La creciente desconfianza en los sistemas de identidad y el mal uso de la inteligencia artificial están forzando un cambio en la responsabilidad de la seguridad para pequeñas y medianas empresas. Un análisis reciente destaca que la prevalencia del compromiso de correos empresariales a través de deepfakes y las identidades digitales no humanas está erosionando la confianza en las soluciones tradicionales de protección. Según Techyle y reportes citados por Dave Sobel, la proporción de identidades no humanas respecto a humanas en las organizaciones ahora es de 144:1, lo que complica aún más la autoridad y la responsabilidad para los MSP (proveedores de servicios gestionados). Ante el colapso de la confianza en el control exclusivo de terceros, los modelos de seguridad co-gestionada se están volviendo el estándar, reposicionando la toma de decisiones y la responsabilidad.
El incremento de datos generados por IA—descritos como “AI slop”—ha impulsado la adopción de modelos de confianza cero, con el 84% de CIOs aumentando el financiamiento a iniciativas de inteligencia artificial generativa. Sin embargo, a medida que los agentes de IA descontrolados son reconocidos como amenazas internas significativas, los servicios de seguridad actuales a menudo no están preparados para gestionar estas vulnerabilidades. Organismos reguladores como CISA han emitido directrices advirtiendo que la integración de IA en infraestructuras críticas introduce mayores riesgos de interrupciones y brechas, especialmente cuando la gobernanza es ambigua. Vulnerabilidades destacadas en plataformas de IA de código abierto usadas en entornos cloud resaltan la persistencia de los riesgos operativos.
Actualizaciones tecnológicas adyacentes incluyen lanzamientos de proveedores como 1Password, WatchGuard, JumpCloud y ControlUp. Estas soluciones buscan mejorar la prevención de phishing, expandir la detección y respuesta gestionada, y automatizar la gestión de endpoints para MSPs. No obstante, Dave Sobel enfatiza que estas herramientas añaden capas de automatización e integración sin clarificar adecuadamente quién posee finalmente la autoridad y rendición de cuentas cuando ocurren fallos o brechas. Se advierte consistentemente que apilar soluciones u externalizar funciones centrales sin redefinir el control operacional crea brechas entre acción y supervisión.
Para los MSP y líderes de TI, la principal conclusión es que el riesgo de seguridad ya no responde a la falta de tecnología, sino a la ausencia de gobernanza clara, autoridad definida y alineación de incentivos. Sin una delimitación contractual y operativa explícita de la responsabilidad al desplegar IA y automatización, los proveedores quedan cada vez más expuestos a la responsabilidad por defecto. Se recomienda superar las estrategias centradas en herramientas y priorizar la claridad de procesos: definir quién autoriza, audita y termina identidades no humanas; establecer qué partes aprueban acciones de automatización; y asegurar que los clientes comprendan las responsabilidades compartidas para mitigar la acumulación silenciosa de riesgos.