Imagina que eres un líder de seguridad o de TI, y el panorama digital de tu organización es como una colección de cajas ciegas de Labubu. Cada caja representa un nuevo agente de IA o flujo de trabajo automatizado. Sabes que hay una identidad no humana (NHI) o un modelo de aprendizaje automático ahí dentro, y que su finalidad es hacer algo beneficioso, como acelerar las auditorías financieras del Departamento de Defensa de Estados Unidos o analizar los comentarios de los clientes minoristas. Pero, al igual que con Labubu, su identidad y características completas no son evidentes de inmediato hasta que miras dentro.
De coleccionable a crítico: la proliferación y los riesgos ocultos de la fuerza laboral invisible
Así como las figuras de Labubu varían desde ediciones comunes hasta ediciones "secretas", "ocultas" o "de persecución" muy buscadas, los NHI vienen con diferentes niveles de riesgo y visibilidad.
Muchos son NHI "comunes", fáciles de implementar pero a menudo con permisos demasiado amplios y una supervisión mínima, lo que los convierte en objetivos fáciles de explotar. Este es un error común que se observa en los dispositivos de Internet de las Cosas implementados rápidamente en la fabricación o en los chatbots de servicio al cliente en el comercio minorista y la administración pública.
Sin embargo, el desafío final viene con los NHI de “persecución”: las variantes más esquivas y deseables. Estos son los desconocidos verdaderamente peligrosos, a menudo cuentas evolucionadas que se transformaron de identidades humanas o cuentas huérfanas que quedaron atrás después de que un humano desaprovisionó, permaneciendo activas con acceso elevado y sin propietario. Al igual que un Labubu raro con características distintas no incluidas en la lista de verificación del empaque, estos NHI de alto privilegio pueden evadir la detección estándar. Por ejemplo, para industrias reguladas como el sector público, los servicios financieros y la atención médica, la administración de aplicaciones heredadas de décadas de antigüedad, tales credenciales inactivas pueden ser secuestradas por atacantes para obtener acceso no autorizado a entornos confidenciales. El gran volumen de secretos ocultos en los repositorios públicos (más de 27 millones de nuevos solo el año pasado) subraya este riesgo generalizado.
De la automatización a la superficie de ataque: Riesgos de la IA específicos de la industria
Las NHI son ahora la columna vertebral digital de las organizaciones, lo que permite una automatización y eficiencia sin precedentes. Su rápida proliferación en todos los sectores está impulsada por el imperativo de hacer más con menos.
Sin embargo, este crecimiento introduce importantes riesgos ocultos debido a sus complejos ciclos de vida, métodos de autenticación únicos y, a menudo, gestión descentralizada. Exploremos cómo estos desafíos se manifiestan a través de ejemplos específicos de la industria a continuación.
Sector público
El uso de la IA en las agencias federales se ha más que duplicado en el último año, con aproximadamente el 50% de los casos de uso desarrollados internamente. Esta mayor dependencia destaca una necesidad apremiante de acceso seguro a través de los sistemas gubernamentales donde los agentes de IA mejoran la productividad y agilizan procesos como los programas de beneficios estatales con financiación federal.
Un riesgo oculto potencial y crítico: la falta de propiedad y responsabilidad claras. Señalar quién — o qué oficina de la agencia — es responsable cuando un agente de IA actúa de forma incorrecta es crucial para la confianza pública y el cumplimiento legal, especialmente dado el rápido cambio de agentes que puede expandir la superficie de ataque si no se gestiona adecuadamente.
Salud
Las organizaciones de atención médica están utilizando ampliamente la IA tanto para su fuerza laboral como en los esfuerzos por reforzar la experiencia de sus pacientes, con un 94% que la considera fundamental para sus operaciones. Sin embargo, esta rápida adopción, combinada con la naturaleza sensible de los datos de los pacientes, hace que la superficie de ataque ampliada sea un objetivo principal para el ransomware y las filtraciones de datos.
Un riesgo oculto potencial y crítico: acceso no responsable a datos confidenciales. Un asombroso 96 % de los profesionales de TI considera que los agentes de IA son un riesgo para la seguridad, pero solo el 44 % de las organizaciones tiene políticas implementadas para controlar su comportamiento. Esta supervisión ha contribuido a que más de 500 millones de personas hayan tenido sus registros de atención médica robados o comprometidos desde 2020.
Servicios financieros
Los servicios financieros están integrando rápidamente agentes de IA para automatizar la detección de fraudes, las decisiones crediticias y las interacciones con los clientes. Se proyecta que la adopción de la IA en instituciones reguladas federalmente en Canadá alcance el 70% para 2026. La confianza pública también está creciendo, y muchos ven la IA como una herramienta valiosa para mejorar las experiencias financieras. El 65% de los estadounidenses cree que la IA puede ampliar el acceso a herramientas financieras para personas marginadas.
Venta minorista y manufactura
Un sorprendente 90% de las empresas minoristas y de bienes de consumo empaquetados están utilizando o evaluando la IA hoy en día, y un abrumador 97% planea aumentar sus inversiones en IA el próximo año. ¿La razón? La IA mejora la eficiencia, reduce los costos operativos y, fundamentalmente, crea experiencias de cliente personalizadas a escala.
Los minoristas y fabricantes de venta directa al consumidor de hoy aprovechan la IA para ofrecer experiencias de compra hiperpersonalizadas. Aprovechan los datos de los clientes para ofrecer recomendaciones de productos a medida, precios dinámicos y promociones dirigidas que impulsan la lealtad y las ventas. La IA generativa impulsa las pruebas virtuales, lo que permite a los clientes visualizar productos como ropa o muebles dentro de sus propios entornos, lo que reduce las devoluciones y aumenta la confianza.
Un riesgo oculto potencial y crítico: la privacidad y la seguridad de los datos. Para que la IA realmente despegue en esta industria, tanto los clientes como las empresas deben confiar en que puede hacer su trabajo de forma segura. Actualmente, muchos de ellos no lo hacen. La privacidad y la seguridad de los datos se encuentran entre las principales preocupaciones con respecto a la IA en la industria minorista, y el 60% y el 49% de los minoristas las citan como preocupaciones, respectivamente.
Si los minoristas no pueden garantizar la seguridad de los datos de sus clientes, la adopción de la IA podría convertirse rápidamente en una responsabilidad.
Un riesgo oculto potencial y crítico: gobernanza insuficiente. Solo el 32% de las empresas financieras informan tener un grupo formal de gobernanza de IA, dejando que los bots, las API y los scripts de automatización operen sin una supervisión consistente o una gestión del ciclo de vida definida. Estos agentes pueden iniciar transacciones, acceder a datos de clientes y tomar decisiones, a menudo sin las mismas salvaguardias aplicadas a los usuarios humanos.
Integrar controles de identidad primero y una gobernanza formal de la IA es esencial para evitar que estos agentes se conviertan en puntos ciegos persistentes que amenacen la seguridad y la confianza de la industria.
El desenmascaramiento final: tu próximo paso
Los desafíos que plantean los NHI ocultos son claros en todas las industrias. No permita que el misterio de la fuerza laboral invisible de su empresa se convierta en su próximo incidente de seguridad. Aprenda cómo identificar, proteger y administrar estos activos críticos.
Desbloquee la repetición: “Guess Who IAM” Inspirado en la emoción de desempaquetar un Labubu raro y la diversión deductiva del clásico juego de mesa Guess Who, este seminario web a pedido lo equipa con estrategias para desenmascarar y asegurar a su fuerza laboral invisible. Mire el seminario web a pedido hoy.
