Estamos en la antesala de una transformación que no es una simple mejora de asistentes conversacionales: los llamados agentes de IA son sistemas autónomos que planifican, deciden y ejecutan tareas por su cuenta. En la práctica, eso significa que pueden escribir código, mover datos, ejecutar transacciones, aprovisionar infraestructura y atender clientes sin intervención humana constante, y lo harán con la velocidad y la continuidad que solo las máquinas pueden ofrecer. Este salto ofrece ventajas enormes para las empresas, pero también plantea riesgos nuevos y de gran alcance si no se aborda la seguridad desde la raíz.
Hasta ahora muchas organizaciones han confiado en controles tipo “guardianes”: filtros de prompts, monitorización de salidas y reglas de comportamiento. Es una aproximación comprensible, porque intenta minimizar daños sin bloquear la innovación. Sin embargo, estos mecanismos actúan demasiado tarde: una vez que un agente tiene credenciales y conectividad, una sola credencial comprometida o un error en su lógica puede provocar filtraciones masivas, acciones destructivas o fallos en cascada entre sistemas interconectados. La naturaleza no determinista y adaptable de estos agentes hace que eludir reglas sea una cuestión de cuándo, no de si.
La respuesta no está en reforzar los guardarraíles, sino en replantear el plano de control centrando la seguridad en la identidad de los agentes. Tratar a cada agente como una identidad digital con su propio ciclo de vida, permisos y responsables transforma la seguridad de reactiva a preventiva. Sobre esta idea existen marcos y recomendaciones que cobran sentido en este contexto: el NIST ha comenzado a perfilar marcos de gestión de riesgos para IA que insisten en la gobernanza y la trazabilidad, y los principios de Zero Trust aplicados al mundo de las máquinas refuerzan que la confianza no debe ser implícita (ver más en NIST AI Risk Management y NIST SP 800-207 sobre Zero Trust).
En la práctica, esto exige que cada agente deje de ser “un experimento” y pase a ser una entidad gestionada: debe existir una persona u equipo responsables, mecanismos de autenticación robustos, permisos explícitos y un registro continuo de su actividad. La gestión de identidades y accesos diseñada para usuarios humanos no basta: los agentes crean y rotan credenciales a velocidad máquina y tienden a multiplicar identidades (tokens API, cuentas de servicio, roles cloud, concesiones OAuth). La bibliografía y las guías sobre identidad digital muestran que buenas prácticas de autenticación y ciclo de vida —como las que recoge el NIST en sus recomendaciones sobre identidad— son fundamentales para no perder el control (NIST SP 800-63: Directrices de identidad digital).
Otro problema frecuente es el denominado “shadow AI”, una versión moderna del shadow IT: equipos o desarrolladores ponen en marcha agentes que hablan con sistemas críticos y nadie en seguridad lo ve. Para evitar que identidades no gestionadas queden automáticamente confiadas por tener credenciales válidas, es imprescindible descubrir continuamente las identidades no humanas y mapear qué agentes acceden a qué recursos. Sin visibilidad no hay posibilidad de aplicar políticas coherentes; la seguridad colapsa si lo que actúa de forma autónoma permanece invisible.
Pero no basta con definir permisos estáticos: los agentes de IA operan por objetivos, y dos agentes con los mismos privilegios pueden comportarse de forma muy distinta según su propósito. Por eso la seguridad debe incorporar la noción de intención: qué intenta lograr un agente, qué acciones necesita para cumplir ese objetivo y qué acciones quedan fuera de su alcance legítimo. En la práctica esto implica diseñar permisos que reflejen el propósito operativo del agente y no simplemente heredar las credenciales de un humano privilegiado. En términos simples, un agente encargado de resumir tickets de soporte no debería disponer de permisos para exportar la base de datos completa de clientes, y un agente de optimización de infraestructura no debería poder modificar políticas de IAM sin controles específicos.
También hay que considerar el ciclo de vida completo: los incidentes raramente ocurren en el instante de creación; suceden cuando el acceso se acumula, la propiedad se diluye, las credenciales persisten y las funciones cambian sin revisiones. Con agentes de IA ese ciclo se acelera y los estados intermedios se producen en horas o días en vez de meses. Por eso es necesario aplicar gobernanza continua: revisar propiedad, auditar permisos, rotar secretos y tener criterios claros para retirar agentes o revisar su alineamiento con el propósito original. Sin estos procesos, el riesgo se compone en silencio hasta que es demasiado tarde.
Reformular la seguridad en torno a identidades de agente no significa frenar la innovación; al contrario, permite desplegar agentes a escala manteniendo control y velocidad. Las empresas que integren la gestión de identidades de agentes, la visibilidad continua, el control de acceso basado en intención y la gobernanza de ciclo de vida se colocarán en ventaja: podrán aprovechar el poder de la autonomía sin exponerse a pérdidas reputacionales, financieras o regulatorias. Para quien busque marcos y prácticas complementarias, hay recursos útiles que abordan la seguridad de APIs, la protección de identidades y el diseño seguro de sistemas conectados, por ejemplo OWASP en relación con seguridad de APIs (OWASP API Security) y guías de buenas prácticas sobre gestión de identidades y accesos en la nube que publican organizaciones como el Center for Internet Security (CIS Controls).
En definitiva, la lección central es que la autonomía de las máquinas exige un cambio de paradigma: pasar de mitigar comportamientos no deseados a controlar quiénes son y qué pueden hacer esos actores automatizados. Implementar identidad y gobernanza desde el diseño no es un lujo, es la condición para que la ola de agentes de IA impulse la transformación del negocio sin convertirla en una fuente de riesgo incontrolable.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
Mini Shai-Hulud: el ataque que convirtió las dependencias en vectores de intrusión masiva
Resumen del incidente: GitHub investiga un acceso no autorizado a repositorios internos después de que el actor conocido como TeamPCP puso a la venta en un foro delictivo el sup...
Alerta de seguridad: CVE-2026-45829 expone ChromaDB a ejecución remota de código sin autenticación
Un fallo crítico en la API Python de ChromaDB —la popular base de vectores usada para recuperación durante inferencia de LLM— permite a atacantes no autenticados ejecutar código...