Las predicciones anuales de ciberseguridad de BeyondTrust apuntan a un año en el que las viejas defensas fallarán silenciosamente y surgirán nuevos vectores de ataque.
Introducción
La próxima gran infracción no será una contraseña fraudulenta. Será el resultado de una deuda de identidad masiva y no gestionada. Esta deuda adopta muchas formas: es la identidad «fantasma» de una infracción de 2015 que acecha en su IAM, la expansión de privilegios de miles de nuevos agentes de IA que inflan su superficie de ataqueo el envenenamiento automatizado de cuentas que explota la verificación de identidad débil en los sistemas financieros. Todos estos vectores (físicos, digitales, nuevos y antiguos) convergen en un único punto de falla: identidad.
Según el análisis de los expertos en ciberseguridad de BeyondTrust, aquí hay tres amenazas críticas basadas en la identidad que definirán el próximo año:
1. La IA agente emerge como el vector de ataque definitivo
Para 2026, IA agente estará conectado a casi todas las tecnologías que operamos, convirtiéndose efectivamente en el nuevo middleware para la mayoría de las organizaciones. El problema es que esta integración está impulsada por un impulso de velocidad de comercialización que deja la ciberseguridad en un segundo plano.
Esta prisa está creando una nueva y masiva superficie de ataque basada en una vulnerabilidad clásica: el problema del diputado confuso.
Un «suplente» es cualquier programa con privilegios legítimos. El «problema del diputado confuso» ocurre cuando una entidad con pocos privilegios (como un usuario, una cuenta u otra aplicación) engaña a ese diputado para que haga un mal uso de su poder para obtener altos privilegios. El diputado, al carecer del contexto para ver la intención maliciosa, ejecuta el comando o comparte resultados más allá de su diseño o intenciones originales.
Ahora, aplique esto a la IA. A una herramienta de IA agente se le puede otorgar acceso con privilegios mínimos para leer el correo electrónico de un usuario, acceder a una canalización de CI/CD o consultar una base de datos de producción. Si esa IA, que actúa como suplente confiable, se ve «confundida» por un aviso inteligentemente elaborado de otro recurso, puede ser manipulada para exfiltrar datos confidenciales, implementar código malicioso o escalar privilegios más altos en nombre del usuario. La IA ejecuta tareas para las que tiene permiso, pero en nombre de un atacante que no lo tiene, y puede elevar los privilegios según el vector de ataque.
Consejo del defensor:
Esta amenaza requiere tratar a los agentes de IA como identidades de máquinas potencialmente privilegiadas. Los equipos de seguridad deben aplicar estrictos privilegios mínimos, Garantizar que las herramientas de IA solo tengan los permisos mínimos necesarios. para tareas específicas. Esto incluye implementar controles de acceso contextuales, filtrado de comandos y auditoría en tiempo real para evitar que estos agentes confiables se conviertan en actores maliciosos por proxy.
2. Envenenamiento de cuentas: la próxima evolución del fraude financiero
Durante el próximo año, se espera un aumento significativo del «envenenamiento de cuentas», donde los actores de amenazas encuentran nuevas formas de insertar facturadores y beneficiarios fraudulentos en cuentas financieras de consumidores y empresas a gran escala.
Este «veneno» es impulsado por la automatización que permite la creación de beneficiarios y facturadores, la solicitud de fondos y la vinculación a otras fuentes de procesamiento de pagos en línea. Este vector de ataque es particularmente peligroso porque explota las debilidades de los sistemas financieros en línea, aprovecha las deficiencias gestión de secretos atacar en masa y utiliza la automatización para ofuscar las transacciones.
Consejo del defensor:
Los equipos de seguridad deben ir más allá de señalar apropiaciones de cuentas individuales y centrarse en cambios automatizados de alta velocidad en la información del beneficiario y del facturador. La clave es implementar controles de diligencia y confianza de identidad más estrictos para cualquier proceso automatizado que solicite modificar estos campos financieros.
3. Fantasmas en su IAM: los compromisos históricos de identidad se ponen al día
Muchas organizaciones finalmente están modernizando sus programas de gestión de identidades y accesos (IAM), adoptando nuevas herramientas, como análisis basados en gráficos, para mapear sus complejos paisajes de identidad. En 2026, estos esfuerzos descubrirán esqueletos escondidos: identidades «fantasmas» de soluciones pasadas hace mucho tiempo y violaciones que nunca fueron detectadas.
Estas «infracciones retroactivas» revelarán cuentas fraudulentas (algunas de ellas con años de antigüedad) que siguen en uso activo. Debido a que estos compromisos son más antiguos que la mayoría de los registros de seguridad, puede resultar imposible para los equipos determinar el alcance total de la infracción original.
Consejo del defensor:
Esta predicción subraya el fracaso de larga data de los procesos básicos de entrada, salida y salida (JML). La conclusión inmediata es priorizar el gobierno y el uso de la identidad. herramientas modernas de gráficos de identidad para encontrar y eliminar estas cuentas inactivas y de alto riesgo antes de que los atacantes las redescubran.
Otras tendencias en el radar
La muerte de la VPN
Durante años, la VPN fue el caballo de batalla de acceso remotopero en el acceso remoto moderno, la VPN es una vulnerabilidad crítica que espera ser explotada. Los actores de amenazas dominan las técnicas de explotación de VPN, utilizando la recolección de credenciales y dispositivos comprometidos para un acceso persistente. El uso de VPN tradicionales para acceso privilegiado presenta un riesgo que las organizaciones ya no pueden afrontar.
El auge del veganismo de la IA
Como contrafuerza cultural, el año 2026 será testigo del aumento del «veganismo de la IA», en el que los empleados o clientes se abstendrán de utilizar la inteligencia artificial por principio. Este movimiento, impulsado por preocupaciones éticas sobre el abastecimiento de datos, el sesgo algorítmico y los costos ambientales, desafiará la suposición de que la adopción de la IA es inevitable. Las empresas tendrán que sortear esta resistencia ofreciendo una gobernanza transparente, alternativas que prioricen a los seres humanos y opciones de exclusión claras. Sin embargo, cuando se trata de ciberseguridad, optar por no participar Defensas impulsadas por IA puede ser una opción menor e incluso podría transferir la responsabilidad nuevamente al usuario.
Una postura de seguridad que dé prioridad a la identidad no es negociable
El hilo conductor de estas predicciones para 2026 es la identidad. La nueva superficie de ataque de la IA es un problema de privilegios de identidad, el envenenamiento de cuentas es un problema de verificación de identidad, mientras que las infracciones retroactivas son un problema del ciclo de vida de la identidad. A medida que se amplía el perímetro, las organizaciones deben adoptar una postura de seguridad que dé prioridad a la identidad aplicando principios de privilegio mínimo y confianza cero a todas las identidades humanas y no humanas.
¿Quiere conocer en profundidad todas las predicciones de ciberseguridad de BeyondTrust para 2026? Lea el informe completo aquí.
Nota: Este artículo fue escrito y contribuido por Morey J. Haber, asesor jefe de seguridad; Christopher Hills, estratega jefe de seguridad; y James Maude, director de tecnología de campo de BeyondTrust.