Los agentes de IA se están convirtiendo en empleados. Debemos empezar a asegurarlos como empleados.

Por qué la seguridad de agentes es diferente

El software tradicional sigue una lógica predefinida. Las aplicaciones LLM tradicionales generan principalmente texto. Los sistemas agénticos funcionan de otra manera.

Combinan modelos de lenguaje con herramientas externas, sistemas de memoria, bases de datos, API y capacidades de decisión autónoma. Un agente empresarial puede leer un correo entrante, recuperar información de documentación interna, consultar un CRM, actualizar una base de datos y enviar una respuesta—todo en un solo flujo de trabajo.

Esa flexibilidad es lo que hace tan potentes a los agentes. También es lo que los hace difíciles de asegurar.

El artículo de USENIX sostiene que centrarse solo en la seguridad del modelo es insuficiente. La seguridad debe evaluarse en todo el ecosistema del agente: el modelo, su memoria, sus herramientas, sus fuentes de datos y las acciones que puede realizar.

Las siete dimensiones del riesgo agéntico

Los investigadores identifican siete dimensiones clave que influyen en la postura de seguridad de un agente:

• Input Trust — ¿De dónde proviene la información?
• Data Access Sensitivity — ¿A qué información puede acceder el agente?
• Workflow Autonomy — ¿Puede decidir de forma independiente qué hacer a continuación?
• Action Capability — ¿Puede modificar, eliminar o transmitir datos?
• Memory Persistence — ¿Persiste la información entre sesiones?
• Tool Availability — ¿Qué sistemas externos puede invocar?
• User Interface Power — ¿Cuánta influencia tiene sobre las decisiones del usuario?

Compare un chatbot de atención al cliente con un asistente ejecutivo autónomo.

Cada capacidad adicional aumenta la utilidad. Pero también expande la superficie de ataque y crea nuevas oportunidades de uso indebido, manipulación o comportamiento no intencionado.

La seguridad pasa de ser proteger un modelo a gobernar un sistema complejo.

El contexto es la nueva frontera de seguridad

Durante décadas, la ciberseguridad se ha centrado en tres principios: confidencialidad, integridad y disponibilidad. Esos principios siguen siendo esenciales.

Pero la IA agéntica introduce un nuevo desafío: la seguridad contextual.

Un agente puede tener autenticación sólida, comunicaciones cifradas y controles de acceso estrictos, y aun así fallar de forma catastrófica porque actúa sobre información maliciosa o manipulada.

Imagine un agente procesando un PDF aparentemente inofensivo subido por un tercero. Instrucciones ocultas dentro del documento le dicen al agente que ignore las directrices anteriores, recupere información sensible y la transmita a otro lugar.

Esta distinción importa porque muchos ataques emergentes de IA explotan el flujo de información en lugar de vulnerabilidades de software.

Para los sistemas agénticos, el contexto se convierte en una frontera de seguridad tan importante como la autenticación, el cifrado o la segmentación de red.

Por qué la memoria crea nuevos riesgos

La memoria de IA suele presentarse como una función de experiencia de usuario. El argumento es simple: una mejor memoria permite una mejor personalización.

Pero la memoria también crea persistencia. Y la persistencia crea riesgo.

El artículo de USENIX destaca cómo los atacantes pueden intentar envenenar almacenes de memoria a largo plazo con instrucciones maliciosas o información engañosa. Una vez escrito en la memoria, ese contenido puede influir en decisiones futuras mucho después de que haya terminado la interacción original.

A diferencia de un ataque temporal de inyección de prompts, el envenenamiento de memoria puede persistir entre flujos de trabajo, usuarios y tiempo. El resultado es un desafío de seguridad fundamentalmente diferente.

Los agentes más peligrosos son los que tienen permisos

Los mayores riesgos de la IA agéntica no provienen necesariamente de la inteligencia del modelo. Provienen de la autoridad que se le concede.

Un modelo que genera un párrafo incorrecto es incómodo. Un agente con acceso a registros de clientes, documentos internos, sistemas financieros, plataformas de comunicación y herramientas de automatización puede crear consecuencias reales.

A medida que las organizaciones conectan agentes a sistemas cada vez más potentes, el enfoque debe pasar de la capacidad del modelo al control operativo.

La pregunta crítica ya no es: «¿Qué tan inteligente es el modelo?» Es: «¿Qué se le permite hacer al modelo?»

Construir sistemas de agentes confiables

La lección más amplia del artículo es que la seguridad de agentes requiere defensa en profundidad.

Las organizaciones que despliegan agentes de IA deberían priorizar:

• Datos confiables vs. no confiables — Fuerte separación entre fuentes de datos
• Límites de permiso — Fronteras explícitas en torno a las acciones del agente
• Gobernanza de memoria — Controles para sistemas de memoria a largo plazo
• Aprobación humana — Validación para operaciones de alto riesgo
• Auditoría y observabilidad — Registro y monitorización completos
• Políticas de acceso a herramientas — Reglas claras para integraciones externas

Estos principios reflejan prácticas de ciberseguridad consolidadas, porque cada vez más los agentes de IA se parecen a empleados más que a funciones de software.

La lección más amplia

La industria describe con frecuencia a los agentes de IA como empleados digitales. Esa analogía es cada vez más precisa.

Los empleados reciben formación. Los empleados operan bajo políticas. Los empleados tienen permisos definidos. Los empleados son monitorizados. Los empleados pueden cometer errores.

Los agentes de IA no son diferentes. La única diferencia es que pueden cometer errores a velocidad de máquina.

Los productos de IA más exitosos de la próxima década no tendrán simplemente los modelos más capaces. Tendrán la arquitectura de confianza más sólida.