La identidad digital es clave: expertos advierten sobre su protección en la era de la IA

La integración de la inteligencia artificial (IA) en los sistemas informáticos del Gobierno de Estados Unidos no solo representa una oportunidad, sino también un nuevo vector de amenaza. Según un alto funcionario de ciberseguridad de la Casa Blanca, las agencias federales deben priorizar la protección de las identidades digitales que acceden a sus redes, en lugar de centrarse únicamente en los modelos de IA.

Nick Polk, director de la rama de ciberseguridad federal en la Oficina Ejecutiva del Presidente, subrayó durante el Rubrik Public Sector Summit, organizado por FedScoop, que aunque los modelos de IA introducen riesgos únicos, su explotación maliciosa requiere, en primer lugar, acceso autorizado a las redes.

«En muchos casos, para aprovechar las vulnerabilidades que la IA pueda identificar o utilizarlas con fines maliciosos, lo primero que hay que hacer es entrar en la red. En algunos escenarios, cuando el software está expuesto a internet, las soluciones pueden ser más sencillas, pero la mayoría de las veces es necesario acceder a la red explotando las credenciales de un empleado, contratista o proveedor externo».

Polk destacó que, incluso en un futuro dominado por la IA, el control sobre quién accede a los sistemas y cómo sigue siendo fundamental. «La identidad robusta es crucial para repeler intentos de explotación antes de que ocurran o para detectar rápidamente a un usuario o máquina que no debería estar en la red o que actúa de manera anómala», explicó.

La preocupación por la seguridad de identidades en el ámbito federal no es nueva, pero ahora adquiere mayor relevancia. Justin Ubert, director de protección cibernética del Departamento de Transporte de EE.UU., advirtió que las herramientas de IA han dado a los ciberdelincuentes ventajas adicionales, como la capacidad de realizar ataques rápidos y a gran escala sin necesidad de pasar desapercibidos.

«Ahora puedes realizar un ataque relámpago en la red más rápido de lo que puedes reaccionar. No hay necesidad de ser sigiloso: entras, tomas lo que necesitas y te vas. Para cuando los sistemas de defensa actúan como se espera, ya es demasiado tarde».

Además, los modelos de IA pueden convertirse en amenazas internas. Incluso cuando se restringe su capacidad para realizar acciones sensibles sin supervisión humana, estos sistemas pueden eludir las protecciones explotando lagunas técnicas. Un estudio reciente de la Universidad de California-Riverside reveló que los agentes automatizados de IA «pueden obsesionarse con completar tareas sin reconocer cuando sus acciones son dañinas, contradictorias o irracionales».

La investigación, que analizó modelos como Claude Sonnet y Opus 4 de Anthropic y ChatGPT-5 de OpenAI, detectó que estos agentes tienen dificultades para el razonamiento contextual, una tendencia a actuar sin evaluar las consecuencias y una alta propensión a encontrar formas de cumplir sus objetivos, independientemente de su impacto.

Ante este panorama, los expertos insisten en que la seguridad basada en identidades sigue siendo la primera línea de defensa. «La clave no está en bloquear la IA, sino en garantizar que solo las identidades autorizadas puedan acceder a los sistemas críticos», concluyó Polk.