Una alianza que pone el foco en un problema viejo, pero cada vez más delicado
En la industria tecnológica surcoreana, donde la digitalización empresarial avanza a un ritmo que en América Latina muchas compañías miran con atención y algo de envidia, una colaboración anunciada entre RaonSecure y Upstage ha vuelto a colocar sobre la mesa un asunto menos vistoso que los grandes ciberataques, pero igual de crítico: qué tan rápido y qué tan bien se eliminan los accesos digitales de quienes ya salieron de una empresa.
La noticia, presentada como una cooperación en el campo de la llamada “agentic AI” o inteligencia artificial agéntica, no gira alrededor de un robot futurista ni de una promesa abstracta de automatización. El núcleo del anuncio es mucho más concreto: usar sistemas de IA capaces de ejecutar tareas encadenadas para retirar de forma automática —o semiautomática, según las políticas internas— los privilegios de acceso de empleados que renuncian, son despedidos, cambian de área o concluyen contratos temporales.
Para un lector hispanohablante, el problema puede sonar administrativo, casi burocrático. Pero en la práctica se trata de una de las fallas más persistentes en seguridad corporativa. No hace falta imaginar un sofisticado ataque al estilo de una serie de streaming; a veces basta con que una cuenta de correo, una VPN, un repositorio de código o una plataforma de documentos queden activas más tiempo del debido para abrir la puerta a filtraciones, conflictos legales o auditorías incómodas.
Eso es precisamente lo que explica el interés que ha despertado esta alianza en Corea del Sur. En un ecosistema donde las empresas combinan sistemas internos, servicios en la nube, herramientas SaaS, plataformas colaborativas y entornos de desarrollo, la gestión del ciclo de vida de una cuenta ya no se resuelve con desactivar un solo usuario. La salida de una persona de la organización obliga a revisar una constelación de accesos. Si esa tarea sigue dependiendo de cadenas de correos, aprobaciones manuales y equipos que no siempre se hablan entre sí, los errores se acumulan.
La apuesta de RaonSecure, especializada en autenticación y gestión de identidad, junto a Upstage, vinculada al desarrollo de modelos de IA y automatización de procesos, se interpreta en Corea como una señal clara de hacia dónde se mueve el mercado: menos obsesión con la IA como espectáculo y más interés en la IA como engranaje operativo. En otras palabras, menos promesas de “la máquina que piensa por todos” y más soluciones para resolver el desorden cotidiano que genera riesgo real.
Por qué las cuentas de exempleados volvieron al centro del debate
En seguridad informática, las cuentas de antiguos trabajadores nunca dejaron de ser un tema relevante. Lo que ocurre ahora es que se han vuelto más difíciles de administrar y más sensibles para el negocio. Hace una década, en muchas empresas bastaba con desactivar el acceso al correo corporativo, retirar una credencial física y notificar a sistemas. Hoy el panorama es mucho más fragmentado. Un solo empleado puede tener permisos en mensajería interna, videoconferencia, gestores documentales, CRM, ERP, plataformas de firma, sistemas de compras, herramientas de análisis, nube pública, servidores de desarrollo y canales compartidos con terceros.
Ese cambio también se siente en América Latina y España. Cualquier empresa mediana que haya adoptado trabajo híbrido sabe que el cierre “real” de la salida laboral no termina cuando la persona entrega el gafete o deja de aparecer en la oficina. Sigue vivo un universo digital que, si no se desactiva con disciplina, puede convertirse en una zona gris. El problema no es solo que un exempleado conserve acceso: también importa que la organización luego no pueda explicar con claridad quién tenía permiso para qué, hasta cuándo y bajo qué justificación.
En Corea del Sur, donde las auditorías internas y la presión regulatoria son especialmente tomadas en serio en sectores como finanzas, telecomunicaciones, servicios públicos y grandes conglomerados, la discusión sobre cuentas residuales tiene una dimensión estratégica. No se trata únicamente de evitar una intrusión externa. Muchas compañías consideran todavía más delicado el riesgo de una mala trazabilidad interna: documentos consultados sin autorización, repositorios abiertos después de un cambio de puesto, accesos privilegiados sin revocación formal o historial incompleto de quién aprobó determinada excepción.
La relevancia de este debate crece además en un contexto de alta movilidad laboral. En el mercado coreano, como en otros polos tecnológicos, las transiciones entre empresas, filiales, contratistas y proyectos temporales son frecuentes. Eso complica el uso de reglas simples. No es lo mismo una baja definitiva que un traslado entre subsidiarias, una licencia prolongada, una conversión contractual o el fin de una asignación externa. Si el sistema trata todos esos eventos como si fueran iguales, puede bloquear de más o revocar de menos.
Por eso el anuncio de RaonSecure y Upstage llamó la atención. La industria entiende que la depuración de cuentas de salida es un terreno especialmente apto para una primera ola de automatización basada en IA: hay reglas relativamente claras, procesos repetitivos y una enorme necesidad de reducir omisiones. Pero también hay matices suficientes como para demostrar si la tecnología realmente interpreta políticas o solo ejecuta órdenes rígidas disfrazadas de inteligencia.
Qué significa realmente “agentic AI” en este contexto
El término “agentic AI” puede prestarse a malentendidos, sobre todo fuera del círculo técnico. No se refiere, al menos en este caso, a una IA completamente autónoma que actúa sin supervisión y toma decisiones sensibles por cuenta propia. En el debate surcoreano, la expresión apunta más bien a sistemas capaces de perseguir un objetivo definido —por ejemplo, completar el proceso de retiro de accesos de una persona que deja la compañía— coordinando múltiples pasos entre plataformas distintas.
La diferencia con una automatización tradicional es relevante. Una automatización convencional suele limitarse a una regla específica: “si Recursos Humanos marca al empleado como desvinculado, cerrar cuenta X”. Un enfoque agéntico, en cambio, busca interpretar el evento, revisar las dependencias asociadas, consultar otros sistemas conectados, identificar excepciones y ejecutar una secuencia de acciones con cierto contexto operativo. Dicho de forma simple: no solo hace una tarea, sino que encadena varias tareas orientadas a un resultado.
En el terreno de IAM, sigla inglesa para gestión de identidad y acceso, eso podría traducirse en un flujo como este: el sistema de Recursos Humanos confirma la salida; el agente revisa si la persona tenía correo corporativo, acceso a VPN, cuentas en mensajería, permisos sobre documentos, ingreso a repositorios de desarrollo, claves de administrador o acceso a plataformas financieras; luego distingue qué puede cerrarse de inmediato, qué debe quedar en modo lectura por un periodo de traspaso y qué información debe preservarse por razones legales o de cumplimiento.
La palabra clave no es “borrar”, sino “orquestar”. Y ahí se juega buena parte del valor del modelo. Una empresa puede desactivar una cuenta muy rápido y aun así cometer un error costoso si interrumpe un proceso crítico, bloquea antes de tiempo a un directivo, elimina permisos necesarios para el cierre de una auditoría o interfiere en una transferencia de responsabilidades. La velocidad importa, pero no puede ir por delante de la interpretación de políticas.
Para lectores de América Latina y España, vale la pena una comparación cotidiana. Muchas organizaciones de la región ya usan automatizaciones básicas en recursos humanos o finanzas, como aprobaciones de vacaciones, validación de facturas o avisos de firma. Lo que plantea este tipo de IA es un salto desde el “disparador y acción” hacia algo más parecido a un coordinador digital que revisa el mapa completo antes de mover piezas. Eso no elimina la supervisión humana, pero sí reduce el trabajo repetitivo que hoy consume tiempo de equipos de seguridad, soporte y cumplimiento.
En Corea del Sur, donde el mercado tecnológico suele adoptar rápido nuevos conceptos, el matiz es importante porque nadie quiere vender humo. En seguridad, una mala decisión automatizada puede causar una caída de servicio o un problema interno inmediato. Por eso, al menos en la etapa inicial, lo más probable es que estos modelos funcionen con límites estrictos, reglas corporativas muy definidas y, en los casos sensibles, aprobación humana obligatoria.
Lo que las empresas esperan ganar: menos riesgo, mejor auditoría y más orden
Aunque la narrativa comercial de la IA suele centrarse en ahorro de costos, en este caso las prioridades parecen otras. Para muchas empresas coreanas, el beneficio principal de automatizar la revocación de accesos no está en recortar personal, sino en elevar la precisión operativa. Es un matiz relevante. El problema no suele ser que el equipo de seguridad no sepa lo que debe hacer, sino que maneja demasiadas plataformas, demasiadas excepciones y demasiadas solicitudes simultáneas como para garantizar consistencia absoluta solo con trabajo manual.
El primer efecto esperado es la reducción del riesgo. Una cuenta residual puede convertirse en un vector de acceso no autorizado desde afuera, pero también en un problema interno difícil de explicar después. Si una persona que ya dejó la empresa conserva permisos sobre documentos sensibles o sistemas clave, la organización queda expuesta no solo a un eventual abuso, sino a una pérdida de control sobre su propio perímetro digital. En la era del trabajo remoto e híbrido, el viejo cierre físico de oficina dejó de ser un equivalente del cierre digital.
El segundo beneficio tiene que ver con la auditoría. Este punto es menos glamoroso, pero extremadamente importante en empresas listadas en bolsa, entidades financieras, administraciones públicas y grandes corporaciones. Poder demostrar quién autorizó un acceso, cuándo se concedió, en qué momento se revisó y por qué vía fue revocado ya no es un lujo documental: es parte del estándar de cumplimiento. Un sistema de IA que registre cada paso, clasifique excepciones y deje una bitácora clara puede aliviar la carga tanto del área de seguridad como de control interno y asuntos legales.
El tercero es la productividad, entendida no como velocidad ciega, sino como mejor distribución del tiempo especializado. En muchas compañías, los equipos de ciberseguridad están desbordados por el aumento de cuentas, registros, tickets, plataformas y revisiones. Si una parte de las tareas rutinarias —como verificar accesos de salida— se automatiza con suficiente fiabilidad, los especialistas pueden concentrarse en frentes más complejos: análisis de comportamiento anómalo, gestión de cuentas privilegiadas, control de proveedores, respuesta a incidentes o endurecimiento de arquitecturas en la nube.
Esta lógica también resuena fuera de Corea. En varios países latinoamericanos, desde México hasta Chile, pasando por Colombia, Perú o Argentina, las empresas han acelerado su digitalización sin ampliar al mismo ritmo los equipos de seguridad. El resultado es familiar: más herramientas, más exposición y el mismo puñado de personas tratando de sostenerlo todo. En ese contexto, una solución que automatice procesos claros y repetibles puede ser más valiosa que otra que prometa detectar amenazas con una precisión teórica espectacular, pero luego genere alertas imposibles de atender.
En otras palabras, la promesa de esta alianza no es una IA “brillante” en el sentido cinematográfico, sino una IA útil. Y en seguridad empresarial, la utilidad operativa suele pesar más que la espectacularidad tecnológica.
El verdadero desafío: las excepciones, no la eliminación automática
Si algo deja claro la discusión surcoreana es que el éxito de este modelo no dependerá tanto de la capacidad de “borrar cuentas”, sino de gestionar excepciones sin convertir la automatización en una máquina de errores. En los titulares, la idea de eliminar automáticamente accesos de exempleados parece simple. En la práctica, la salida de una persona de la empresa rara vez es un evento tan limpio.
Puede existir un periodo de traspaso durante el cual conviene mantener ciertos accesos en modo de solo lectura. Puede haber información bajo conservación legal, proyectos a punto de cerrar, obligaciones de auditoría, cuentas vinculadas a filiales o perfiles compartidos con proveedores externos. También están los casos híbridos: personal tercerizado que rota entre clientes, empleados reasignados temporalmente, directivos con múltiples roles o desarrolladores con privilegios sensibles que no deben cortarse sin validar dependencias técnicas.
Ese es el gran punto que subrayan los analistas del sector en Corea del Sur: la sofisticación no está en ejecutar la orden final, sino en distinguir correctamente el tipo de evento. No es lo mismo una renuncia definitiva que una licencia, una transferencia interna, un cambio de contrato o la finalización de una consultoría. Si la IA no entiende esas diferencias —o si las reglas de negocio están mal definidas— la automatización no corrige el caos: lo acelera.
Por eso, el componente organizacional es tan importante como el tecnológico. Un sistema así no puede diseñarse solo desde el área de seguridad. Requiere coordinación con Recursos Humanos, TI, legal, auditoría, operaciones e incluso con las áreas usuarias que conocen procesos concretos de negocio. En muchas compañías latinoamericanas esta es, de hecho, la parte más difícil: no falta la herramienta, falta el consenso sobre qué debe pasar exactamente cuando una persona entra, cambia de rol o sale.
La otra gran cuestión es la confianza. En seguridad, un falso positivo puede provocar fricción inmediata dentro de la empresa. Si un ejecutivo queda bloqueado por error o si un equipo técnico pierde acceso a un entorno crítico antes de tiempo, la resistencia interna puede ser feroz. De ahí que el modelo más probable en una fase temprana sea uno mixto: la IA sugiere, prepara la secuencia, detecta inconsistencias, clasifica excepciones y deja lista la ejecución; el administrador humano revisa y aprueba en los casos de mayor impacto.
Lejos de ser una limitación, ese enfoque híbrido puede ser precisamente la clave para que la tecnología se adopte de verdad. Las empresas no buscan automatización a cualquier precio. Buscan reducir la carga manual sin diluir responsabilidades. En entornos regulados, la pregunta no es solo si el proceso fue rápido, sino si puede explicarse y reconstruirse después.
Lo que este movimiento dice sobre el mercado coreano de ciberseguridad
La alianza entre RaonSecure y Upstage también se lee como un síntoma de un cambio más amplio en el mercado surcoreano. Durante años, buena parte de la conversación sobre IA en ciberseguridad se concentró en detección de amenazas, análisis de malware, monitoreo de tráfico o revisión de logs. Son áreas esenciales, pero también campos donde muchas organizaciones ya padecen un problema bien conocido: reciben más alertas de las que pueden gestionar y llegan tarde a la remediación.
Frente a esa fatiga operativa, los compradores corporativos empiezan a mirar con interés otro tipo de soluciones: las que actúan sobre procesos internos concretos y medibles. La gestión del ciclo de vida de identidades encaja perfectamente en esa lógica, porque tiene impacto directo en cumplimiento, riesgo y eficiencia. Además, es una función estrechamente relacionada con el paradigma de “zero trust” o confianza cero, que en términos sencillos parte de una idea básica: nadie debería mantener más acceso del necesario ni por más tiempo del estrictamente justificado.
En ese marco, la revocación rápida y precisa de permisos cuando cambia la situación de una persona no es un detalle secundario. Es parte del corazón del modelo. No basta con autenticar bien al inicio de la sesión; hay que actualizar privilegios cuando cambian el cargo, el vínculo contractual o la permanencia en la empresa. Si Corea del Sur empuja soluciones locales que integren IA con IAM, está respondiendo a esa necesidad desde una lógica operativa, no solo de marketing.
Hay además un componente muy propio del ecosistema coreano: la convivencia entre soluciones globales y sistemas corporativos locales. Muchas empresas de ese país, como ocurre también en Japón o en grandes grupos empresariales de otras regiones, utilizan plataformas internas, groupware, portales de trabajo y flujos de aprobación altamente personalizados. En Corea se usa con frecuencia el término “groupware” para referirse al paquete de herramientas corporativas de colaboración, gestión documental, agenda y procesos internos que articulan la vida diaria en muchas oficinas. Integrar esos entornos con soluciones internacionales de identidad no siempre es sencillo.
Ahí radica otra razón por la que esta alianza llamó la atención. Más que una competencia simbólica entre “tecnología nacional” y “tecnología extranjera”, lo que parece estar en juego es la capacidad de adaptarse mejor a los flujos reales de las empresas coreanas. Si una plataforma entiende con mayor naturalidad las reglas internas, las aprobaciones locales, los portales hechos a medida y las particularidades regulatorias, puede ganar terreno frente a alternativas más robustas sobre el papel, pero menos flexibles en la implementación cotidiana.
Para el público hispanohablante, el paralelo es claro. En América Latina también abundan las organizaciones con capas de sistemas heredados, desarrollos propios, módulos adaptados y procesos semiartesanales. La lección coreana es pertinente: la IA aplicada a seguridad no solo debe ser potente; debe encajar con la realidad operativa de cada empresa.
Una tendencia que probablemente veremos expandirse más allá de Corea
Todo indica que el anuncio de RaonSecure y Upstage va más allá de un movimiento puntual entre dos compañías. Refleja una dirección de mercado que probablemente se extenderá a otros países: el paso desde la IA enfocada exclusivamente en detectar amenazas hacia la IA incorporada en la administración cotidiana del riesgo digital. Esa transición puede parecer menos vistosa, pero tal vez resulte más transformadora para la empresa media.
En el mundo corporativo de habla hispana hay una enseñanza importante en esta historia. A menudo, cuando se habla de ciberseguridad, la atención pública se concentra en el gran ataque, la fuga masiva de datos o el ransomware que paraliza operaciones. Sin embargo, muchos de los problemas más costosos nacen en zonas grises de gestión: permisos mal asignados, accesos heredados, cuentas huérfanas, excepciones no documentadas. Son fallas que no siempre ocupan portadas, pero que alimentan incidentes, sanciones y crisis reputacionales.
La apuesta surcoreana pone el foco justamente ahí. Si la IA consigue resolver con fiabilidad una tarea tan delicada como la revocación de accesos de salida, el siguiente paso lógico será ampliar esa capacidad a otros eventos del ciclo de vida de identidad: ascensos, cambios de área, licencias, incorporación de terceros, proyectos temporales o revisión periódica de privilegios. El horizonte no es solo “cerrar la puerta al que se fue”, sino mantener el mapa de accesos alineado con la realidad del negocio en tiempo casi real.
Eso sí, conviene mantener distancia frente al entusiasmo desmedido. La IA no sustituye el diseño de políticas, ni corrige por arte de magia estructuras organizacionales descoordinadas. Si la empresa no tiene reglas claras, catálogos de acceso razonables y procesos consistentes entre Recursos Humanos, TI, seguridad y legal, ningún agente inteligente podrá inventar orden donde no existe. En ese sentido, esta historia también funciona como recordatorio de algo elemental: la tecnología amplifica tanto las buenas decisiones como las malas.
Con todo, el movimiento de Corea del Sur merece atención. No porque anuncie una revolución instantánea, sino porque señala un cambio de prioridades. La seguridad basada en IA ya no se presenta solo como una lupa para detectar anomalías, sino como una herramienta para ejecutar mejor el trabajo diario que mantiene a raya el riesgo. Para muchas empresas, ese enfoque —menos espectacular, más práctico— puede ser justamente el que haga la diferencia.
Y quizá ahí resida la verdadera noticia. En tiempos en que la conversación global sobre inteligencia artificial se mueve entre la fascinación y el temor, el mercado coreano está diciendo algo bastante concreto: en ciberseguridad, el futuro no necesariamente será la máquina que decide sola, sino la que ayuda a que las organizaciones hagan a tiempo lo que ya sabían que debían hacer.
0 Comentarios