Los agentes de inteligencia artificial están penetrando en los sistemas corporativos más rápido de lo que los marcos de seguridad pueden adaptarse. El resultado es una brecha —no teórica, sino documentada ya en filtraciones de datos y demostraciones de ataques en directo— entre lo que el software autónomo puede hacer y lo que las empresas pueden realmente controlar.
En marzo de 2023, tres ingenieros de Samsung subieron código fuente propietario a un servicio externo de IA pocas semanas después de su aprobación interna. Ninguna de las herramientas de prevención de pérdida de datos de la compañía lo detectó. El tráfico parecía una navegación habitual. Los agentes —en este caso, herramientas asistidas por IA con acceso amplio y sin límites de identidad definidos— eran invisibles para la gobernanza. Un estudio realizado por KuppingerCole por encargo de Ping Identity ofrece información valiosa al respecto.
Ese incidente no fue una anomalía. Fue un avance de lo que está por venir. A medida que los agentes de IA pasan de proyectos piloto experimentales a sistemas empresariales operativos, están quebrando supuestos en los que los marcos de gestión de identidades y accesos han confiado durante dos décadas. La brecha entre lo que estos agentes pueden hacer y lo que los equipos de seguridad pueden controlar es real, medible y creciente.
Un nuevo tipo de actor
La gestión tradicional de identidades se construyó sobre un modelo sencillo: una persona solicita acceso, un sistema lo concede o deniega, y un registro documenta lo ocurrido. Los agentes de IA interrumpen los tres pasos simultáneamente.
A diferencia del software convencional, los agentes autónomos no siguen conjuntos de instrucciones fijos. Persiguen objetivos mediante secuencias adaptativas de llamadas a API, delegan subtareas en otros agentes y toman decisiones probabilísticas en tiempo de ejecución. Un agente encargado de redactar un contrato puede acceder a bases de datos jurídicas, consultar registros internos, enviar borradores para revisión y registrar su propia actividad, todo ello sin que un ser humano autorice cada paso individual.
Esto rompe el modelo de consentimiento que subyace a OAuth y OpenID Connect, los protocolos que rigen la mayoría de las autenticaciones empresariales. Esos estándares requieren un paso explícito de autorización humana. Los agentes que operan a escala lo eluden de forma rutinaria. Los permisos de acceso que acumulan son técnicamente válidos. La responsabilidad asociada a ellos no lo es.
El informe IBM Cost of a Data Breach 2025 cuantifica el riesgo: el 13 % de las organizaciones había sufrido brechas que involucraban modelos o aplicaciones de IA en el año anterior. De ellas, el 97 % carecía de controles de acceso adecuados. No son casos marginales. Representan la vanguardia de un problema estructural.
Incidentes que definieron el problema
La filtración de Samsung ilustró un modo de fallo: una herramienta de IA tratada como un auxiliar de productividad interno en lugar de como un sistema externo con su propia identidad y límites de acceso a datos. Pero el panorama de vulnerabilidades va mucho más allá de la divulgación accidental.
En la conferencia Black Hat 2024, el investigador de seguridad Michael Bargury demostró cómo Microsoft 365 Copilot podía convertirse en una herramienta de exfiltración y phishing mediante una técnica denominada inyección de instrucciones. Al incrustar órdenes dentro de un documento o correo electrónico que Copilot debía procesar, un atacante podía redirigir al agente para que reenviara correos, buscara archivos sensibles y generara mensajes de phishing, todo ello usando las propias credenciales y la sesión de la víctima.
La inyección de instrucciones no es un defecto de producto. Es una debilidad estructural de la generación actual de agentes autónomos: la ausencia de un límite de confianza entre el contexto de instrucciones del agente y el contenido que procesa. Parchear productos individuales no cierra la brecha subyacente.
Cómo es una arquitectura de gobernanza
El analista de KuppingerCole Martin Kuppinger propone una arquitectura de referencia organizada en torno a cuatro pilares, cada uno de los cuales aborda un fallo específico en los marcos actuales.
El primer pilar es el registro de identidad. Cada agente de IA debe recibir un identificador único y estable en un almacén de identidades centralizado, con propietario documentado, ámbito autorizado y tiempo de vida operacional previsto. Sin esto, los agentes son recursos en la sombra —activos en sistemas de producción, pero invisibles para la gobernanza.
El segundo pilar es la autorización. El control de acceso basado en roles estáticos es demasiado rígido para agentes cuyos permisos efectivos cambian con cada tarea. El Control de Acceso Basado en Políticas (PBAC) puede incorporar señales contextuales —sensibilidad de los datos, hora del día, nivel de amenaza actual— en las decisiones de autorización en tiempo de ejecución, y limitar los permisos del agente a un subconjunto de lo que el ser humano autorizador tendría permitido.
El tercer pilar es la gobernanza. Los controles intra-agente definen lo que un agente está autorizado a hacer dentro de su propio conjunto de instrucciones. Los controles extra-agente hacen cumplir las restricciones de acceso a nivel de API y recurso, independientemente de lo que el agente afirme estar autorizado a hacer. La distinción entre supervisión humana en el bucle y supervisorión humana sobre el bucle debe ser una decisión deliberada de gobernanza.
El cuarto pilar es la auditabilidad. Los registros de llamadas individuales a API no son suficientes. Lo que se necesita son trazas de decisión: registros no solo de lo que hizo un agente, sino de lo que se le instruyó a hacer, bajo qué política y cómo razonó cada acción.
El Dr. Jakob Jung es redactor jefe de Security Storage y Channel Germany. Lleva más de 20 años trabajando en el periodismo especializado en TI. A lo largo de su carrera ha colaborado con Computer Reseller News, Heise Resale, Informationweek, Techtarget (almacenamiento y centros de datos) y ChannelBiz. Además, colabora como freelance con numerosas publicaciones del sector de las TI, entre las que se incluyen Computerwoche, Channelpartner, IT-Business, Storage-Insider y ZDnet. Sus temas principales son el canal, el almacenamiento, la seguridad, los centros de datos, los sistemas ERP y CRM.
Contacto – Contacto por correo electrónico: jakob.jung@security-storage-und-channel-germany.de