En 2026 muchas organizaciones se encuentran ante un aparente contrasentido: sus programas de gestión de identidades y accesos (IAM) y sus arquitecturas Zero Trust muestran un alto nivel de madurez en auditorías y cuadros de mando, pero el riesgo real para el negocio sigue aumentando. Un nuevo estudio del Ponemon Institute apunta a la raíz del problema: una parte crítica de la infraestructura continúa fuera del alcance del control centralizado de identidades.
La “materia oscura” de las aplicaciones: una superficie de ataque invisible para IAM
Según el análisis de Ponemon, en una gran empresa es habitual que cientos de aplicaciones no estén integradas con la plataforma IAM corporativa. Son las llamadas “dark matter applications” o aplicaciones oscuras: sistemas heredados on‑premise, servicios locales, soluciones SaaS de nicho y desarrollos internos que se gestionan con cuentas y contraseñas independientes.
Estas aplicaciones rara vez soportan SSO, federación de identidades o integración con proveedores de identidad (IdP). Tampoco se incluyen de forma sistemática en recertificaciones de acceso ni en revisiones de privilegios. El resultado es un perímetro paralelo, opaco para el equipo de seguridad, que constituye una superficie de ataque altamente atractiva para los atacantes.
La situación se agrava porque el control de acceso a estos sistemas suele ser manual: hojas de cálculo para registrar usuarios, cuentas de administrador locales, contraseñas estáticas, tokens sin rotación y credenciales compartidas. La filtración de una sola de estas cuentas puede permitir un acceso silencioso y profundo a procesos de negocio críticos, pasando desapercibido para los controles centralizados.
La última milla de la identidad digital: el punto débil del modelo Zero Trust
En los últimos años las organizaciones han invertido en MFA, consolidación de directorios, SSO corporativo y modelos Zero Trust basados en el principio “nunca confíes, verifica siempre”. Sin embargo, la llamada “última milla de la identidad” —aplicaciones heredadas, cuentas locales, servicios SaaS aislados— queda con frecuencia fuera de este modelo.
Desde la perspectiva de cumplimiento, la empresa puede mostrar indicadores positivos de madurez IAM. Pero en la práctica solo gestiona de forma robusta una parte de sus identidades y accesos. Se genera así una brecha entre la seguridad declarada y la seguridad efectiva: la documentación refleja un entorno controlado, mientras que las aplicaciones oscuras mantienen abierta una vía de entrada con controles muy débiles.
Esta desconexión se traduce en problemas recurrentes durante auditorías técnicas, en dificultades para ejecutar proyectos de transformación digital y en un aumento del riesgo de movimientos laterales una vez que un atacante compromete una credencial de bajo nivel en un sistema legado.
Agentes de IA autónomos: un multiplicador del riesgo de credenciales
La expansión del uso corporativo de la inteligencia artificial añade una capa adicional de complejidad. Cada vez más organizaciones despliegan copilotos de IA, chatbots y agentes autónomos para integrar sistemas, automatizar tareas y acelerar la toma de decisiones. Estos agentes necesitan acceso a las mismas aplicaciones que aún no están cubiertas por IAM o Zero Trust.
En este contexto, la IA actúa como amplificador de vulnerabilidades existentes. Entre los riesgos más relevantes destacan:
- Reutilización de contraseñas antiguas o tokens inseguros para conectarse a sistemas heredados.
- Creación de integraciones “por el camino de menor resistencia”, ignorando políticas de acceso o saltándose los IdP.
- Automatizaciones y flujos de trabajo que exponen credenciales en scripts, logs o repositorios de código.
- Cacheo o almacenamiento inadvertido de secretos en historiales de conversaciones o bases de conocimiento de la propia IA.
Lo que antes podía considerarse un problema de compliance limitado se transforma así en una vulnerabilidad operativa crítica. Cuanto más intensivo es el uso de agentes de IA, mayor es la presión sobre una infraestructura de identidades fragmentada y difícil de gobernar.
Estudio de Ponemon y hoja de ruta para CISO y responsables de ciberseguridad
Para abordar este desafío, The Hacker News organiza un webinar especializado con Mike Fitzpatrick (Ponemon Institute) y Matt Chiodi, CSO de Cerby. A partir de una encuesta a más de 600 responsables de TI y seguridad, los ponentes analizan el impacto real de las aplicaciones oscuras y los agentes de IA en las estrategias IAM y Zero Trust actuales.
Claves del riesgo y líneas de acción prioritarias en IAM
De acuerdo con el estudio y las mejores prácticas actuales, las organizaciones necesitan:
- Cuantificar la “materia oscura” de aplicaciones: establecer procesos de descubrimiento continuo (escaneos de red, CASB, registros de proxy, catálogos SaaS) para identificar sistemas fuera de IAM.
- Extender la federación de identidades: integrar aplicaciones heredadas mediante puertas de enlace, proxies de autenticación o sustitución planificada por servicios modernos que soporten SSO y estándares como SAML u OpenID Connect.
- Reducir al mínimo cuentas locales y contraseñas compartidas: aplicar gestión de accesos privilegiados (PAM), bóvedas de contraseñas y credenciales de servicio rotables, con auditoría de uso.
- Definir una política específica para agentes de IA: proporcionar a la IA identidades de servicio propias, permisos mínimos necesarios y supervisión continua de las conexiones que establecen con aplicaciones críticas.
- Medir la cobertura real de IAM: utilizar métricas como porcentaje de aplicaciones bajo SSO, número de cuentas locales activas o volumen de accesos fuera de los IdP corporativos para reducir de forma sistemática la Confidence Gap o brecha de confianza.
Los expertos subrayan que “hacer más de lo mismo” —añadir políticas, endurecer contraseñas o multiplicar controles puntuales— ya no es suficiente. El cambio de enfoque debe priorizar precisamente el segmento menos gobernado: aplicaciones heredadas, servicios aislados y el acceso que los agentes de IA establecen hacia ellos.
En un entorno donde la identidad digital es uno de los activos más fragmentados y atacados, cerrar la brecha entre madurez declarativa y control operativo se vuelve imprescindible. Inventariar aplicaciones fuera de IAM, eliminar credenciales locales innecesarias, centralizar el acceso de agentes de IA y mantener un monitoreo continuo de privilegios son pasos concretos que reducen la probabilidad de que el próximo incidente grave se inicie en una aplicación “oscura” y casi invisible. Para las organizaciones que quieran reforzar su resiliencia, este es el momento de revisar su estrategia IAM y Zero Trust con una visión integral que incluya, de forma prioritaria, aquellas aplicaciones que hasta hoy quedaban en la sombra.
