El enfoque “security at inception” que propone CyberArk redefine cómo se deben asegurar las identidades humanas y de máquina en la era de la IA y la nube

Vivimos en una era en la que las identidades digitales crecen más rápido que la capacidad de las empresas para gestionarlas. A esta conclusión llega el último informe de CyberArk, “Identity Security Landscape 2025”, que lanza una advertencia clara: el 90% de las organizaciones ha sufrido al menos una brecha relacionada con identidades.

El problema no solo es la cantidad. Según el informe, las identidades de máquina ya superan en una proporción de 82 a 1 a las humanas. Y con la irrupción de la IA agentiva, es decir, agentes autónomos capaces de ejecutar tareas complejas por sí mismos, el panorama se complica aún más: serán la principal fuente de nuevas identidades con acceso privilegiado.

La seguridad llega tarde

La crítica principal de CyberArk es demoledora: la mayoría de las empresas siguen aplicando controles de acceso una vez los recursos ya están desplegados, generando una “deuda de seguridad” que resulta cara, lenta de corregir y, sobre todo, evitable.

Esta brecha de seguridad no es solo técnica, sino organizacional. Mientras el CIO y el CTO son responsables de crear sistemas, cuentas cloud y agentes de IA, la responsabilidad de protegerlos recae en el CISO. Esta desconexión entre propiedad y seguridad genera fricción y vulnerabilidades sistemáticas.

“Security at inception”: proteger desde el primer momento

La propuesta de CyberArk es tan lógica como ambiciosa: incorporar la seguridad de identidad desde el momento de creación del recurso, en lugar de hacerlo a posteriori. Este enfoque, bautizado como «security at inception», se apoya en cinco pilares clave:

1. Privilegios sin persistencia (ZSP): acceso temporal y justificado, nunca permanente.
2. Vaulting automático: las cuentas con privilegios se almacenan de forma segura desde el inicio.
3. Certificados gestionados automáticamente: creación, renovación y gobierno centralizado.
4. Validación del código seguro desde el pipeline de desarrollo (SDLC).
5. Automatización completa en infraestructura como código (Terraform, Ansible, CI/CD, etc.).

El resultado es una seguridad que escala al ritmo de la transformación digital, reduce la superficie de ataque y alinea la protección con la velocidad real del negocio.

¿Por qué ahora?

CyberArk identifica cuatro factores que hacen urgente esta transición:

• La IA agentiva: agentes basados en LLM que operan con privilegios similares a los humanos, pero sin supervisión. Si no se protegen desde su creación, se convierten en riesgos autónomos.
• Velocidad cloud: los entornos cloud se despliegan en minutos; la seguridad manual no puede seguirles el ritmo.
• Presión regulatoria: los marcos normativos exigen trazabilidad y control sobre los accesos privilegiados.
• Falta de talento en ciberseguridad: la automatización ya no es opcional, sino una necesidad operativa.

El punto crítico: la IA crea identidades… y caos

Una de las advertencias más serias del informe es sobre los agentes de IA como creadores de identidades propias. Un agente puede aprovisionar recursos, acceder a datos y generar nuevas credenciales, todo ello sin control humano directo. Intentar asegurar estas identidades después es tan inútil como intentar guardar la pasta de dientes una vez fuera del tubo.

James Creamer, director de CISO Advisory en CyberArk, lo resume así:

“La única forma sostenible de proteger las identidades en este nuevo escenario es integrarlas en el diseño desde el principio. No podemos seguir siendo reactivos mientras la IA y la nube avanzan a esta velocidad.”

Del bombero al arquitecto de seguridad

Para los CISO, adoptar esta visión implica una transformación cultural y técnica:

• Pasar de apagar fuegos a diseñar entornos seguros por defecto.
• Colaborar estrechamente con CIOs y CTOs para integrar controles desde la infraestructura.
• Automatizar las políticas de onboarding de identidades y secretos.
• Medir el tiempo de protección desde el aprovisionamiento como KPI clave.

Al mismo tiempo, los equipos de desarrollo ganan agilidad al no tener que esperar aprobaciones manuales. Es un modelo en el que todos ganan: seguridad, eficiencia y velocidad de innovación.

Un nuevo estándar: de “secure later” a “secure by design”

El verdadero cambio que plantea CyberArk es filosófico: la seguridad ya no debe ser una fase, sino un atributo intrínseco desde el diseño. Así como nadie construiría un edificio sin cimientos sólidos, ninguna arquitectura digital moderna puede confiar en controles añadidos a posteriori.

La empresa recomienda también:

• Estandarizar plantillas IaC con seguridad incorporada.
• Integrar herramientas de análisis estático de código para validar buenas prácticas de identidades de máquina.
• Adoptar plataformas unificadas de gestión de certificados y accesos.
• Implementar políticas de acceso efímero como norma.

El futuro inmediato: identidades invisibles pero controladas

La buena noticia es que muchas de estas medidas pueden ser transparentes para los usuarios finales, especialmente si se automatizan correctamente. Así, los desarrolladores obtienen acceso rápido y seguro, y los equipos de seguridad ganan visibilidad, trazabilidad y cumplimiento normativo.

El reto no es menor, pero como concluye Creamer:

“Solo protegiendo las identidades desde su creación podremos anticiparnos a los riesgos y no perseguirlos eternamente.”

---

Conclusión:
El auge de la IA y la computación distribuida exige un nuevo modelo de ciberseguridad proactiva y automatizada. Las identidades son hoy el nuevo perímetro, y protegerlas desde el minuto cero será lo que marque la diferencia entre organizaciones resilientes… y víctimas anunciadas.

vía: cyberark