El 65% de las empresas ya tuvo un incidente de seguridad con un agente

Una estadística para detenerse a pensar: el 65% de las organizaciones ya tuvo un incidente de seguridad que involucró a un agente de IA en el último año, según una investigación recopilada esta primavera. No es un riesgo en el horizonte — es algo que ya le pasó a aproximadamente dos de cada tres empresas que usan agentes. Y el 82% tiene agentes de IA "desconocidos" corriendo en su infraestructura — agentes que nadie está rastreando. La brecha de agentes no está por venir. Ya llegó, y ya es rutina.

Acá viene la parte que más importa, porque no es la historia que te enseñaron a temer.

No es una IA rebelde. Es una muy educada con demasiadas llaves.

La versión de ciencia ficción del riesgo de los agentes es un modelo desalineado que se descontrola y hace algo malicioso. Eso no es lo que realmente está dañando a la gente. La investigación es directa al respecto: las empresas con incidentes no sufren por modelos que producen resultados dañinos — sufren por modelos que funcionan correctamente accediendo a datos que nunca debieron haberles sido otorgados en primer lugar.

Léelo de nuevo, porque cambia por completo hacia dónde diriges tu atención. El agente no falló. Hizo exactamente lo que se le permitió hacer. El error no estaba en el comportamiento del modelo — estaba en los permisos que alguien le entregó. El daño más común es de lo más mundano: exposición de datos (61% de los incidentes), interrupción operativa, y el agente tomando una acción no intencionada dentro de un proceso de negocio. Un agente bien portado con acceso a las cosas equivocadas es una brecha esperando un disparador, y la mayoría de los agentes son exactamente eso.

Por qué los agentes tienen permisos de más por defecto

Esto pasa por una razón estructural. Pasamos décadas construyendo higiene de identidad para humanos — cada persona tiene su propio acceso, mínimo privilegio, revisiones de acceso, baja cuando se va. Los agentes llegaron y se saltaron todo eso. Los números son sombríos: solo cerca del 22% de los equipos trata a los agentes como entidades con identidad propia, el 46% todavía usa llaves de API compartidas, y un cuarto de los agentes desplegados puede crear y asignar tareas a otros agentes.

Piensa en lo que eso significa. Las llaves compartidas implican que no puedes saber qué agente hizo qué. Los agentes que generan otros agentes implican que el acceso se multiplica sin que nadie lo otorgue. Y casi nadie hace limpieza: solo cerca de un quinto de las organizaciones tiene un proceso real para dar de baja a un agente y revocar su acceso cuando ya no se usa. Las identidades de máquina ya superan en número a las humanas en la mayoría de las empresas, y la higiene que construimos para humanos simplemente no sobrevive a esa proporción. Por eso un informe tras otro aterriza en la misma frase: la identidad es el plano de control de la IA agéntica.

La buena noticia: los problemas aburridos tienen soluciones aburridas

Acá está la razón por la que esto me parece casi alentador. Si la amenaza fuera una IA impredecible y maliciosa, estarías indefenso. Pero «una identidad con permisos de más haciendo lo que se le permitió» es uno de los problemas más viejos y más resueltos de la seguridad. No necesitas ciencia nueva. Necesitas aplicar la disciplina que ya conoces a un nuevo tipo de usuario.

• Dale a cada agente su propia identidad. Nada de llaves compartidas. Si no puedes decir qué agente tomó una acción, ya perdiste el incidente. Es el mismo principio que la autenticación siendo innegociable para las herramientas de agentes, llevado hasta la capa de identidad.
• Mínimo privilegio, acotado a la tarea. El agente debería poder tocar lo mínimo que necesita y nada más. La mayoría de los incidentes son simplemente acceso que nadie cuestionó — así que cuestiónalo. Empieza con demasiado poco y otorga más de forma deliberada.
• Credenciales de corta vida, no acceso permanente. Un agente que necesita datos para una tarea debería recibir un token que expira, no una llave permanente que queda dando vueltas esperando filtrarse. (Este año aparecieron 18 millones de llaves de API expuestas en conjuntos de datos criminales; la permanencia es el enemigo.)
• Un botón de apagado y un proceso de baja. Deberías poder revocar un agente al instante y poder eliminarlo de verdad — acceso incluido — cuando se retira. Un agente que nadie recuerda sigue siendo una puerta que nadie vigila.

Nada de eso es exótico. Es la higiene de acceso que aplicamos a los empleados, por fin aplicada a los «empleados» no humanos que ahora los superan en número.

En resumen

La brecha de agentes ya ocurrió, en la mayoría de las empresas, y va a seguir ocurriendo — pero no porque la IA esté conspirando. Está ocurriendo porque les hemos estado entregando a los agentes acceso amplio, permanente, compartido y no rastreado, y luego nos sorprendemos cuando ese acceso se usa. El agente hace lo que le permitimos. La brecha está en el permitir.

Así que antes de preocuparte por un modelo que se vuelve rebelde, audita lo aburrido: a qué puede llegar realmente cada uno de tus agentes, quién se daría cuenta si usara ese alcance de forma indebida, y si podrías apagarlo. Trata a tus agentes por lo que son — una población de usuarios con credenciales que crece rápido — y aplica la disciplina de identidad que nunca te saltarías con un humano. La amenaza no es exótica. La solución tampoco. El único error es tratar a una identidad no humana como si no necesitara gobierno, cuando dos tercios de tus pares ya aprendieron lo contrario.