Los agentes de IA aceleran el procesamiento del trabajo. Programan reuniones, acceden a datos, activan flujos de trabajo, escriben código y toman medidas en tiempo real, lo que aumenta la productividad en toda la organización más allá de la velocidad humana.
Luego llega un momento en el que todos los equipos de seguridad atacan:
“Espera… ¿quién aprobó esto?”
A diferencia de los usuarios o las aplicaciones, los agentes de IA a menudo se implementan rápidamente, se implementan ampliamente y se les otorgan amplios permisos de acceso, lo que dificulta el seguimiento de la propiedad, la aprobación y la responsabilidad. Lo que antes era una pregunta sencilla ahora resulta sorprendentemente difícil de responder.
Los agentes de IA están revolucionando los modelos de acceso tradicionales
Los agentes de IA no son un tipo más de usuario. Son fundamentalmente diferentes tanto de las cuentas de personas como de servicios tradicionales, y estas diferencias son las que destruyen los modelos de acceso y permisos existentes.
El acceso humano se basa en una intención clara. Los permisos están vinculados a una función, se revisan periódicamente y están restringidos por tiempo y contexto. Si bien las cuentas de servicio no son humanas, suelen ser dedicadas, de alcance limitado y vinculadas a una aplicación o funcionalidad específica.
Los agentes de IA son diferentes. Trabajan con autoridad delegada y pueden actuar en nombre de múltiples usuarios o equipos sin la necesidad de una participación humana constante. Una vez autorizados, son autónomos, persistentes y, a menudo, operan en todos los sistemas, cambiando entre diferentes sistemas y fuentes de datos para completar tareas de un extremo a otro.
En este modelo, el acceso delegado no sólo automatiza las acciones del usuario sino que también las amplía. Los usuarios humanos están limitados por los permisos que se les otorgan explícitamente, pero los agentes de IA a menudo reciben derechos de acceso más amplios y poderosos para trabajar de manera efectiva. Esto permite al agente realizar acciones para las que el usuario nunca estuvo autorizado. Una vez que existe este acceso, el agente puede actuar; incluso si el usuario nunca quiso realizar la acción o no sabía que era posible, el agente aún puede realizarla. Esto permite al agente inducir la divulgación, a veces de forma inadvertida, a veces implícitamente, pero siempre legítimamente desde una perspectiva técnica.
De esta manera se produce una desviación del acceso. Los agentes acumulan permisos silenciosamente a medida que se amplía su alcance. Se agregan integraciones, los roles cambian, los equipos van y vienen, pero el acceso de los agentes permanece. Se convierten en un poderoso intermediario con privilegios amplios y duraderos y, a menudo, sin una propiedad clara.
No es de extrañar que los supuestos existentes de IAM fracasen. IAM asume una identidad clara, un propietario definido, funciones estáticas y revisiones periódicas coherentes con el comportamiento humano. Los agentes de IA no siguen estos patrones. No encajan claramente en las categorías de usuario o cuenta de servicio, están en funcionamiento continuo y su acceso efectivo se define por la forma en que se utilizan y no por la autorización inicial. Sin repensar estos supuestos, IAM se vuelve ciego ante el riesgo real que conllevan los agentes de IA.
Los tres tipos de agentes de IA en la empresa
No todos los agentes de IA plantean el mismo riesgo en entornos empresariales. El riesgo varía dependiendo de quién es el propietario del agente, cuán ampliamente se utiliza y qué acceso tiene. Esto da como resultado diferentes categorías con efectos muy diferentes sobre la seguridad, la responsabilidad y el radio de explosión:
Agentes personales (propiedad del usuario)
Los agentes personales son Asistentes de IA utilizados por empleados individuales para ayudar con las tareas diarias. Diseñan contenido, resumen información, planifican reuniones o ayudan con la codificación, siempre en el contexto de un usuario individual.
Estos agentes normalmente operan dentro de los permisos del usuario propietario. Su acceso es heredado y no extendido. Si el usuario pierde el acceso, el agente también pierde el acceso. Debido a que la estructura de propiedad es clara y el alcance limitado, el radio de la explosión es relativamente pequeño. El riesgo está directamente vinculado al usuario individual, lo que hace que los agentes personales sean los más fáciles de entender, gestionar y remediar.
Agentes externos (propiedad del proveedor)
Los agentes de terceros están integrados en plataformas SaaS y de IA proporcionadas por los proveedores como parte de su producto. Ejemplos de esto incluyen funciones de IA integradas en sistemas CRM, herramientas de colaboración o plataformas de seguridad.
Estos agentes se rigen por controles de proveedores, contratos y modelos de responsabilidad compartida. Si bien los clientes pueden tener una visibilidad limitada de su funcionamiento interno, la responsabilidad está claramente definida: el proveedor es dueño del agente.
La principal preocupación aquí es el riesgo de la cadena de suministro de IA: la confianza en que el proveedor protegerá adecuadamente a sus agentes. Pero desde una perspectiva empresarial, la propiedad, las vías de aprobación y la responsabilidad suelen entenderse bien.
Agentes organizacionales (compartidos y a menudo sin dueño)
Los agentes de la organización se implementan internamente y se comparten entre equipos, flujos de trabajo y casos de uso. Automatizan procesos, integran sistemas y actúan en nombre de múltiples usuarios. Para ser eficaces, a estos agentes se les suelen conceder permisos amplios y persistentes que van más allá del acceso de un solo usuario.
Aquí es donde se concentra el riesgo. Los agentes organizacionales a menudo no tienen un propietario claro, ni un aprobador único, ni un ciclo de vida definido. Cuando algo sale mal, no está claro quién es el responsable o quién comprende plenamente lo que puede hacer el agente.
Por lo tanto, los agentes organizacionales plantean el mayor riesgo y radio de explosión, no porque sean maliciosos, sino porque operan a escala sin una responsabilidad clara.
El problema de eludir la autorización del agente
Como explicamos en nuestro artículo, los agentes que eluden las rutas de autorización no sólo pueden realizar tareas sino también actuar como intermediarios de acceso. En lugar de que los usuarios interactúen directamente con los sistemas, los agentes actúan en su nombre, utilizando sus propias credenciales, tokens e integraciones. Esto cambia el lugar donde realmente se toman las decisiones de autorización.
Cuando los agentes actúan en nombre de usuarios individuales, pueden otorgarle acceso y funcionalidad más allá de los permisos aprobados del usuario. Un usuario que no puede acceder directamente a ciertos datos o realizar ciertas acciones aún puede activar un agente que sí pueda hacerlo. El agente se convierte en un proxy, permitiendo acciones que el usuario nunca podría realizar por sí solo.
Estas acciones están técnicamente autorizadas: el agente tiene acceso válido. Sin embargo, son contextualmente inciertos. Los controles de acceso tradicionales no activan una alerta porque las credenciales son legítimas. Esta es la esencia de la elusión de la autorización del agente: el acceso se otorga correctamente, pero se utiliza de maneras para las cuales los modelos de seguridad nunca fueron diseñados.
Repensar el riesgo: lo que debe cambiar
Proteger a los agentes de IA requiere un cambio fundamental en la forma en que se define y gestiona el riesgo. Los agentes ya no pueden ser tratados como extensiones de usuarios o como procesos de automatización en segundo plano. Deben ser tratados como entidades sensibles y potencialmente de alto riesgo con sus propias identidades, permisos y perfiles de riesgo.
Esto comienza con una responsabilidad y una rendición de cuentas claras. Cada agente debe tener un propietario definido que sea responsable de su propósito, alcance de acceso y revisión continua. Sin propiedad, el permiso no tiene sentido y el riesgo sigue sin gestionarse.
Fundamentalmente, las empresas también necesitan mapear cómo los usuarios interactúan con los agentes. No basta con entender a qué puede acceder un agente; Los equipos de seguridad necesitan visibilidad sobre qué usuarios pueden acceder a un agente, bajo qué condiciones y con qué permisos efectivos. Sin esta asignación de conexión usuario-agente, los agentes pueden convertirse silenciosamente en rutas de omisión de autorización, lo que permite a los usuarios realizar indirectamente acciones para las que no están autorizados a realizar directamente.
En última instancia, las empresas necesitan mapear el acceso de los agentes, las integraciones y las rutas de datos entre los sistemas. Solo correlacionando Usuario → Agente → Sistema → Acción los equipos pueden estimar con precisión el radio de la explosión, detectar abusos e investigar de manera confiable actividades sospechosas cuando algo sale mal.
El coste de los agentes de IA organizacionales no controlados
Los agentes organizacionales de IA no controlados convierten las ganancias de productividad en riesgos sistémicos. Estos agentes se comparten entre equipos y se les brinda acceso completo y persistente. Operan sin una propiedad o responsabilidad clara. Con el tiempo, pueden usarse para nuevas tareas, creando nuevas rutas de ejecución, y sus acciones se vuelven cada vez más difíciles de rastrear o contener. Cuando algo sale mal, no hay un propietario claro que pueda responder, remediar o incluso comprender el radio total de la explosión. Sin controles de visibilidad, propiedad y acceso, los agentes de IA organizacionales se convierten en uno de los elementos más peligrosos y menos controlados en el panorama de seguridad empresarial.
Para obtener más información, visite https://wing.security/
About The Author
