Cada avance importante de la IA plantea la misma pregunta: ¿cambia las reglas?
La vista previa de Cloud Mythos, y la afirmación de Anthropic de que puede superar a los humanos en algunas tareas de piratería informática y ciberdefensa, como era de esperar, reavivaron el debate entre reguladores, instituciones financieras y líderes de ciberseguridad empresarial sobre los riesgos sistémicos para la infraestructura digital.
Al mismo tiempo, Anthropic posicionó a Mythos como una habilidad que prioriza al defensor, destacando su papel en la identificación y ayuda a remediar vulnerabilidades antes de que los adversarios puedan explotarlas. Esta realidad del doble uso subraya una verdad más amplia: la misma tecnología que fortalece las defensas también puede aumentar el riesgo.
CEO y cofundador de Keeper Security.
Este momento es significativo, pero no sin precedentes. Claude Mythos representa el último paso en una tendencia más amplia en la que los sistemas de IA se están volviendo más autónomos, más profundamente integrados en entornos empresariales y más capaces de realizar tareas complejas a escala.
A medida que las organizaciones integran estos modelos en los flujos de trabajo, amplían tanto sus posibilidades operativas como su superficie de ataque.
Las nuevas capacidades de IA no cambian los fundamentos de la ciberseguridad
A pesar del rápido ritmo de la innovación en IA, los fundamentos de la ciberseguridad permanecen sin cambios. Los atacantes siguen recurriendo a las mismas tácticas básicas: explotar identidades, comprometer credenciales y abusar del acceso.
Si bien la IA introduce algunas superficies de ataque novedosas, principalmente acelera y amplifica las vulnerabilidades que las organizaciones ya están luchando por remediar. Las organizaciones ya se enfrentan a ataques cada vez más sofisticados, incluidos aquellos mejorados por la automatización impulsada por la IA.
Sin embargo, la vulnerabilidad subyacente sigue siendo constante. La mala higiene de las credenciales, los privilegios excesivos y los controles de acceso inadecuados siguen siendo los principales puntos de entrada de las infracciones. La IA aumenta el límite de velocidad en cada ataque, no puede reescribir el libro de jugadas.
La IA es un multiplicador de identidad
Donde modelos como los mitos cambian el panorama de cómo se define y gestiona la identidad.
Cada sistema de IA, agente o flujo de trabajo automatizado introduce una nueva identidad no humana (NHI). Estas identidades a menudo requieren acceso privilegiado a sistemas, datos e infraestructura de TI para funcionar de manera efectiva. Como resultado, las organizaciones están ampliando rápidamente la cantidad de identidades que pueden interactuar con entornos sensibles.
Esto produce tres cambios estructurales inmediatos:
i Los extensos inventarios del NHI crean acceso privilegiado sin restricciones a escala
ii. Un mayor acceso al sistema y a los datos amplía el radio de riesgo de la explosión
III. Una mayor dependencia de la automatización reduce la supervisión humana en los puntos de decisión críticos
Desde una perspectiva de seguridad, cada proceso impulsado por IA es efectivamente un usuario privilegiado. Si no se controlan, estas identidades son objetivos de alto valor para los atacantes.
Los ataques basados en credenciales son la forma más eficaz de comprometer la seguridad. Esto no ha cambiado a medida que los entornos se han vuelto más complejos y distribuidos: se ha vuelto más maduro. En un entorno impulsado por la IA, la identidad ya no es sólo una capa de control; Es el plano de control a través del cual se gestiona el acceso, el riesgo y la confianza.
Los líderes de seguridad deben priorizar los controles probados
La respuesta al riesgo impulsada por la IA no es una estrategia nueva. Es la ejecución disciplinada y escalada de estrategias que las empresas ya saben que necesitan.
Las organizaciones deben priorizar los siguientes controles:
Política de privilegios mínimos (PoLP): Asegúrese de que los usuarios y los sistemas solo tengan acceso a lo esencial, reduciendo el radio de explosión de cualquier compromiso
Credenciales y Gestión de Privacidad: Proteja, almacene y rote las credenciales y los secretos de las máquinas con regularidad para evitar el uso indebido o la exposición.
Control de acceso basado en roles (RBAC): Implementar políticas de acceso estructuradas consistentes con los roles y responsabilidades de la organización.
Parches y actualizaciones de software: Mantenga una gestión de parches coherente para eliminar las vulnerabilidades conocidas que los atacantes con tecnología de IA pueden explotar rápidamente.
Estas no son recomendaciones nuevas. Son lo que las agencias de crédito han estado ofreciendo durante años, y AI está por dejarlo. Las brechas en la higiene básica de la ciberseguridad ahora se exponen más rápidamente y se explotan con mayor precisión.
La resiliencia se basa en la disciplina
Los avances de la IA seguirán apareciendo en los titulares y modelos como Mythos ampliarán los límites de lo que las máquinas pueden lograr. Sin embargo, las organizaciones no pueden permitir que los ciclos de innovación dicten sus prioridades de seguridad. La madurez de la seguridad, no la novedad del modelo, determina la resiliencia organizacional.
Las organizaciones que tendrán éxito en la era de la IA son aquellas que tratan la gestión de identidades y accesos como infraestructura fundamental. Invertirán en controlar el acceso privilegiado, asegurar las credenciales y hacer cumplir políticas de confianza cero tanto en identidades humanas como no humanas.
La IA seguirá evolucionando. Los actores de amenazas seguirán adaptándose. Pero el camino hacia la resiliencia sigue siendo consistente: la implementación disciplinada de los fundamentos de la ciberseguridad. La innovación sin regulación aumenta la exposición. La innovación permite a las organizaciones moverse de forma rápida y segura basándose en una sólida gobernanza de identidad y acceso.
Enumeramos el mejor software de firewall.
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
