Las predicciones anuales de ciberseguridad de BeyondTrust apuntan a un año en el que las antiguas defensas fallarán silenciosamente y surgirán nuevos vectores de ataque.

Introducción

La próxima violación importante no será una contraseña robada. Será el resultado de una enorme deuda de identidad no gestionada. Esta deuda adopta muchas formas: se trata de la identidad «fantasma» de una brecha de seguridad en 2015 que acecha en tu IAM, la expansión de privilegios de miles de nuevos agentes de IA que te hacen perder superficie de ataque , o el envenenamiento automático de cuentas que aprovecha la débil verificación de identidad en los sistemas financieros. Todos estos vectores (físicos, digitales, nuevos y antiguos) convergen en un único punto de falla: identidad .

Según el análisis de los expertos en ciberseguridad de BeyondTrust, estas son tres amenazas críticas basadas en la identidad que definirán el próximo año:

1. La IA agencial emerge como el vector de ataque definitivo

Para 2026, IA agencial se conectará a casi todas las tecnologías que operamos, convirtiéndose de manera efectiva en el nuevo middleware para la mayoría de las organizaciones. El problema es que esta integración está impulsada por una rápida comercialización que deja la ciberseguridad en segundo plano.

Esta avalancha está creando una nueva y enorme superficie de ataque basada en una vulnerabilidad clásica: el confuso problema de los diputados.

Un «diputado» es cualquier programa con privilegios legítimos. El «problema de los diputados confusos» se produce cuando una entidad con pocos privilegios (como un usuario, una cuenta u otra aplicación) engaña a ese diputado para que haga un mal uso de su poder a fin de obtener privilegios elevados. El suplente, al no tener el contexto necesario para darse cuenta de la intención malintencionada, ejecuta el comando o comparte los resultados que van más allá de su diseño o intención originales.

Ahora, aplica esto a la IA. Una herramienta de IA basada en una agencia puede tener privilegios mínimos para leer el correo electrónico de un usuario, acceder a una canalización de CI/CD o consultar una base de datos de producción. Si esa IA, que actúa como un intermediario de confianza, se ve «confundida» por un mensaje ingeniosamente elaborado a partir de otro recurso, puede manipularse para que extraiga datos confidenciales, implemente código malintencionado o aumente los privilegios en nombre del usuario. La IA ejecuta tareas para las que tiene permiso, pero en nombre de un atacante que no lo tiene, y puede aumentar los privilegios en función del vector de ataque.

Consejo del defensor:

Esta amenaza requiere tratar a los agentes de IA como identidades de máquina potencialmente privilegiadas. Los equipos de seguridad deben hacer cumplir estrictamente los requisitos mínimos de privilegio, garantizar que las herramientas de IA solo tengan los permisos mínimos necesarios para tareas específicas. Esto incluye la implementación de controles de acceso basados en el contexto, el filtrado de comandos y la auditoría en tiempo real para evitar que estos agentes confiables se conviertan en actores malintencionados por proxy.

2. Envenenamiento de cuentas: la próxima evolución del fraude financiero

El año que viene, se espera un aumento significativo del «envenenamiento de cuentas», en el que los actores de amenazas encuentran nuevas formas de insertar a los emisores de facturas y beneficiarios fraudulentos en las cuentas financieras de consumidores y empresas a gran escala.

Este «veneno» se debe a la automatización que permite la creación de beneficiarios y emisores de facturas, la solicitud de fondos y la vinculación a otras fuentes de procesamiento de pagos en línea. Este vector de ataque es particularmente peligroso porque aprovecha las debilidades de los sistemas financieros en línea y aprovecha las deficiencias gestión de secretos para atacar de forma masiva y utiliza la automatización para ofuscar las transacciones.

Consejo del defensor:

Los equipos de seguridad deben ir más allá de señalar las apropiaciones de cuentas individuales y centrarse en cambios automatizados y de alta velocidad en la información de los beneficiarios y facturadores. La clave es implementar controles más estrictos de diligencia y confianza en la identidad para cualquier proceso automatizado que solicite modificar estos campos financieros.

3. Fantasmas en tu IAM: los compromisos históricos de identidad se ponen al día

Muchas organizaciones finalmente están modernizando sus programas de administración de identidades y accesos (IAM), adoptando nuevas herramientas, como el análisis basado en gráficos, para mapear sus complejos paisajes de identidad. En 2026, estas iniciativas descubrirán lo que hay en el armario: identidades «fantasmas» procedentes de soluciones del pasado y violaciones de seguridad que nunca se detectaron.

Estas «infracciones retroactivas» revelarán cuentas fraudulentas (de hace algunos años) que siguen en uso activo. Como estas infracciones son más antiguas que la mayoría de los registros de seguridad, es posible que a los equipos les resulte imposible determinar el alcance total de la infracción original.

Consejo del defensor:

Esta predicción subraya el fracaso de larga data de los procesos básicos de carpintería, mudanza y abandono (JML). La conclusión inmediata es priorizar la gobernanza y el uso de la identidad herramientas modernas de gráficos de identidad para encontrar y eliminar estas cuentas inactivas y de alto riesgo antes de que los atacantes las redescubran.

Otras tendencias en el radar

La muerte de la VPN

Durante años, la VPN fue el caballo de batalla de acceso remoto , pero en el acceso remoto moderno, la VPN es una vulnerabilidad crítica que espera ser explotada. Los actores de amenazas dominan las técnicas de explotación de las VPN, ya que utilizan la recolección de credenciales y dispositivos comprometidos para lograr un acceso persistente. El uso de las VPN tradicionales para el acceso privilegiado presenta un riesgo que las organizaciones ya no pueden permitirse.

El auge del veganismo de la IA

Como contrapartida cultural, 2026 será testigo del auge del «veganismo de la IA», en el que los empleados o los clientes se abstienen, por principio, de utilizar la inteligencia artificial. Este movimiento, impulsado por preocupaciones éticas relacionadas con el abastecimiento de datos, los sesgos algorítmicos y los costos ambientales, pondrá en tela de juicio la suposición de que la adopción de la IA es inevitable. Las empresas tendrán que sortear esta resistencia ofreciendo una gobernanza transparente, alternativas que prioricen a las personas y exclusiones claras. Sin embargo, en lo que respecta a la ciberseguridad, optar por no participar Defensas impulsadas por la IA puede ser una opción menor e incluso podría devolver la responsabilidad al usuario.

Una postura de seguridad que dé prioridad a la identidad no es negociable

El hilo conductor de estas predicciones para 2026 es la identidad. La nueva superficie de ataque de la IA es un problema de privilegios de identidad, el envenenamiento de cuentas es un problema de verificación de identidad, mientras que las infracciones retroactivas son un problema del ciclo de vida de la identidad. A medida que el perímetro se amplía, las organizaciones deben adoptar una postura de seguridad que dé prioridad a la identidad, aplicando los principios de mínimo privilegio y confianza cero a todas las identidades humanas y no humanas.

¿Quieres conocer más a fondo todas las predicciones de ciberseguridad de BeyondTrust para 2026? Lea el informe completo aquí .

Nota: Este artículo fue escrito y contribuido por Morey J. Haber, asesor principal de seguridad; Christopher Hills, estratega jefe de seguridad; y James Maude, director de tecnología de campo de BeyondTrust.

¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.