Cómo la IA aumenta los riesgos
En la Antigua Roma, el ejército tenía una «consigna» diaria que los soldados utilizaban para entrar en el campamento.1 Un oficial inscribía la consigna en tablillas de arcilla, que se distribuían por las diversas unidades militares; si una tablilla no era devuelta, rápidamente la localizaban y castigaban al soldado que no la había devuelto.
Hay una cosa clara que data de la época de la Antigua Roma: si quieres seguridad, necesitas saber dónde están tus contraseñas.
Lamentablemente, para una organización moderna resulta más difícil llevar un registro de las credenciales. Actualmente, las empresas deben gestionar un número cada vez mayor de credenciales que van mucho más allá de las contraseñas tradicionales, como secretos de desarrollador, claves de acceso, inicios de sesión compartidos, claves API, claves SSH, cuentas de servicio y tokens de acceso SSO.
Estas credenciales no residen en un solo lugar. Se guardan en navegadores, scripts, entornos de desarrollo, mensajes de Slack, herramientas de IA, archivos de configuración y, a veces, hojas de cálculo de texto plano.
La proliferación de credenciales fuera de la visibilidad y el control centralizados se conoce como «proliferación de credenciales» y los atacantes están ansiosos por aprovecharla.2 Este problema es especialmente urgente debido al auge de las herramientas y agentes basados en IA, que no solo han aumentado la escala y el alcance de las credenciales no gestionadas, sino que también presentan retos de acceso y gestión de identidades que herramientas como SSO y PAM no están equipadas para manejar.
What causes credential and secrets sprawl?
Los riesgos de las credenciales no son un problema nuevo. Sin embargo, en los últimos años, gestionar dónde y cómo se utilizan las credenciales ha evolucionado de una tarea hercúlea a una sisífea. Es decir: nunca fue fácil, pero en algún momento se volvió casi imposible. Para entender el porqué, comenzaremos con una visión general de algunos de los factores esenciales que contribuyen a la proliferación de credenciales.
Proliferación de contraseñas
Los peligros de las contraseñas no gestionadas y las malas prácticas de contraseñas son bien conocidos desde hace años y, sin embargo, las contraseñas siguen siendo uno de los vectores más comunes para las filtraciones de datos y los hackeos.3
El informe anual de 1Password de 2025: La brecha entre acceso y confianza, reveló que dos tercios de los empleados admiten tener malas prácticas con las contraseñas, entre ellas:4
Usar las mismas contraseñas en varias cuentas de trabajo
No cambiar nunca las contraseñas predeterminadas de TI
Usar la misma contraseña para cuentas tanto laborales como personales
Enviar contraseñas por mensaje de texto, correo electrónico, o cualquier otro medio a ti mismo o a un colega
Estas malas prácticas pueden tener efectos devastadores, como cuando los atacantes utilizaron credenciales robadas en filtraciones anteriores para acceder a repositorios de desarrolladores en GitHub, Bitbucket y Gitlab. Como informó el periodista y analista Robert Lemos, «El ataque pone de relieve los peligros de manejar mal las contraseñas… Ninguno de los servicios que alojan los repositorios de los desarrolladores afectados encontró signos de compromiso En su lugar, los atacantes iniciaron sesión en ellos desde una dirección de Internet no reconocida usando credenciales válidas y luego eliminaron el código de la víctima.»5
SaaS y IA no gestionadas
Como afirmó el analista de seguridad Francis Odum,6 «A medida que las organizaciones adoptaron cada vez más aplicaciones SaaS, la necesidad de una gestión de contraseñas de nivel empresarial se hizo más pronunciada. Con frecuencia, los empleados utilizaban credenciales personales para las cuentas profesionales, lo que aumentaba el riesgo de reutilización de credenciales y de incidentes de seguridad. Si bien el inicio de sesión único (SSO) y la autenticación multifactor (MFA) se convirtieron en controles estándar, a menudo no cubrían toda la gama de aplicaciones empresariales, lo que dejaba brechas de visibilidad...»
La expansión de SaaS es un problema conocido desde hace años en el sector de la ciberseguridad.7 Una empresa media gestiona más de cien aplicaciones dentro de su plataforma de inicio de sesión único (SSO)8, pero muchas aplicaciones están fuera del alcance de SSO.
1Password descubrió que la empresa media tiene un tercio de sus aplicaciones fuera de la protección de SSO. Esto crea un ángulo muerto masivo para los equipos de TI, especialmente durante la desvinculación.9
Más de un tercio (38 %) de los empleados ha accedido con éxito a la cuenta, datos o aplicaciones de un empleador anterior después de dejar la empresa.
1Password Annual Report 2025: The Access Trust Gap
Ahora, la IA está acelerando aún más la proliferación de SaaS, más allá de aquello para lo que se diseñó SSO. Uno de cada cuatro empleados ha utilizado aplicaciones de IA que no estaban aprobadas por su empresa y más de un tercio de los empleados admite haber ignorado deliberadamente las políticas de IA de su empresa. 10
Los empleados están experimentando con herramientas de codificación de IA, extensiones de navegador, asistentes de escritura, herramientas de análisis de datos y plataformas de agentes, a menudo antes de que el departamento de TI las evalúe o apruebe. Muchas de estas herramientas no se integran de manera limpia con el SSO empresarial e incluso, cuando lo hacen, la adopción suele empezar fuera de los procesos oficiales de incorporación. La IA en la sombra plantea graves riesgos, ya que incluso las aplicaciones inocuas pueden contener graves vulnerabilidades de seguridad que podrían exponer los datos y las credenciales de la empresa.11
Los agentes de IA también acceden a las credenciales de forma diferente. No solo requieren inicios de sesión de usuario; a menudo necesitan claves API, tokens OAuth, cuentas de servicio y otras credenciales de máquina para funcionar. Esas credenciales pueden almacenarse localmente, incrustarse en scripts, guardarse en navegadores o compartirse informalmente entre compañeros de equipo, mucho más allá de la visibilidad de los sistemas de identidad tradicionales.
Cada aplicación no gestionada y herramienta de IA representa al menos una credencial no gestionada que una organización no puede proteger. El resultado es una capa en constante expansión de aplicaciones y credenciales que existen fuera de la gobernanza centralizada.
Para obtener una visión más profunda de las limitaciones de SSO, lee nuestro libro electrónico Por qué SSO no es suficiente para la seguridad de la identidad.
Secretos de desarrollador
Los secretos del desarrollador, como claves SSH, claves de API, credenciales de cuentas de servicio, variables de entorno y tokens de servidor, son las claves de acceso a los sistemas más críticos de una organización. A diferencia de las contraseñas de usuario, estas credenciales a menudo funcionan silenciosamente en segundo plano, impulsando aplicaciones, infraestructura, automatización y, ahora, agentes de IA.
Sin embargo, estos secretos rara vez viven dentro de los sistemas de identidad tradicionales. En su lugar, se almacenan en repositorios de códigos, archivos de entornos locales, canalizaciones CI/CD, consolas en la nube, scripts y herramientas de colaboración. En ausencia de una gobernanza coherente y herramientas diseñadas específicamente, estos secretos se multiplican rápidamente y a menudo pasan desapercibidos.
El informe de 2025 de GitGuardian, The State of Secrets Sprawl, muestra la rapidez con la que este problema se acelera.
En 2024, descubrimos 23 770 171 nuevos secretos codificados de forma rígida añadidos a los repositorios públicos de GitHub.
GitGuardian Report
Esta cifra representa un aumento del 25 % en el número total de secretos con respecto al año anterior. Como ellos lo expresan, «la proliferación de secretos empeora constantemente con el tiempo».12
La expansión de secretos puede propagarse de varias maneras, incluso a través de la exposición accidental por parte de los desarrolladores de secretos en código público. Sin embargo, el informe de GitGuardian destaca una preocupación más básica: «[aunque] las herramientas de gestión del código fuente han sido el foco principal de la detección de secretos... los secretos aparecen dondequiera que los equipos colaboran, a menudo en herramientas de colaboración y gestión de proyectos como Slack, Jira o Confluence.»13
El envío de secretos en texto plano a través de aplicaciones como Slack representa un enfoque peligrosamente laxo hacia la higiene de los secretos. Por desgracia, los ciberdelincuentes conocen esta tendencia. Dark Reading informa que «...los ciberdelincuentes y los actores estatales por igual están siguiendo un plan probado y aprovechando la ‘mala higiene de secretos’ para promover sus campañas.”14
La IA está acelerando esta dinámica. A medida que los desarrolladores utilizan copilotos de IA para generar código, poner en marcha infraestructuras o automatizar flujos de trabajo, las credenciales de las máquinas se crean y reutilizan a mayor velocidad. Sin supervisión centralizada, los secretos se multiplican entre repositorios, instrucciones, canalizaciones y agentes. Todo esto está expandiendo la superficie de identidad mucho más allá de lo que los sistemas tradicionales de gestión de identidades y accesos (IAM) y gestión de accesos con privilengios (PAM) fueron diseñados para regir.
How AI is worsening credential sprawl
El auge de la IA y los agentes de IA ha aumentado drásticamente la productividad del lugar de trabajo moderno. Sin embargo, también ha acelerado la tasa de proliferación de credenciales de manera igualmente dramática y sus riesgos merecen un análisis más detallado.
Acceso no gestionado a agentes de IA
Los agentes de IA representan una clase totalmente nueva de identidades; requieren diversos niveles de acceso, pero operan de formas que suelen ser invisibles para las herramientas de seguridad.
Como dijo The Hacker News, «Los agentes de IA no operan de forma aislada». Para funcionar, necesitan acceso a datos, sistemas y recursos. Este acceso tan privilegiado, que a menudo se pasa por alto, se produce a través de identidades no humanas: claves API, cuentas de servicio, tokens de OAuth y otras credenciales de máquinas».15
Todas las NHI representan un riesgo para las credenciales y la manera en que los agentes de IA los utilizan ha incrementado drásticamente su expansión. Las cifras varían, pero en 2025 había entre 8216 (pero potencialmente hasta 14417) identidades no humanas (NHI) por cada 1 identidad humana en el entorno empresarial promedio. En cualquier caso, ese número está creciendo rápidamente.
Más preocupante es el hecho de que muchas de estas identidades de máquinas tienen niveles de acceso altamente privilegiados, a menudo sin el nivel de escrutinio que se aplicaría normalmente a los usuarios altamente privilegiados. De hecho, un estudio reciente encontró que 1 de cada 20 NHI tiene privilegios de administrador completos a pesar de que solo el 38 % del total de NHI había estado activo en los últimos 9 meses.18
Lo que esto significa es que los agentes de IA reciben niveles de acceso cada vez más poderosos, que los equipos de seguridad a menudo no gestionan, y los agentes suelen conservar privilegios poderosos más allá del punto en que los necesitan.
Las aplicaciones y capacidades agénticas están evolucionando a una velocidad sin precedentes y a menudo se adoptan nuevas herramientas antes de que se comprendan sus riesgos. Jason Meller, vicepresidente y estratega de seguridad de 1Password, escribió dos entradas en su blog sobre lo poderosas y aterradoras que pueden ser estas herramientas19,20
Jason Meller, vicepresidente y estratega de seguridad en 1Password, explica el riesgo: «La versión corta: los agentes que actúan como OpenClaw son potentes porque tienen acceso real a tus archivos, tus herramientas, tu navegador, tus terminales y, a menudo, un archivo de 'memoria' a largo plazo que captura cómo piensas y qué estás construyendo».
Esa combinación es exactamente lo que los ladrones de información modernos están diseñados para explotar.
Jason Meller
Vice President and Security Strategist, 1Password
Si bien OpenClaw ciertamente atrajo bastante atención, sus problemas no se limitan a una sola herramienta. En el «Índice de Agentes de IA» del MIT, los investigadores descubrieron que la mayoría de los desarrolladores de agentes comparten poco sobre la seguridad de sus herramientas. «25 de 30 agentes no revelan resultados de seguridad internos y 23 de 30 agentes no tienen información de pruebas externas».21 Más bien, OpenClaw es un indicador de cuán graves pueden ser los riesgos de seguridad cuando a los agentes de IA se les otorgan niveles no gestionados de acceso; su popularidad y sus riesgos de seguridad han obligado rápidamente a los equipos de seguridad a enfrentarse al hecho de que el perímetro estándar de la empresa no está equipado para manejar los problemas de la IA agéntica.
En Inside 1Password's Enterprise Identity Transformation, Francis Odum señala que «la proliferación de la IA agéntica crea una dispersión de identidades y una brecha de acceso crítica». Dado que las credenciales tradicionales no están diseñadas para la IA, ha surgido una solución alternativa peligrosa.22
Los desarrolladores recurren a secretos codificados. Esto genera agentes con demasiados privilegios, auditabilidad limitada y riesgo de perder datos.
Francis Odum
La IA empeora las prácticas de seguridad de credenciales
Las herramientas basadas en IA también están exacerbando la proliferación de credenciales al replicar malas prácticas de seguridad de credenciales.
La codificación por intuición (usando IA generativa para escribir código) tiende a reproducir malos hábitos de seguridad. Por ejemplo, se descubrío rápidamente que una plataforma ampliamente codificada por intuición, Moltbook, tenía una base de datos mal configurada que expuso más de un millón de tokens de autenticación de API, junto con direcciones de correo electrónico y mensajes privados. 23
De nuevo, esto no es exclusivo de una sola plataforma. GitGuardian analizó el uso de Copilot, el asistente de IA de Microsoft (utilizado para la codificación por intuición, entre otras cosas), y descubrió que los repositorios con Copilot activo tienen un 40 % más de probabilidades de tener al menos un secreto filtrado. 24
En general, la codificación por intuición también puede permitir a los empleados con menos experiencia en codificación y, por lo tanto, menos formación en seguridad de codificación, implantar código que no se ha sometido a algunas de las comprobaciones y el escrutinio estándar que deberían aplicarse a la seguridad de cualquier código.
La seguridad de identidad tradicional se está quedando atrás.
Supervisar cómo los empleados utilizan y almacenan las credenciales siempre ha sido un reto. Pero la IA cambia fundamentalmente el modelo de seguridad de la identidad.
Las herramientas y agentes de IA no se autentican, almacenan ni utilizan credenciales como lo hacen las personas. Se basan en tokens integrados, claves API, cuentas de servicio y patrones de acceso programático. Operan continuamente, se duplican fácilmente y, a menudo, persisten mucho tiempo después de que su propósito original haya concluido.
Las herramientas tradicionales de seguridad de identidad fueron diseñadas para el comportamiento humano, con inicios de sesión interactivos, autenticación basada en sesiones y niveles de privilegios claramente definidos. No fueron diseñadas para gobernar identidades de software autónomas que escalen y se autentiquen programáticamente sin supervisión.
En cierto modo, esto es casi intencional. Como dijo Saumitra Das en un artículo para Corporate Compliance Insights, «Por naturaleza, los agentes autónomos están entrenados para encontrar la manera más fácil y eficiente de completar el trabajo asignado. Esto significa que a menudo pueden identificar formas de eludir las barreras de protección…»25
Los métodos tradicionales de control de acceso están rápidamente demostrando ser inadecuados, ya que la IA y la automatización basada en eventos están creando identidades no humanas (NHI) a una escala nunca antes vista. Como informó TechTarget, «la mayoría de las herramientas heredadas de IAM y de gestión de acceso privilegiado (PAM) nunca se diseñaron para manejar ese nivel de volumen y rotación».26
El artículo continúa señalando algunos de los problemas relacionados con cómo las NHI utilizan las credenciales, incluyendo:
Las NHI utilizan una amplia gama de métodos de autenticación, como tokens JSON, roles IAM en la nube, secretos OAuth2 y claves API. Cada uno de estos tiene sus propias necesidades de seguridad únicas.
A menudo, a las NHI se les concede un acceso desproporcionado y credenciales de larga duración para que los equipos puedan garantizar que la herramienta tenga el acceso necesario para automatizar distintos procesos empresariales.
La detección de anomalías no siempre puede detectar cuándo algo ha ido mal con un agente de IA, ya que en realidad no tienen patrones de comportamiento «normales» de los que desviarse.
Cada uno de estos factores puede dañar gravemente la eficacia del sistema de seguridad de una empresa.
The costs of credential sprawl
¿Qué ocurre cuando la proliferación de credenciales se descontrola en una empresa? Los costes se manifiestan de diversas maneras, desde un mayor radio de impacto en caso de una brecha de seguridad hasta procesos manuales que consumen mucho tiempo para gestionar la estrategia de seguridad, el cumplimiento normativo y la respuesta a incidentes.
Incumplimientos
Los equipos de TI y seguridad se enfrentan constantemente a la difícil tarea de lograr y demostrar el cumplimiento de normas reglamentarias como SOC 2, PCI DSS, ISO 27001:2022 e HIPAA.
Cada uno de estos estándares tiene requisitos relacionados con el uso seguro y el almacenamiento de credenciales. Por ejemplo, PCI DSS requiere que, «Los registros de auditoría capturen todos los cambios en las credenciales de identificación y autenticación…»27
Del mismo modo, SOC 2 tiene varios requisitos relacionados con la forma en que las empresas proporcionan el acceso a las credenciales, incluidos los requisitos que dictan que «tu organización debe aplicar procesos para eliminar el acceso a las credenciales cuando una persona ya no necesite dicho acceso».28 Vale la pena señalar que SOC 2 amplía estos requisitos no solo al acceso a las credenciales de usuario, sino también a la forma en que «la infraestructura y el software internos y externos» acceden a dichas credenciales.
En general, los organismos reguladores esperan que las empresas demuestren que han actuado con la debida diligencia para proteger la información confidencial. En el caso de la gestión de credenciales, la «debida diligencia» significa implantar herramientas esenciales que permitan a los administradores supervisar dónde y cómo se utilizan las credenciales. La proliferación de credenciales socava fundamentalmente la capacidad de una empresa para lograrlo.
Además, aunque las herramientas de seguridad puedan estar quedándose atrás en el auge de la IA, es probable que los organismos reguladores no den tregua a las empresas. En todo caso, están aumentando su escrutinio. Como señaló Itamar Apelblat en un artículo para BleepingComputer, «En cada uno de estos marcos, la organización es responsable de lo que sucede con los datos regulados y los flujos de trabajo regulados. Cuando los agentes de IA son los que actúan dentro de esos sistemas, la responsabilidad no desaparece.»29
Exposición al riesgo
No es difícil entender por qué los estándares de cumplimiento ponen tanto énfasis en la gestión de credenciales y accesos. En pocas palabras: la proliferación de credenciales aumenta enormemente el riesgo de ciberataque de una organización.
Las credenciales comprometidas son el punto de entrada más común para los atacantes30 y llevan siéndolo durante algún tiempo; el 50 % de los CISO que han experimentado una brecha importante en los últimos tres años identificaron las credenciales comprometidas como la causa raíz.31
La proliferación de credenciales aumenta significativamente la superficie de ataque de una empresa. Cada credencial que se almacena sin seguridad y supervisión de TI representa una oportunidad para que los malhechores violen los sistemas. Y con la expansión tan rápida de las credenciales, las empresas se enfrentan a más riesgos que nunca.
En 2025, IBM informó de que la IA en la sombra representó el 20 % de las brechas y que el 97 % de las brechas de seguridad relacionadas con la IA involucraron IA que no contaba con los controles de acceso adecuados. IBM también señala: «...que los datos se almacenaban con mayor frecuencia en múltiples entornos, lo que revela que un solo sistema de IA sin supervisión puede llevar a una exposición generalizada».32
Respuesta a un incidente
La remediación de brechas y la respuesta a incidentes ya son procesos costosos y que requieren mucho tiempo. La proliferación de credenciales solo está empeorando estos problemas. La IA en la sombra, por ejemplo, añade más complejidad y costes a la respuesta a las brechas; una brecha que implica IA en la sombra puede costar hasta 670 000 dólares más que una brecha comparable que no la implica.33
Según GitGuardian, el 70 % de los secretos filtrados en 2022 seguían siendo válidos en 2025.34 Es una cifra profundamente preocupante, que indica que las credenciales comprometidas no están siendo remediadas por ningún proceso empresarial estándar; no caducan automáticamente ni rotan por equipos. Y dado que estos problemas existentes no se están solucionando, con cada nueva brecha, los equipos de TI y seguridad quedan sepultados bajo una pila de riesgos que no deja de crecer en alcance y complejidad.
Como informó TechTarget, las IHN y la IA agéntica complican aún más esta cuestión: «Dado que muchas organizaciones utilizan las IHN para enlazar entornos en la nube... los secretos suelen duplicarse o reutilizarse en varios sistemas, lo que dificulta la reparación y la rotación si se compromete una sola identidad».35
Solutions for credential sprawl
Las estrategias tradicionales de IAM no siempre serán suficientes para abordar los problemas de la proliferación descontrolada de credenciales. Más bien, los equipos necesitarán un esfuerzo en varios frentes para abordar el problema desde distintos ángulos.
Gestión de credenciales
El problema de la proliferación de credenciales comienza con la gestión de contraseñas. Desafortunadamente, aunque las contraseñas han acosado a los equipos de seguridad durante años, muchas empresas todavía no las manejan de forma sólida y los equipos actuales ejecutan más herramientas con más inicios de sesión que nunca.
Sin una estrategia clara, la proliferación de credenciales se propaga sin gestionar. Como analizamos con más detalle en nuestro reciente blog,36 la gestión de credenciales requiere una estrategia diseñada para abordar cómo se utilizan las credenciales. Los equipos necesitan sistemas en torno a:
Cobertura, que significa qué credenciales proteger: contraseñas, claves de acceso, tokens de API, claves SSH, NHI y secretos de agentes de IA.
Control, que significa cómo se gestionan esas credenciales: dónde se pueden almacenar, cómo se comparten, qué reglas se aplican y cómo se hacen cumplir esas reglas.
Ciclo de vida, que significa cómo cambian las credenciales: creación, propiedad, rotación, revocación y verificación, especialmente a medida que cambian las funciones y los privilegios en identidades humanas y de máquinas.
El primer paso para cumplir todos esos requisitos es un administrador de contraseñas empresarial (EPM). EPM abarca más que solo contraseñas y es un elemento crítico para cada uno de los pilares de una sólida estrategia de gestión de credenciales. Como informó el analista e investigador Francis Odum, «el ancla arquitectónica de 1Password es su núcleo de administración de contraseñas empresariales (EPM) ». Esta caja fuerte de conocimiento cero sirve como «sistema de registro singular para todas las credenciales de la plantilla», que abarca tanto usuarios humanos como identidades no humanas (NHI)...»37
A pesar de esto, 1Password descubrió que solo alrededor del 38 % de los empleados usan un gestor de contraseñas proporcionado por la empresa.38
Un EPM como el de 1Password es una herramienta de importancia crítica para que las empresas frenen la proliferación de credenciales y gestionen el uso de la IA agéntica.39 Centraliza la visibilidad sobre cómo se usan las credenciales, lo que permite a los administradores aplicar principios de acceso con privilegios mínimos mediante el acceso a cajas fuertes basado en roles. Los flujos de trabajo estructurados de incorporación significan que los usuarios solo reciben acceso a las credenciales, claves de paso y secretos necesarios para realizar su trabajo. Y, lo que es más importante: EPM amplía la protección a los flujos de trabajo de los desarrolladores y a la automatización impulsada por la IA sin introducir fricciones.
Dado que las credenciales están cifradas, los equipos pueden garantizar que los ladrones de información y otros ataques dirigidos no puedan acceder a ellas. La supervisión de filtraciones de 1Password también informa a los usuarios y administradores lo antes posible si una credencial gestionada se ha visto comprometida.40
En resumen: las credenciales de todas las aplicaciones del lugar de trabajo permanecen seguras y centralizadas donde el departamento de TI puede supervisar fácilmente el acceso de los empleados, gestionar la incorporación y la baja y medir la fortaleza y seguridad de su ecosistema de contraseñas.
Vale la pena señalar un elemento esencial de la eficacia de EPM: la gobernanza de credenciales debe implantarse de principio a fin. Las empresas deben aplicar la gestión de credenciales para cada persona, agente, secreto y flujo de trabajo. Las empresas no pueden mantenerse seguras protegiendo solo una parte de la superficie de identidades.
Gestión de acceso unificado para agentes de IA y humanos
La proliferación de credenciales de IA refleja un cambio fundamental en cómo se delega la autoridad dentro de la empresa. Los sistemas de IA ya no son herramientas que asisten a los humanos; los agentes actúan cada vez más con acceso independiente a aplicaciones, datos y flujos de trabajo. Sin embargo, la mayoría de los controles de acceso siguen asumiendo una presencia humana en el teclado.
Los empleados, y los desarrolladores en particular, son alentados a adoptar la IA para mejorar la productividad, pero sin herramientas diseñadas específicamente para delegar de forma segura el acceso a identidades de agentes y máquinas, los trabajadores recurren a soluciones alternativas inseguras fuera del alcance de las herramientas de seguridad tradicionales. Abordar la proliferación de credenciales de IA requiere herramientas que rijan el acceso no humano sin ralentizar los flujos de trabajo.
1Password® Unified Access ayuda a los equipos a:
Descubre el riesgo: identifica herramientas de IA y agentes no gestionados que se ejecutan en dispositivos de desarrolladores y usuarios finales y detecta credenciales y secretos almacenados en archivos locales y entornos de desarrollo.
Protege tus credenciales: elimina las credenciales expuestas y restringe el acceso a herramientas y agentes de IA de riesgo. Entrega credenciales a agentes, automatización y CI/CD en tiempo de ejecución para reducir secretos de larga duración y garantizar que se utilicen solo cuando sea necesario.
Acciones de auditoría de agentes: consigue una atribución clara de cada acción que muestre cuándo y cómo se utilizan las credenciales y quién las utiliza entre personas, agentes y máquinas.
Gestión de SaaS
La proliferación de credenciales y la proliferación de SaaS están irrevocablemente entrelazadas. Para que los equipos de TI y seguridad determinen eficazmente dónde y cómo se almacenan las credenciales, necesitan saber qué aplicaciones están utilizando sus empleados.
La desafortunada naturaleza de la proliferación de SaaS, sin embargo, implica que sea casi imposible para los equipos encontrar el tiempo o la mano de obra para tomar el control de ella manualmente.
1Password SaaS Manager resuelve este problema mediante la automatización.41 Con más de 40 000 integraciones de aplicaciones, permite a los equipos crear y mantener un inventario completo de las aplicaciones que utilizan sus empleados, incluidas las aplicaciones que no pueden protegerse detrás de SSO. Eso incluye capacidades para el descubrimiento continuo de aplicaciones para iluminar el uso de TI en la sombra (y aplicaciones de IA en la sombra) en toda una organización.
Con flujos de trabajo automatizados de incorporación y baja, los equipos también pueden garantizar que el acceso de los empleados a las aplicaciones se proporcione solo cuando sea necesario, sin correr el riesgo de un acceso no autorizado de empleados que no hayan sido dados de baja correctamente.
Identificar qué aplicaciones se están utilizando, ya sean aprobadas por la empresa o no, es un paso crítico para asegurarse de que todas las credenciales se utilizan y almacenan de forma segura. Un equipo no puede lograr una seguridad de credenciales de principio a fin si alguna parte de su entorno de aplicaciones queda sin gestionar.
AI is here: do you know where your credentials are?
La proliferación de credenciales está lejos de ser un problema nuevo. Pero, en lugar de mejorar, parece que solo está empeorando; múltiples estudios muestran que las prácticas de gestión de credenciales están en un declive constante, ya que los equipos se enfrentan a un número cada vez mayor de credenciales en un número cada vez mayor de endpoints y aplicaciones. Las credenciales están ocultas en las bases de código, mensajes de Slack, chatbots de IA, hojas de cálculo y probablemente todavía se encuentren en una o dos notas adhesivas.
La gestión de credenciales nunca ha sido tan crucial. En pocas palabras: cada credencial no gestionada pone en riesgo tu ecosistema. Si las credenciales no están protegidas de forma integral, tu empresa puede tener un número incalculable de puntos de acceso no seguros.
La gestión de contraseñas empresariales nunca ha sido una solución opcional para las empresas que priorizan la seguridad en todos los niveles, pero la urgencia de implantar controles de credenciales esenciales se ha vuelto aún más acuciante con el rápido auge de la IA. 1Password es la solución crítica para que las empresas controlen y supervisen cómo se utilizan las credenciales en sus ecosistemas. Aprovechando la sólida seguridad de nuestro administrador de contraseñas, estamos desarrollando sistemas que permitirán a los equipos gestionar credenciales dondequiera que estén, desde la hoja de cálculo hasta el agente de IA.
Additional sources:
3, 30 Informe sobre investigaciones de brechas de datos, Verizon, 2025 (PDF)
8 Negocios en acción, Okta, 2025
12, 13, 24 Estado de la proliferación de secretos, GitGuardian, 2025 (PDF)
17, 18, 34 Informe de riesgos de NHI y secretos, HubSpot, 2025 (PDF)
27 PCI DSS: v4.0.1, PCI Security Standards Council, 2024
32, 33 Coste de un informe de brecha de datos, IBM, 2025