A medida que las herramientas de IA proliferan en entornos corporativos, se está formando una brecha de seguridad que la protección tradicional de endpoints no puede cerrar.
Cuando un desarrollador en solitario publicó un agente de IA llamado OpenClaw, bastó menos de una semana para acumular millones de descargas, y menos de otra semana para que los investigadores hallaran 135.000 instancias expuestas y cientos de extensiones maliciosas dentro de su marketplace. El incidente no fue un ataque sofisticado de un estado nación. Fue un anticipo de lo que los equipos de seguridad empresarial están ahora tratando de abordar: una capa no gestionada y en gran medida invisible de software de IA que opera silenciosamente dentro de redes corporativas con permisos de nivel de empleado y velocidad de máquina.
El endpoint corporativo moderno ha cambiado de maneras que las herramientas de seguridad no han podido seguir. Donde antes el perímetro estaba definido por ejecutables y binarios conocidos, el entorno de trabajo actual está moldeado por una extensa capa de paquetes de código, extensiones de navegador, plugins de IDE, servidores locales, contenedores, artefactos de modelos y agentes de IA, la mayoría instalados directamente por empleados y desarrolladores sin supervisión centralizada.
Dado que estos componentes no son binarios clásicos, a menudo quedan fuera de la visibilidad y el control de las herramientas tradicionales de seguridad de endpoints. Esto significa que una proporción creciente de lo que se ejecuta en los equipos corporativos es, desde el punto de vista de la seguridad, efectivamente invisible.
El problema de los agentes
Los agentes de IA añaden una dimensión particular de riesgo a este panorama ya complejo. Son herramientas legítimas que operan con las credenciales y permisos del usuario, lo que les permite leer, escribir, mover datos y realizar acciones privilegiadas en múltiples sistemas. Cuando son comprometidos o mal utilizados, los agentes se convierten en el «insider definitivo». Pueden descubrir, invocar e incluso instalar componentes adicionales de forma autónoma a velocidad de máquina, acelerando el riesgo en una capa de software ya en expansión y en gran parte no gestionada.
Un caso de advertencia: OpenClaw
La reciente aparición de OpenClaw es un caso de advertencia para la era de los agentes. Desarrollado por una sola persona en apenas una semana, consiguió rápidamente millones de descargas y amplios permisos sobre correos electrónicos, sistemas de archivos y shells de los usuarios. En pocos días, los investigadores identificaron 135.000 instancias expuestas y más de 800 skills maliciosos en su marketplace, lo que demuestra cómo un único agente no verificado puede crear una superficie de ataque inmediata y global.
OpenClaw no es un caso aislado. Los investigadores han documentado un patrón de riesgo emergente de las herramientas que desarrolladores y trabajadores del conocimiento utilizan a diario.
Una extensión de IA en VS Code fue descubierta filtrando código de 1,5 millones de desarrolladores. La herramienta podía leer cualquier archivo abierto y enviarlo de vuelta al desarrollador, recopilar archivos masivos sin interacción del usuario y rastrear usuarios con SDK de analítica comercial.
Por separado, los investigadores documentaron el primer servidor malicioso de Model Context Protocol (MCP) en el mundo real. Cuando los desarrolladores añadían una habilidad específica a herramientas como Claude Code o Cursor, esta reenviaba silenciosamente cada correo electrónico al creador del plugin, una capacidad que se añadió después de que los desarrolladores ya habían comenzado a utilizarla.
La brecha de visibilidad en las operaciones de seguridad
Las acciones autónomas de los agentes son a menudo difíciles de rastrear o reconstruir, dejando a los Centros de Operaciones de Seguridad (SOC) sin la visibilidad que necesitan cuando se produce un incidente. Las herramientas tradicionales de detección en endpoints fueron construidas en torno a un mundo de tipos de archivos conocidos y comportamientos de procesos. No fueron diseñadas para monitorear si un asistente de codificación de IA está exfiltrando código fuente en silencio, o si un servidor MCP ha sido actualizado para redirigir las comunicaciones salientes.
Una adquisición y una nueva categoría
Palo Alto Networks anunció su intención de adquirir Koi Security, una empresa enfocada específicamente en la protección de endpoints nativa de IA. La empresa tiene previsto integrar las capacidades de Koi en sus plataformas tras el cierre de la adquisición propuesta. La adquisición refleja un reconocimiento más amplio de que la expansión de herramientas de IA dentro de las organizaciones ha superado los marcos de seguridad diseñados para gobernarla.
Lo que está claro es que el riesgo ya existe. Los agentes ya están instalados. Muchos de ellos ya están activos. Y en la mayoría de las organizaciones, nadie los está vigilando.
El Dr. Jakob Jung es redactor jefe de Security Storage y Channel Germany. Lleva más de 20 años trabajando en el periodismo especializado en TI. A lo largo de su carrera ha colaborado con Computer Reseller News, Heise Resale, Informationweek, Techtarget (almacenamiento y centros de datos) y ChannelBiz. Además, colabora como freelance con numerosas publicaciones del sector de las TI, entre las que se incluyen Computerwoche, Channelpartner, IT-Business, Storage-Insider y ZDnet. Sus temas principales son el canal, el almacenamiento, la seguridad, los centros de datos, los sistemas ERP y CRM.
Contacto – Contacto por correo electrónico: jakob.jung@security-storage-und-channel-germany.de