HayCanal.com

IA agéntica y el fin del acceso basado en roles

IA agéntica y el fin del acceso basado en roles

A la IA no le importa el organigrama de su empresa: el acceso basado en roles ha llegado a su fin

Por James Robinson, CISO de Netskope

 

El crecimiento de la IA agéntica ha dejado una cosa clara: el acceso basado en roles es cosa del pasado.

Los permisos estáticos basados en roles ya no se ajustan a un mundo en el que los humanos ya no son los únicos usuarios y en el que el acceso debe adaptarse dinámicamente. En este mundo, son los agentes —sistemas de IA autónomos que realizan tareas en nombre de personas o aplicaciones— los que asumen tareas que no encajan en una descripción de puesto específica. Su uso se está acelerando rápidamente y la adopción de agentes de IA está en auge en las empresas, gran parte de ello fuera de la visibilidad y el control habituales.

Si las empresas siguen confiando en el uso de privilegios preestablecidos, más les vale olvidarse de sus claves de seguridad. Los ciberdelincuentes, que ya están investigando cómo comprometer a los agentes, apoderarse de sus instrucciones y ejecutar cadenas de ataque completas, también lo saben.

El único modelo de acceso que se puede defender de cara al futuro es sencillo: empezar con cero accesos y conseguir cada permiso una y otra vez.

La IA ha revolucionado los modelos de acceso

El control de acceso basado en roles se concibió para un mundo más pausado, con equipos estables, flujos de trabajo predecibles y puestos de trabajo que se correspondían de forma fiable con las necesidades de acceso. Sin embargo, en la actualidad, la IA autónoma ha redefinido el concepto de «usuario» y ha acelerado la velocidad de evolución de los requisitos de acceso. El modelo tradicional ya no es suficiente.

Una de las principales razones es que los agentes no se ajustan a los roles ni se comportan como empleados. Saltar de una tarea a otra, de un flujo de trabajo a otro y de un conjunto de datos a otro basándose en instrucciones y no en descripciones de puesto es algo habitual. Un solo agente puede resumir correos electrónicos, actualizar sistemas internos y activar procesos operativos en cuestión de minutos.

Además, los agentes multiplican la necesidad de acceso. En lugar de una persona por identidad, las organizaciones cuentan ahora con muchos agentes que actúan como usuarios, cada uno con su propio conjunto de permisos necesarios para completar las tareas. Esto hace que el número de accesos aumente y que haya más probabilidades de que haya cuentas con privilegios excesivos.

En este entorno, los privilegios estáticos no solo han quedado obsoletos, sino que son peligrosos. Cada permiso prolongado es una oportunidad para un actor malintencionado.

Sin acceso por defecto

Nadie, ni personas ni agentes, debería tener permisos por defecto. Al comenzar cada jornada, todo el mundo debería tener acceso cero. La idea es adoptar un modelo en el que todos los permisos se obtienen en tiempo real y solo se conceden los necesarios en cada momento.

Para que esto funcione, el acceso debe ser:

•    En el momento justo: el acceso se concede solo cuando se requiere para realizar una tarea y finaliza tan pronto como se termina.

•    Según el caso: el acceso se activa solo en condiciones específicas, como cuando hay un ticket asignado abierto. Una vez que cambian las circunstancias, se revoca el acceso.

•    Evaluación continua: en el momento de la solicitud, se revisa la identidad, el estado del dispositivo, el comportamiento, la ubicación, la actividad del agente y la política. La decisión puede cambiar segundo a segundo, según evoluciona el riesgo.

•    Sin acceso por defecto: este es el cambio de paradigma. No hay privilegios permanentes. No hay accesos «por si acaso». No hay derechos que se mantengan porque eran útiles hace cinco años.

La verdadera prueba de cualquier modelo de acceso no es cómo funciona en un día sin incidentes. Lo que importa es lo que ocurre cuando algo sale mal. Y, en un entorno en el que intervienen personas, los fallos son inevitables. En algún momento, un agente estará mal configurado, una indicación estará mal redactada o un flujo de trabajo se comportará de formas que nadie había previsto. La verdadera pregunta es hasta dónde se extiende el daño cuando eso ocurre.

Si observamos cómo se comporta un agente de IA bajo un modelo de acceso estático, veremos que tiene un acceso amplio por defecto, por lo que un simple error puede tener consecuencias graves. Para cuando se detecta el problema, el impacto ya es enorme. Los equipos de seguridad se ven obligados a reconstruir la intención a posteriori y a preguntarse por qué se había concedido ese acceso y durante cuánto tiempo se habría abusado de él.

En un modelo de acceso cero, la misma situación se desarrolla de forma muy diferente. El acceso es mínimo, está sujeto a plazos y se reevalúa continuamente, por lo que los comportamientos inesperados tienen mucho menos margen de maniobra. Hay menos privilegios inactivos que explotar y menos vías para que los errores se agraven, por lo que el impacto queda contenido de forma inherente.

Este hecho también cambia la forma en que se llevan a cabo las investigaciones. En lugar de desenredar años de acceso acumulado, los equipos pueden centrarse en una pregunta mucho más concreta: ¿qué estaba permitido en ese momento y en qué condiciones? Esta claridad es importante cuando la rapidez es fundamental.

Este acceso dinámico es lo que evita que los agentes comprometidos, la deriva de los modelos o los comportamientos impredecibles de la IA se conviertan en incidentes de pleno derecho. Se trata de un cambio de mentalidad, no solo de herramientas, y cuanto antes adopten este enfoque las organizaciones, más posibilidades tendrán de controlar los sistemas que están implementando.

Hacer realidad el «acceso cero»

Transformar el acceso en algo dinámico es solo el primer paso. Para llevarlo a la práctica, es necesario realizar inversiones en ingeniería, tomar decisiones en tiempo real y coordinar estrechamente a los equipos de seguridad, producto e ingeniería.

Para que este cambio sea una realidad, las empresas necesitan un motor de acceso centrado en el riesgo y adaptado a la velocidad y escala de la IA con agentes. Para desarrollarlo, las compañías deben centrarse en cuatro áreas clave:

•    Visibilidad continua: la mayoría de las organizaciones aún no pueden determinar qué agentes han creado sus desarrolladores ni a qué sistemas pueden acceder dichos agentes. Esa brecha de visibilidad debe cerrarse.

•    Toma de decisiones en tiempo real sobre riesgos: las decisiones de acceso deben incorporar señales de identidad, comportamiento, estado de los dispositivos, actividad de los agentes y contexto de las políticas, todo ello en tiempo real. Las revisiones trimestrales y los derechos de acceso de larga duración son irrelevantes cuando los requisitos de acceso y los factores de riesgo cambian constantemente.

•    Políticas dinámicas y controles basados en atributos: los agentes y las personas solicitan acceso de forma impredecible y solo un motor de políticas dinámico puede conceder o denegar privilegios con la precisión que exigen estos escenarios.

•    Velocidad de las máquinas: la automatización debe encargarse de la aplicación, revocación y reevaluación. Un comité de gobernanza humano no puede supervisar un ecosistema automatizado. Es como intentar juzgar una carrera de Fórmula 1 desde una bicicleta.

Un nuevo imperativo: cambiar la mentalidad sobre el acceso

El acceso dinámico ya no es opcional. La inteligencia artificial (IA) ya ha transformado nuestra forma de trabajar y las organizaciones que sigan confiando en modelos estáticos perderán el control de los sistemas en los que se apoyan. Los agentes se multiplican, actúan a la velocidad de las máquinas y generan necesidades de acceso que los enfoques tradicionales no pueden gestionar.

Si cambian a un modelo de acceso en tiempo real y centrado en el riesgo, que se adapte al comportamiento de personas y agentes, las organizaciones obtendrán un modelo que se adapta al comportamiento tanto de las personas como de los agentes. Se trata de una transición que supone un reto, pero la alternativa resulta mucho más costosa.

El camino por seguir está claro: empezar con cero accesos.

Opinión Ciberseguridad Vulnerabilidades Inteligencia Artificial Automatización

Otras noticias de interés

Noticias que marcan tendencia en el sector IT

1. Netskope presenta una solución de control de la inteligencia artificial basada en las TPU de Google Cloud

2. Asociación de Zscaler y OpenAI en el programa Trusted Access for Cyber

3. Acuerdo de Check Point y Google Cloud para la seguridad de la IA agéntica

4. Exclusive Networks, galardonada con el premio al Distribuidor del Año 2025 de Palo Alto Networks en EMEA

5. Westcon Comstor participa en el programa de ofertas de venta activadas de Microsoft Marketplace

Últimas Noticias

1. IA agéntica y el fin del acceso basado en roles

2. Preocupación por la falta de competencias y el déficit de empleos en la ciberseguridad

3. Salesforce presenta la solución Agentforce Operations

4. Acuerdo de BT International con STACKIT para el acceso a la cloud soberana europea

5. PcComponentes organiza el festival de tecnología Tecnofest

Nombramientos