El fin de las murallas digitales: por qué la IA y la regulación exigen un nuevo plano de control

Por Aiert Azueta Dudagoitia, director Devoteam Cyber Trust Spain and Head of IAM Devoteam Global

 

 

Durante décadas, la ciberseguridad corporativa ha vivido obsesionada con el concepto del "castillo y el foso". Levantamos murallas perimetrales cada vez más altas y complejas alrededor de nuestras organizaciones, asumiendo que el peligro venía exclusivamente de fuera y que el interior era un espacio seguro. Sin embargo, en el escenario hiperconectado, multicloud y acelerado por la inteligencia artificial en el que operamos, ese perímetro no es que se haya debilitado: es que ha dejado de existir por completo.

Hoy en día, el 80% de las brechas de seguridad que sufren las empresas no nacen de sofisticados ataques que perforan un software de defensa. Nacen, simplemente, del uso ilegítimo de una autoridad legítima. Los atacantes ya no rompen barreras para entrar en la red; ahora secuestran credenciales válidas para operar de manera invisible desde el interior. En este nuevo tablero de juego, el verdadero desafío existencial para un CISO ya no es proteger accesos, sino gobernar la autoridad. Por eso, la identidad ha dejado de ser un mero trámite de autenticación para convertirse en el único plano de control real de la ciberseguridad contemporánea.

A esta disolución del perímetro se suma un fenómeno silencioso pero de dimensiones exponenciales: la explosión de la identidad. Tradicionalmente, gestionar la identidad significaba dar de alta o de baja a nuestros empleados en un directorio. Esa realidad ha saltado por los aires. Actualmente, la ratio en las organizaciones alcanza las 144 identidades no humanas por cada usuario de carne y hueso. Hablamos de miles de procesos automatizados, contenedores, cargas de trabajo en la nube y, de forma cada vez más crítica, Agentes de IA autónomos.

Cuando analizamos el impacto de la Inteligencia Artificial en el negocio, solemos verla como una simple herramienta de productividad. No obstante, desde la perspectiva del riesgo, cada agente de IA es una nueva identidad dotada de privilegios. Estos agentes toman decisiones y ejecutan flujos de negocio en tiempo real interactuando con datos altamente sensibles, muchas veces sin una supervisión humana constante. Si a esto añadimos que, según estimaciones del sector, una de cada veinte identidades de máquina opera como un "Shadow Admin" —cuentas con privilegios totales de administración que escapan al control de los inventarios tradicionales de IT—, el "Identity Gap" (la brecha entre lo que existe y lo que podemos supervisar) se vuelve inasumible.

Este descontrol técnico choca de frente con una realidad regulatoria que ya no concede treguas. Marcos europeos como NIS2 o la regulación DORA para el sector financiero han elevado el listón de la resiliencia operativa y la gobernanza. Bajo estas normativas, la existencia de cuentas huérfanas, privilegios desproporcionados o entidades autónomas sin un propietario claro ya no es un "asunto técnico pendiente de resolver"; es una negligencia de cumplimiento que expone a las corporaciones y a sus comités de dirección a severas responsabilidades legales y financieras.

El regulador ya no nos pide que intentemos que no nos pase nada; nos exige demostrar que tenemos el control absoluto de nuestros activos y una capacidad de respuesta inmediata. Y es aquí donde los enfoques tradicionales de gestión de acceso se quedan cortos. Saber quién tiene permiso para entrar ya no basta; necesitamos saber qué está haciendo esa identidad en tiempo real.

Por este motivo, la evolución natural de la Confianza Cero (Zero Trust) pasa obligatoriamente por la adopción de estrategias ITDR (Identity Threat Detection and Response). Si la identidad es nuestro principal sensor de confianza en la arquitectura, las capacidades ITDR son el mecanismo que nos permite monitorizar continuamente el comportamiento de la autoridad, detectando en segundos movimientos laterales sospechosos o la actividad anómala de un proceso o un agente de IA. Solo mediante esta detección temprana y la activación de respuestas automáticas en el plano de control (como la revocación dinámica de privilegios justo a tiempo) se pueden contener los incidentes dentro de las estrictas ventanas temporales que exige la ley, y lo más importante, sin paralizar la continuidad del negocio.

Debemos liderar un cambio que es tanto cultural como tecnológico. Cumplir con marcos como DORA o NIS2 no puede ser una pesadilla trimestral basada en hojas de cálculo y auditorías reactivas; debe ser la consecuencia natural de un ecosistema digital higiénico y soberano. Democratizar la seguridad, implementando controles de identidad desde el propio diseño (security by design) en los flujos de desarrollo, es la única vía para acelerar la innovación tecnológica sin sacrificar la protección.

La defensa del presente y del futuro digital ya no se edifica sobre muros. Se edifica sobre la visibilidad, la limpieza y el gobierno implacable de la autoridad. Quien controla la identidad, controla el riesgo; y quien gobierna el plano de control, garantiza la soberanía de su negocio.