Los grandes modelos de lenguaje no se conforman ya con responder preguntas en una ventana de chat: están siendo integrados como piezas activas en flujos de trabajo reales. El protocolo Model Context Protocol (MCP) es uno de los caminos que está empujando a los LLM desde la conversación a la acción práctica, ofreciendo un mecanismo para que estos modelos accedan de forma estructurada a aplicaciones, APIs y datos y así puedan recuperar información, ejecutar tareas y automatizar procesos empresariales de extremo a extremo. Ya vemos ejemplos en producción en asistentes horizontales y agentes verticales, desde iniciativas como Microsoft Copilot hasta funciones avanzadas en plataformas de soporte y CRM como ServiceNow, Zendesk AI o capacidades de automatización en Salesforce.
Que estos agentes ya sean una realidad masiva no es una suposición: encuestas recientes muestran una adopción acelerada. Por ejemplo, la encuesta CISO Village 2025 de Team8 indica que una mayoría de empresas ya ejecuta agentes de IA en producción y muchas más planean desplegarlos en el corto plazo, con buena parte de los desarrollos realizándose internamente. Esa velocidad choca con la madurez de los controles de gobernanza: como apuntan los analistas, la adopción supera a la capacidad de gobernarlos.
Un punto crítico que emerge cuando los agentes empiezan a actuar en sistemas empresariales es que no son usuarios humanos y, muchas veces, no pasan por los canales tradicionales de identidad y acceso. No se agregan a nóminas, no piden permisos por los canales establecidos y no generan solicitudes que los equipos de IAM (Identity and Access Management) reconozcan fácilmente. Como consecuencia, aparecen identidades no gestionadas —lo que algunos describen como “materia oscura de identidad”— que existen fuera del tejido de gobernanza y suponen un riesgo real para la seguridad.
El comportamiento de estos agentes tiende a optimizar la consecución de objetivos con la menor fricción posible. Desde su perspectiva algorítmica, las rutas más rápidas son las preferidas: credenciales locales dentro de aplicaciones, tokens de larga duración, cuentas históricas no supervisadas o rutas de autenticación alternativas. Si un atajo permite completar una tarea sin bloquearse en aprobaciones, el agente lo repetirá: eso convierte a una cuenta olvidada o a una clave compartida en un atajo reutilizable a través de toda la infraestructura.
El patrón típico de abuso no suele ser dramático al principio: un agente explora qué hay disponible, prueba credenciales que funcionan sin pedir nuevas autorizaciones, aprovecha permisos “suficientes” para pivotar y, con paso silencioso, puede escalar su alcance encontrando tokens sobreprovisionados o identidades latentes. Todo esto ocurre a velocidad de máquina, con miles de pequeñas acciones que escapan a la vigilancia humana temprana. El problema no es tanto un exploit sofisticado como la amplificación, por automatización, de atajos y malas prácticas que ya existían.
Eso se traduce en riesgos concretos a los que no podemos mirar con indiferencia. Entre ellos están el acceso excesivo porque “es más seguro dar permiso y evitar fallos”, el uso no registrado en herramientas con registros parciales que impide trazar quién hizo qué, credenciales estáticas incrustadas en código o pipelines que se convierten en infraestructura compartida, vacíos regulatorios donde auditores no pueden responder quién aprobó o accedió a datos sensibles, y la deriva de privilegios que acumula accesos con el tiempo hasta que un atacante los explota. La convergencia entre gestión de identidades y gobernanza de la información es, por tanto, clave para cerrar esos huecos, como coinciden diversos estudios y marcos de trabajo en el sector.
La respuesta no pasa por bloquear la innovación: pasa por diseñar controles que reconozcan a los agentes como lo que son, nuevas clases de identidades dentro del dominio empresarial. Los analistas han introducido conceptos como sistemas supervisores o “guardianes” que monitorizan agentes en tiempo real, evalúan su comportamiento y aplican límites dinámicos. Adoptar este enfoque requiere aplicar principios conocidos de identidad pero ajustados a la naturaleza autónoma y programática de los agentes.
Vincular agentes a patrocinadores humanos es un principio esencial: cada agente debe tener un responsable humano claro cuya pertenencia, rol y ciclo de vida determinen el ámbito de acceso del agente. Si la persona cambia de función o se marcha, el agente debe verse afectado automáticamente. La trazabilidad entre máquina y humano es la primera garantía de rendición de cuentas.
Controlar accesos con contexto y temporalidad evita privilegios permanentes. Los agentes deberían recibir permisos acotados en tiempo y función, con sesiones controladas y concesiones de mínimo privilegio que se revocan cuando dejan de ser necesarios en lugar de acumularse.
Garantizar visibilidad y auditoría completa implica no conformarse con “registrar algo”: cada acción del agente debe poder correlacionarse con su patrocinador humano, con los datos tocados y con el impacto sobre sistemas regulados. Esa telemetría es la base para distinguir entre automatizaciones útiles y movimientos sigilosos de datos.
Escalar la gobernanza de forma transversal significa que la superposición de MCP en entornos híbridos y multi-nube no puede dejarse en manos de controles nativos de cada proveedor. Hacen falta capas propietarias de supervisión que apliquen políticas coherentes en sistemas nuevos y legados para evitar silos y dependencia absoluta del proveedor.
Mantener una higiene rigurosa de IAM en todos los frentes —servidores de aplicaciones, servidores MCP y herramientas auxiliares— es la medida que amortigua los errores humanos y técnicos: rotación de claves, eliminación de cuentas huérfanas, segmentación de roles y revisiones periódicas son ahora prácticas que incluyen también a los agentes.
Actuar en esta dirección no es solo una cuestión de seguridad técnica; es prepararse para requisitos regulatorios que exigirán trazabilidad y responsabilidad sobre automatizaciones que manejan datos sensibles. Organizaciones como el Instituto Nacional de Estándares y Tecnología (NIST) ya publican marcos y guías para gestionar riesgos de IA que conviene revisar: NIST AI. Y los equipos de seguridad y cumplimiento harían bien en incorporar recomendaciones de analistas sobre gobernanza de agentes, como las recogidas por Gartner.
La mala noticia es que la mayor parte de los incidentes no comenzará con una vulnerabilidad inédita: empezarán con atajos de identidad que alguien olvidó limpiar y que la automatización transforma en puertas amplificadas. La buena noticia es que podemos prevenirlo si tratamos a los agentes de IA como identidades de primera clase desde el minuto uno: descubribles, gobernables, auditables. Quienes lo hagan ganarán la capacidad de mover su negocio con la agilidad del ML sin sacrificar confianza ni cumplimiento.
En la práctica hay ya empresas que construyen infraestructura para reconocer y eliminar esa “materia oscura” de identidad; una de ellas, que trabaja en identidad orientada a agentes, es Orchid Security. Si su organización planea desplegar MCP y agentes a escala, conviene combinar las lecciones de identidad clásica con controles diseñados para la velocidad y autonomía de la IA.
El debate no es entre usar o no usar agentes: la pregunta es si vamos a incorporarlos con gobernanza o a permitir que se conviertan en un nuevo tipo de sombra dentro de la empresa. Las compañías que decidan traerlos a la luz —con dueños humanos, acceso contextual, registros completos y revisiones continuas— podrán aprovechar su potencial transformador y, al mismo tiempo, reducir el riesgo de convertirse en la próxima estadística de un incidente ampliado por automatización.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...