En septiembre de 2025, Anthropic reveló que un actor patrocinado por un Estado empleó un agente de IA para ejecutar una campaña de ciberespionaje autónoma contra una treintena de objetivos internacionales. Según la compañía, el agente automatizado se encargó de la mayor parte de las tareas tácticas: desde reconocimiento hasta la generación de código de explotación y movimientos laterales a velocidad de máquina. Ese episodio pone encima de la mesa una realidad inquietante: la automatización no solo acelera los ataques, sino que también puede cambiar radicalmente su naturaleza. Puede leerse el comunicado de Anthropic aquí: Anthropic — Disrupting AI espionage.
La mayoría de defensas actuales siguen ancladas a modelos mentales concebidos para atacantes humanos. El marco del cyber kill chain desarrollado por Lockheed Martin en 2011 ayudó a organizar la respuesta y la detección al describir cómo un intruso progresa desde el acceso inicial hasta su objetivo final. Ese planteamiento ha sido útil durante más de una década porque cada fase del ataque ofrece oportunidades de detección y contención. Ver la explicación original del kill chain en Lockheed Martin: Lockheed Martin — Cyber Kill Chain.
Pero los agentes de IA no se comportan como usuarios humanos ni como herramientas puntuales que deben abrirse paso por fases. Estas entidades programadas actúan de forma continua, orquestan flujos entre múltiples aplicaciones y, en muchos despliegues, se les confían privilegios amplios para automatizar procesos. Si un atacante logra comprometer un agente con permisos ya concedidos dentro del entorno de la organización, prácticamente hereda el acceso y la "autoridad" que ese agente posee, y con ello salta por encima del kill chain tradicional.
La magnitud del problema queda clara cuando imaginamos un agente que ya tiene visibilidad sobre correos, documentos y conversaciones internas: su historial de actividad es, de hecho, un mapa detallado de dónde están los datos valiosos. Un atacante que controla ese agente obtiene tanto la guía como las llaves; puede mover información entre sistemas bajo la apariencia de operaciones legítimas y en horarios esperados, reduciendo drásticamente las señales de anomalía que los sistemas de detección buscan.
Este vector de riesgo no es teórico. Incidentes como la crisis conocida como OpenClaw han mostrado en la práctica cómo marketplaces de "skills" maliciosos, vulnerabilidades de ejecución remota y miles de instancias expuestas pueden combinarse para ofrecer una vía de acceso extremadamente eficiente para actores maliciosos. El análisis del caso OpenClaw publicado por la propia empresa que lo reportó ofrece detalles sobre la escala y los mecanismos: OpenClaw — Análisis del evento.
La consecuencia directa de esta transformación es una brecha de detección. Muchas herramientas de seguridad están optimizadas para identificar comportamientos que se desvían del patrón humano normal: accesos inusuales, programas ejecutados desde ubicaciones atípicas, escaladas de privilegio que no se corresponden con el contexto del usuario. Pero cuando la actividad maliciosa se canaliza a través de un agente que, por diseño, accede a las mismas aplicaciones y mueve los mismos tipos de datos, las señales que habitualmente dispararían alarmas se diluyen en el ruido de la automatización.
Frente a este escenario, la primera prioridad debe ser recuperar visibilidad sobre las entidades automatizadas que interactúan con la infraestructura corporativa. No se trata solo de detectar conexiones a APIs o integraciones puntuales: es necesario construir un inventario continuo de agentes, sus orígenes, sus permisos y los caminos que trazan a través de las aplicaciones SaaS. Sin ese mapa, los equipos de seguridad están esencialmente ciegos ante la posibilidad de que un proceso legítimo haya sido secuestrado.
Controlar el riesgo implica también replantear la gestión de privilegios. Las prácticas de "least privilege" y gobernanza de identidades deben aplicarse con la misma rigurosidad a cuentas de servicio, aplicaciones automatizadas y agentes de IA que a personas. Limitar permisos, evaluar combinaciones tóxicas entre integraciones y segmentar accesos reduce la superficie que un agente comprometido puede explotar. Para marcos más amplios sobre gestión de riesgos en IA y medidas de gobernanza, resulta útil revisar el trabajo del NIST sobre el AI Risk Management Framework: NIST — AI RMF.
La detección también debe evolucionar: hace falta un enfoque centrado en la identidad y el comportamiento de las automatizaciones, que entienda qué es "normal" para un agente concreto y sea capaz de identificar desviaciones sutiles en sus patrones de acceso, frecuencia y destinos de datos. Herramientas diseñadas para perfilar identidades humanas pueden ampliarse para incorporar modelos de comportamiento específicos de agentes, correlando telemetría entre SaaS, IAM y mensajería interna para encontrar discrepancias que antes pasaban desapercibidas. En el ecosistema de seguridad es relevante contrastar estas capacidades con marcos como MITRE ATT&CK para entender tácticas y técnicas que pueden adaptarse a agentes automatizados: MITRE ATT&CK.
Además de monitorizar y limitar, es imprescindible auditar el software adicional que se conecta a los flujos críticos. Muchas organizaciones descubren tarde que herramientas de terceros o integraciones no sancionadas ("shadow AI") tienen acceso a información sensible. Un inventario continuo y verificable de integraciones reduce sorpresas y permite priorizar remediaciones según el riesgo real que cada conector aporta.
Esto no es solo un problema técnico, sino organizativo. La adopción de IA en las empresas suele venir impulsada por productividad y automatización de procesos, con decisiones de integración que no siempre pasan por controles centralizados de seguridad. Por tanto, la respuesta exige coordinación entre equipos de producto, IT, seguridad y cumplimiento para que las políticas de acceso y los mecanismos de auditoría se incorporen desde la fase de despliegue de cualquier agente.
En el fondo, la lección es clara: la presencia de agentes de IA en un entorno ya no es una cuestión solo de innovación, es un vector de riesgo que cambia las reglas del juego. Si la defensa sigue pensando únicamente en intrusos humanos que deben abrirse paso paso a paso, llegará tarde —o no llegará— cuando alguien controle un agente con permiso legítimo. La ventaja, en cambio, es que muchas de las medidas que reducen este riesgo forman parte de buenas prácticas ya conocidas: inventarios precisos, gobernanza de accesos, detección basada en identidad y segmentación de permisos, aplicadas con la ambición de cubrir también a las automatizaciones.
Para equipos que quieran empezar a cerrar esta brecha, hay soluciones emergentes orientadas a descubrir agentes, mapear su alcance y detectar anomalías específicas de automatizaciones dentro del ecosistema SaaS. Estas herramientas combinan descubrimiento de integraciones, visualización de "blast radius" y análisis de postura para priorizar intervenciones donde más importan. Si desea explorar cómo plantearlo en su organización, puede consultar recursos y demos ofrecidas por proveedores en la materia, por ejemplo: Reco — SaaS-to-SaaS visualization, Reco — Identity and Access Governance y Reco — Identity Threat Detection and Response.
La aparición de agentes de IA en las operaciones diarias no es reversible, y plantea tanto oportunidades como riesgos. La diferencia entre sufrir una intrusión encubierta y detectarla a tiempo dependerá, en gran medida, de cuánto invierta una organización en visibilidad y control de esas mismas automatizaciones. No se trata de frenar la adopción de IA, sino de integrarla con seguridad: controlar quién es el "actor" real detrás de cada acción automatizada y asegurarse de que sus permisos, sus rutas y sus comportamientos estén sujetos a la misma escrutinio que los de cualquier cuenta humana.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
Mini Shai-Hulud: el ataque que convirtió las dependencias en vectores de intrusión masiva
Resumen del incidente: GitHub investiga un acceso no autorizado a repositorios internos después de que el actor conocido como TeamPCP puso a la venta en un foro delictivo el sup...
Alerta de seguridad: CVE-2026-45829 expone ChromaDB a ejecución remota de código sin autenticación
Un fallo crítico en la API Python de ChromaDB —la popular base de vectores usada para recuperación durante inferencia de LLM— permite a atacantes no autenticados ejecutar código...