Un estudio revela que las empresas están concediendo a los agentes de IA acceso a sistemas críticos antes de haber establecido las medidas de seguridad necesarias. Sin un sistema integral de seguridad de identidades, los atacantes pueden acelerar el compromiso de la seguridad de Active Directory, EntraID u Okta.
HOBOKEN, N.J. – 13 de mayo de 2026—Semperis, la empresa especializada en ciberresiliencia y respuesta a crisis basada en la identidad, ha publicado hoy los resultados de un estudio global multisectorial realizado a 1.100 organizaciones con el objetivo de comprender el efecto de la IA en la superficie de ataque de los sistemas de identidad, como Active Directory, Entra ID y Okta. El estudio muestra que la IA está redefiniendo silenciosamente los límites de las superficies de ataque de identidad a nivel mundial y que las organizaciones están otorgando a los agentes de IA el acceso a sistemas críticos más rápido de lo que tardan en establecer medidas de protección en torno a esas nuevas identidades.
El estudio«El estado de la seguridad de la identidad en la era de la IA»reveló que el 74 % de las organizaciones de Estados Unidos, Reino Unido, Francia, Alemania, España, Italia, Singapur y Australia cree que la IA aumentará los ataques contra la infraestructura de identidad. Además, el 93 % ya utiliza o tiene previsto utilizar agentes de IA para tareas de seguridad delicadas, como el restablecimiento de contraseñas y el acceso a VPN. El 92 % afirma que la IA está instalada al menos en algunos equipos locales con acceso a SSH y claves de cifrado, pero a nivel mundial solo el 32 % se muestra muy seguro de poder recuperar el control si la IA expone las credenciales de administrador. En EE. UU., el 53 % de las empresas se mostró seguro de poder recuperar el control, mientras que en Francia la cifra se desplomó hasta el 12 %.
«El uso cada vez más generalizado de la inteligencia artificial está introduciendo una gran cantidad de nuevos agentes —cada uno con su propia identidad no humana (NHI)— en las empresas de todo el mundo, y muchas de ellas se muestran demasiado optimistas respecto a su capacidad para recuperar su infraestructura de identidad tras una filtración, incluso mientras amplían este panorama de NHI», afirmó Alex Weinert, director de producto de Semperis.
A nivel mundial, solo el 65 % de las organizaciones afirma que las identidades de IA están totalmente registradas, autenticadas y autorizadas en un sistema formal, y el 6 % admite que no las controla en absoluto. En las organizaciones que sí controlan las identidades de IA, el 57 % utiliza el mismo sistema que para las identidades humanas, mientras que el 43 % las autentica y autoriza mediante un sistema independiente.
«Lo que llama la atención del estudio de Semperis sobre la IA no es solo la rapidez con la que se está integrando la IA en los sistemas de identidad, sino lo poco preparadas que están muchas organizaciones para recuperarse cuando las cosas salen mal. La introducción de la IA en la capa de identidad ofrece ventajas operativas, pero debe ir acompañada de medidas de protección, observabilidad y preparación para la recuperación. En realidad, se trata de una nueva dimensión de una vieja pregunta: ¿Eres lo suficientemente resiliente como para responder en caso de una interrupción crítica?», afirmó Grace Cassy, socia de Ten Eleven Ventures.
¿Son las organizaciones preparadas para la IAimpulsadas de la IAimpulsadas?
Una revelación preocupante del estudio es que la IA se está ubicando cerca de infraestructuras de identidad sensibles, y muy pocas organizaciones están preparadas para las posibles consecuencias. Más de una cuarta parte de las organizaciones encuestadas (29 %) ya utiliza agentes de IA para gestionar incidencias de seguridad, como el restablecimiento de contraseñas y el acceso a VPN. Otro 65 % tiene la intención de hacerlo en el próximo año. Al mismo tiempo, el 92 % de los encuestados afirma que un porcentaje de su plantilla tiene IA instalada en equipos locales desde los que puede acceder a SSH y a claves de cifrado.
«Es una realidad que las organizaciones a nivel mundial tienden a sobreestimar la rapidez con la que pueden recuperarse de un ciberataque, sobre todo cuando la gestión de identidades se ve afectada. Sobre el papel, las organizaciones cuentan con planes y copias de seguridad; en la práctica, los fallos en la gestión de identidades convierten los incidentes técnicos en crisis empresariales prolongadas, lo que pone de manifiesto una peligrosa brecha entre la resiliencia percibida y la realidad», afirmó Chris Inglis, primer director nacional de ciberseguridad de EE. UU. y asesor estratégico de Semperis.
Por el lado positivo, el 83 % de los encuestados señaló que la gestión de identidades basada en la inteligencia artificial es una prioridad para ellos en los próximos meses.
¿C¿Cómo pueden las organizaciones gestionar estas identidades tan difíciles de controlar?
Por ahora, entre las mejores prácticas se incluyen:
– Tratar a los agentes explícitamente como NHI en el tejido de identidades.
– Aplicar los principios de «privilegio mínimo», «acceso justo» y «acceso en el momento oportuno» a los agentes con el mismo rigor que a los seres humanos.
– Separa los límites de confianza entre los agentes y las personas cuando sea necesario.
– Utiliza análisis de tipo UEBA para detectar comportamientos «zombis» o anómalos en los agentes.
– Asegúrate de que tu organización pueda restablecer rápidamente los sistemas de identidad a un estado fiable en caso de que se produzca una violación de la seguridad.
Accede al estudio completo sobre IA aquí:https://www.semperis.com/the-state-of-identity-security-in-the-AI-era/
Metodología
Para llevar a cabo este estudio, colaboramos con expertos de Censuswide, una consultora internacional especializada en estudios de mercado. A principios de 2026, Censuswide realizó una encuesta a 1.100 organizaciones de Estados Unidos, Reino Unido, Francia, Alemania, Italia, España, Australia y Singapur.
Acerca de Semperis
Semperis es una empresa especializada en ciberresiliencia y gestión de crisis centrada en la identidad, en la que confían las empresas y organismos gubernamentales más importantes del mundo para proteger sus sistemas de identidad críticos. Diseñada específicamente para entornos de identidad multicloud e híbridos —como Active Directory, Entra ID, Okta y Ping Identity—, Semperis ayuda a las organizaciones a prevenir, detectar, responder y recuperarse de los ciberataques basados en la identidad.
El éxito o el fracaso de los ciberataques modernos se decide en el ámbito de la identidad, donde los fallos pueden derivar en crisis empresariales de gran envergadura. La plataforma de Semperis, basada en inteligencia artificial, unifica la defensa del ciclo de vida de la identidad y la gestión de crisis: refuerza la infraestructura de identidad, detecta y contiene las amenazas activas, permite una recuperación rápida y fiable, y facilita una coordinación segura y fuera de banda cuando se producen interrupciones en los sistemas centrales; todo ello respaldado por un equipo de análisis forense de identidades y respuesta a incidentes de primer nivel.
Como parte de su misión de ayudar a las organizaciones a alcanzar una verdadera resiliencia cibernética, Semperis apoya a la comunidad cibernética en general a través de la galardonada conferencia y el podcast«Hybrid Identity Protection» (HIP), así como de herramientas gratuitas de seguridad de la identidad, entre las que se incluyen Purple Knight y Forest Druid. Más de 1200 organizaciones —entre las que se incluyen más del 25 % de las 100 empresas más grandes de EE. UU.— confían en Semperis. La empresa es de capital privado, tiene su sede en Hoboken, Nueva Jersey, y presta servicio a clientes en más de 40 países.
Más información: semperis.com
Síganos: Blog / LinkedIn / X / Facebook / YouTube
Contacto para los medios:
Bill Keeler
Semperis
Director sénior de Relaciones Públicas y Comunicaciones
billk@semperis.com
