El lado oscuro de los agentes de IA: Poder sin control

La adopción de agentes de IA ha avanzado más rápido que nuestra capacidad para gobernarlos.

Un estudio de SailPoint muestra que el 82 % de las organizaciones ya tienen agentes de IA en producción, pero solo el 44 % tienen políticas documentadas que definen sus permisos y límites operativos. Los resultados son visibles in situ: el 80 % de los despliegues registran acciones no intencionadas, y el 23 % exponen credenciales en registros o mensajes de error. No se trata de incidentes aislados, sino de síntomas de un modelo operativo que no ha seguido el ritmo de la tecnología.

La diferencia estructural con los chatbots tradicionales es sencilla: los agentes no se limitan a responder, sino que actúan. Realizan llamadas a API autenticadas, utilizan cuentas de servicio y tokens con amplios privilegios y eluden los controles diseñados para humanos, como la autenticación multifactor (MFA), la DLP para correo electrónico o aprobaciones manuales. Un agente de atención al cliente puede leer y modificar datos sin activar ningún mecanismo de supervisión; un agente de DevOps puede gestionar canales de CI/CD con poca o ninguna supervisión directa.

Este nuevo perímetro abre vectores de ataque sin ninguna interacción humana. En Black Hat USA 2025, Zenity demostró cadenas de exploits sin clics contra agentes empresariales. En el caso de Microsoft Copilot Studio, un único archivo trampa procedente de una fuente integrada —como SharePoint o una invitación por correo electrónico— bastaba para inyectar instrucciones ocultas. Cuando el agente procesaba ese contenido, interpretaba el texto como comandos, se saltaba las barreras de los avisos y, usando credenciales válidas, enumeraba conectores y extraía registros de CRM, todo ello sin un solo clic.

Abordar este riesgo no significa ralentizar la adopción, sino que significa tratar a los agentes como identidades privilegiadas, con una gestión completa del ciclo de vida: autenticación con rotación periódica, un inventario mantenido de agentes con un propietario definido, un propósito claro y una fecha de desactivación prevista, además de procedimientos de break-glass para revocar rápidamente las credenciales cuando algo va mal.

La observabilidad también debe evolucionar. No basta con registrar el resultado final, sino que debemos capturar la cadena de decisión: qué herramientas se invocaron, con qué parámetros, qué valores se devolvieron y cómo condujeron a la siguiente acción. Con esta visibilidad, las organizaciones pueden establecer una línea de base de comportamiento para cada agente; a partir de ahí, la elaboración de perfiles de comportamiento permite la detección temprana de desviaciones, antes de que se conviertan en incidentes.

Los controles más eficaces se encuentran fuera del modelo: limitación de la velocidad para evitar la extracción masiva de datos, segmentación de la red para reducir el movimiento lateral y tokens de aprobación para operaciones sensibles como actualizaciones masivas, pagos o acciones destructivas. Siempre que sea posible, hay que aplicar barreras de protección en la capa de ejecución —API, colas, pasarelas—, y no solo en el nivel de solicitud.

El modelo operativo también necesita ajustes: revisiones de riesgos previas a la producción, pruebas de penetración específicas para cada agente (incluyendo escenarios de inyección indirecta) y una segregación clara de entornos y métricas de gobernanza que realmente importen, como el tiempo medio hasta la revocación, el porcentaje de agentes con un propietario identificado, la antigüedad media de los secretos y la cobertura del registro de decisiones. Sin estos controles básicos, la automatización amplifica los errores y multiplica el impacto.

La presión competitiva hará que los agentes sean inevitables y, cuando se configuran con disciplina, las ganancias son reales. Gartner calcula que el 40 % de estos proyectos fracasarán de aquí a 2027 debido a los costes, la falta de claridad del valor empresarial y la debilidad de los controles de riesgo. El problema no es la tecnología, sino su gobernanza, tratar a los agentes como software altamente privilegiado que opera con credenciales de producción. Con reglas claras, ofrecen velocidad sin crear vulnerabilidades; sin disciplina, dan lugar a la shadow AI, más peligrosa que cualquier herramienta no autorizada, porque opera legítimamente dentro de tus propios sistemas.

João Sequeira, director de Secure e-Solutions de GMV en Portugal

*Este artículo se ha publicado primero en IT Security.