La empresa Orchid Security ha publicado el informe Identity Gap: Snapshot 2026, según el cual el 57% de los elementos de la infraestructura corporativa de identificación siguen siendo invisibles y no gestionados, un fenómeno que los autores denominan «materia oscura de la identidad». En el contexto de la adopción masiva de agentes de IA autónomos en los procesos corporativos, esta brecha entre las partes visible y oculta del panorama de IAM crea un riesgo sistémico para las organizaciones de Norteamérica y Europa. Entre los principales hallazgos: dos tercios de las cuentas no humanas se crean localmente en las aplicaciones, el 70% de las aplicaciones contiene un número excesivo de cuentas con privilegios elevados y el 40% de todas las cuentas pertenece a usuarios que ya han abandonado la organización.

Datos clave del informe

Importante aclaración: los datos estadísticos que se presentan a continuación proceden de una única fuente de un proveedor y no han sido confirmados por investigaciones independientes. No obstante, las tendencias descritas son coherentes con las observaciones generales del sector en el ámbito de la gestión de identidades.

El informe destaca tres áreas problemáticas principales:

• Cuentas no humanas invisibles. Según el estudio, dos de cada tres cuentas no humanas (cuentas de servicio, identificadores de máquina) se crean directamente en las aplicaciones, pasando por alto el sistema central de IAM. Para las cuentas de servicio tradicionales esto se explica por razones de arquitectura; sin embargo, en el caso de los agentes de IA autónomos, esta práctica implica la ausencia total de control centralizado sobre sus acciones.
• Privilegios excesivos. El 70% de las aplicaciones, según el informe, contiene más cuentas con privilegios elevados de las que serían necesarias según el principio de mínimos privilegios (least privilege). Esto amplía la superficie de ataque tanto para actores maliciosos externos como para agentes de IA capaces de detectar y explotar estos privilegios sobrantes.
• Cuentas huérfanas. El 40% de las cuentas en los entornos corporativos, según se indica, pertenece a usuarios que ya no trabajan en la organización. Estas cuentas «huérfanas» no se gestionan, no se monitorizan y constituyen puntos de entrada listos para ser utilizados.

Por qué los agentes de IA agravan el problema

Los autores del informe caracterizan a los agentes de IA como «buscadores del camino más corto», es decir, sistemas que, al ejecutar una tarea, buscan la ruta más eficiente hacia el objetivo. Si el acceso directo a un sistema está cerrado, un agente autónomo puede detectar credenciales codificadas de forma rígida expuestas en claro, «tomar prestado» un token con privilegios más altos o utilizar un token de acceso ampliamente aceptado. A diferencia de los componentes de software tradicionales, limitados por la lógica rígida del código, y de las personas, capaces de evaluar la ética de una acción, los agentes de IA no tienen tales restricciones: optimizan el resultado, no el proceso.

Por eso una gestión madura de identidades y accesos se convierte en un cimiento crítico para el uso seguro de la IA basada en agentes. El problema se ve agravado por el hecho de que las excepciones, atajos y lagunas en IAM se han ido acumulando en los entornos corporativos durante años e incluso décadas.

Evaluación de riesgos y recomendaciones prácticas

La combinación de tres factores —cuentas no humanas invisibles, privilegios excesivos y cuentas huérfanas— configura un entorno en el que los agentes de IA autónomos pueden actuar más allá de los límites autorizados, permaneciendo al mismo tiempo inadvertidos. Corren mayor riesgo las organizaciones que implantan de forma activa IA basada en agentes sin una auditoría previa del estado de su infraestructura de IAM.

Para reducir los riesgos descritos se recomienda:

1. Llevar a cabo un inventario de las cuentas no humanas: identificar todas las cuentas de servicio creadas localmente, claves de API e identificadores de máquina que no se gestionan a través de la plataforma central de IAM. Prestar especial atención a las cuentas utilizadas por los agentes de IA.
2. Revisar el modelo de privilegios: realizar una auditoría de las cuentas con privilegios elevados en todas las aplicaciones y ajustarlas al modelo de mínimos privilegios. Para los agentes de IA, implantar políticas de acceso específicas con una delimitación explícita del ámbito de actuación.
3. Eliminar las cuentas huérfanas: implementar un proceso automatizado de desactivación de cuentas cuando se produce la baja de empleados y una revisión periódica de las cuentas activas.
4. Integrar a los agentes de IA en el perímetro de IAM: garantizar que cada agente autónomo disponga de una identidad gestionada con un ciclo de vida completo, auditoría de acciones y posibilidad de revocar su acceso de forma inmediata.

Las organizaciones que ya utilizan o planean implantar IA basada en agentes deberían comenzar por un inventario completo de la infraestructura de identidades y la corrección de las brechas detectadas antes de ampliar la autonomía de los sistemas de IA. Cada cuenta no gestionada es un vector potencial que un agente autónomo puede detectar y aprovechar más rápido que cualquier atacante.