Cada semana hablo con equipos de gobernanza, riesgo y cumplimiento (GRC) de grandes empresas que saben, con detalle, qué puede hacer la inteligencia artificial agentiva por su trabajo. Han leído, han visto demostraciones, y distinguen claramente entre una IA que acelera una tarea y un agente que la ejecuta por completo. Sin embargo, a pesar de disponer del presupuesto y del interés técnico, hay una resistencia persistente que no siempre se puede explicar con argumentos racionales.
Cuando la conversación se aparta de la tecnología, emerge una preocupación distinta: no están seguros de quiénes serán cuando las operaciones ya no dependan de ellos. No es solo miedo a perder el empleo; es una inquietud identitaria. Durante años muchos profesionales de GRC han construido su prestigio y su día a día sobre la excelencia operativa —cómo recopilar evidencias, conducir ciclos de auditoría y mantener programas complejos funcionando con recursos limitados— y ver esas tareas automatizadas por agentes provoca una sensación de pérdida.
Esta tensión tiene una lectura más esperanzadora. Si se analiza la historia del área, GRC no fue concebida originalmente como una función operativa permanente, sino como un mecanismo para ayudar a la organización a entender y gestionar riesgos. La recolección de pruebas, las hojas de seguimiento y los informes fueron siempre medios para un fin. Lo que ha ocurrido es que las herramientas no escalaron al ritmo de los programas, y la carga operativa devoró la capacidad de pensar estratégicamente sobre riesgos.
Los llamados agentes agentivos no se limitan a hacer más rápido lo que ya se hacía; cambian la naturaleza del trabajo. Pueden extraer evidencias continuamente de sistemas integrados, monitorizar controles en tiempo real y accionar procesos de remediación sin intervención humana constante. Pero hay un punto clave: los agentes no se diseñan solos. El criterio que define qué debe recogerse, qué constituye una desviación, cuándo escalar, o qué evidencia convencerá a un auditor viene de la combinación de contexto de datos y juicio humano.
En el panorama de políticas y buenas prácticas, ese juicio humano es imprescindible. Marcos como el AI Risk Management Framework del NIST subrayan la necesidad de controles, explicabilidad y de responsabilidades claras cuando se despliegan sistemas autónomos. La tecnología puede ejecutar, pero la definición del riesgo aceptable, de las métricas y de las excepciones recae sobre personas que comprendan el negocio y sus costes.
La adopción temprana no será una carrera de quién tiene mejores modelos de IA, sino de quién rediseña la función GRC para aprovechar el tiempo liberado por la automatización. Cuando las tareas manuales desaparecen, emerge otra actividad que históricamente quedó relegada: pensar y decidir. Los equipos que ganen serán los que usen esa libertad para elevar el nivel de su trabajo —de administrar un programa a liderarlo.
Si se mira desde el punto de vista profesional, el cambio es una oportunidad para volver a las razones por las que muchos se incorporaron a GRC: preocuparse por si la organización está realmente protegida y no solo aparentando estarlo. Aquellos que ya han transitado el cambio lo describen como algo más parecido a recibir autorización para hacer lo que siempre supieron hacer. Su tarea ya no es comprobar y pegar parches, sino definir qué controles aportan valor, cuándo una alerta es relevante y cómo traducir el contexto del negocio en lógica que pueda ejecutar un agente.
Hay que entender también que la transformación técnica acompaña a una transformación cultural y organizativa. La infraestructura de datos y la ingeniería de controles —lo que algunos etiquetan como "GRC como código"— permiten que los agentes trabajen de forma fiable: controles declarados en repositorios versionados, pruebas automatizadas y despliegues a través de pipelines. Ese enfoque técnico requiere inversión y procesos distintos, pero devuelve a los equipos la capacidad de concentrarse en la gobernanza y la estrategia. Si quieres profundizar en este enfoque existe documentación práctica que explica cómo empezar a declarar controles como código, por ejemplo en guías especializadas como las que ofrecen plataformas que trabajan en esta línea (GRC Engineering 101).
No es una transición automática ni indolora. Redefinir responsabilidades implica revisar descripciones de puesto, caminos de desarrollo profesional y métricas de desempeño. También exige establecer guardrails: los agentes necesitan límites, supervisión y auditoría continuas. Recursos y marcos de control externos ayudan a sostener este cambio: además del NIST AI RMF, los estándares internacionales sobre gestión de la seguridad de la información (por ejemplo ISO/IEC 27001) siguen siendo relevantes para definir cómo se organiza la evidencia y se protegen los procesos automatizados.
También conviene recordar que la automatización masiva modifica la naturaleza de las habilidades requeridas. Informes de organismos y consultoras sobre el futuro del trabajo muestran que la automatización no elimina la necesidad de talento humano, sino que desplaza la demanda hacia capacidades de juicio, gestión del riesgo y comunicación con el negocio (McKinsey). Para GRC esto se traduce en profesionales que sepan traducir escenarios de negocio a reglas de control, que definan apetito de riesgo y prioridades y que supervisen la salud de los procesos automatizados.
En la práctica, el camino para una adopción saludable combina varias medidas. Hay que diseñar agentes con transparencia y trazabilidad, codificar controles y pruebas, articular claramente quién decide en casos complejos y definir métricas que midan impacto en lugar de actividad. Al mismo tiempo, la organización debe facilitar la reinvención profesional: formación en pensamiento de riesgo, habilidades técnicas básicas para colaborar con equipos de ingeniería y espacios para que el conocimiento experto configure la lógica de los agentes.
La barrera psicológica que frena a muchos equipos es comprensible: delegar la ejecución se siente como renunciar a una parte de la propia identidad. Pero si se acompaña con una revalorización de lo que los profesionales de GRC aportan —y con estructuras que canalicen ese valor hacia decisiones reales— la automatización deja de ser amenaza y se convierte en catalizador. La transformación, al fin, es menos una pérdida que una vuelta a la esencia del rol: pensar el riesgo, no solo gestionarlo.
Para quienes quieran explorar ejemplos concretos de agentic GRC y cómo se articula técnicamente, hay iniciativas comerciales y repositorios técnicos que muestran implementaciones encaminadas a integrar agentes con una base de datos robusta y reglas configurables. El debate público y académico sobre agentes autónomos también avanza con estudios y demostraciones que analizan límites, aplicación práctica y riesgos, como trabajos de investigación sobre agentes generativos (Generative Agents, Stanford/ArXiv) y las plataformas que han popularizado modelos GPT configurables (OpenAI: GPTs).
Al final, la pregunta no es si la tecnología puede sustituir procesos —porque en muchos casos ya puede—, sino cómo las organizaciones reconfiguran roles, responsabilidades y marcos de gobernanza para que el valor humano no solo sobreviva, sino que sea amplificado. Quienes lideren esa reconversión podrán transformar GRC de una función operativa sobrecargada en un mando estratégico que realmente gestione el riesgo del siglo XXI.
Si quieres profundizar en ejemplos prácticos y recursos para dar los primeros pasos en agentic GRC, una puerta de entrada es revisar iniciativas que combinan ingeniería de controles y agentes automatizados, y estudiar marcos de riesgo que establezcan cómo supervisar y responsabilizar estas nuevas capacidades. Más información y guías prácticas están disponibles en recursos especializados como Anecdotes y en los documentos y marcos públicos citados arriba.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...