta a datos, aplicaciones, infraestructura cloud e incluso a otros agentes.

CrowdStrike plantea que los modelos tradicionales de control de acceso, basados en políticas estáticas, no son capaces de reevaluar el riesgo a mitad de sesión ni de retirar permisos cuando cambian las condiciones (por ejemplo, si el dispositivo deja de ser confiable o aparecen indicadores de ataque). De ahí el salto conceptual: pasar de “quién eres” a “qué está pasando ahora mismo” y actuar en consecuencia.

Qué aporta SGNL: la capa de ejecución que decide en tiempo real

En el comunicado, SGNL se define como una capa de aplicación de acceso en tiempo de ejecución (runtime access enforcement) situada entre los proveedores de identidad y los recursos a los que se accede en SaaS y en entornos de nube hiperescalares. Su propuesta se basa en evaluar de forma continua señales de identidad, dispositivo y comportamiento y, con esa información, conceder, denegar o revocar acceso a medida que cambian las circunstancias.

La integración con CrowdStrike busca que esa decisión dinámica se alimente de los señales de riesgo y la inteligencia que ya maneja la plataforma Falcon. En otras palabras: no solo detectar, sino también hacer cumplir el acceso “justo a tiempo” y retirar privilegios cuando el contexto deja de ser seguro.

Entre las capacidades destacadas por CrowdStrike figuran:

• Eliminar privilegios permanentes para identidades humanas, NHI y agentes de IA, con autorización dinámica basada en riesgo.
• Ampliar el acceso Just-in-Time más allá de Active Directory y Microsoft Entra ID hacia sistemas como AWS IAM, Okta y otros entornos de identidad cloud y SaaS.
• Usar el Continuous Access Evaluation Protocol (CAEP) para aplicar revocaciones “aguas abajo”, integradas con Falcon Fusion SOAR, y reducir brechas provocadas por malas configuraciones.
• Unificar la seguridad de identidad en toda la cadena del ataque, desde el acceso inicial hasta la escalada de privilegios y el movimiento lateral en entornos on-premise, SaaS y cloud.

La propia operación también añade un dato relevante sobre el tamaño del fenómeno. CrowdStrike cita un pronóstico de IDC: el mercado de seguridad de identidad pasaría de aproximadamente 29.000 millones de dólares en 2025 a 56.000 millones en 2029, señal de que la batalla por este perímetro no es marginal, sino estratégica.

La pieza que faltaba en la estrategia de CrowdStrike

CrowdStrike ya llevaba tiempo construyendo su oferta de identidad. Reuters recuerda que la compañía entró en este segmento con la compra de Preempt Security en 2020 y que su negocio de identidad superaba los 435 millones de dólares de ingresos recurrentes anuales a cierre del segundo trimestre del año fiscal 2026. En ese contexto, SGNL aparece como un acelerador: llevar la decisión de acceso al “momento exacto” y al “riesgo exacto”, especialmente en entornos donde las identidades se crean y destruyen de forma dinámica (workloads, cuentas de servicio, automatizaciones y agentes).

También hay un matiz operativo: CrowdStrike ha señalado que el equipo de SGNL se incorporará al completo, sin planes de recortes, y que la integración en Falcon debería ser relativamente directa para clientes que ya usan su ecosistema, una idea que encaja con la estrategia de “plataforma” que domina el mercado de la ciberseguridad.

Qué cambia para las empresas: del control de acceso “de oficina” al control de acceso “en movimiento”

En términos prácticos, la operación empuja una tendencia que ya estaba sobre la mesa: gobernar identidades como si fueran sesiones vivas, no como permisos estáticos. Para los responsables de seguridad, el debate deja de ser únicamente “qué rol tiene esta cuenta” y pasa a incluir preguntas como:

• ¿Qué señales del endpoint, la red y la nube confirman que esta sesión sigue siendo fiable?
• ¿Qué ocurre si el riesgo sube a mitad de una operación automatizada?
• ¿Cómo se gestionan identidades no humanas que aparecen por miles en pipelines y entornos de datos?
• ¿Cómo se revoca acceso en aplicaciones “aguas abajo”, más allá del proveedor de identidad?

La compra de SGNL sugiere que CrowdStrike quiere competir en esa capa de ejecución, donde la identidad ya no es un directorio, sino un sistema nervioso que decide en milisegundos si una acción es legítima.

---

Preguntas frecuentes (FAQ)

¿Qué es la “identidad continua” y en qué se diferencia del control de acceso tradicional?
La identidad continua evalúa el riesgo de una sesión de forma permanente (señales de usuario, dispositivo y comportamiento) y permite conceder o revocar accesos en tiempo real, frente a modelos basados en permisos fijos y revisiones puntuales.

¿Qué son las identidades no humanas (NHI) y por qué se han vuelto críticas con la Inteligencia Artificial agéntica?
Incluyen cuentas de servicio, automatizaciones, workloads y agentes que operan sin intervención humana. En entornos cloud y SaaS se crean dinámicamente y suelen tener permisos amplios, lo que las convierte en objetivos valiosos si se comprometen.

¿Cómo ayuda el acceso Just-in-Time a reducir el riesgo de credenciales robadas?
Porque minimiza la ventana de exposición: el permiso existe solo cuando se necesita y desaparece después. Si un atacante obtiene credenciales, es menos probable que encuentre privilegios persistentes listos para explotar.

Qué debería revisar una empresa antes de desplegar controles de acceso dinámico para agentes de IA?
Inventario de NHIs y agentes, reducción de privilegios permanentes, definición de señales de riesgo (endpoint, cloud, identidad), y capacidad de revocación “aguas abajo” en aplicaciones SaaS y servicios cloud.

vía: crowdstrike