El año en que el agente se volvió el atacante

La última vez que escribí sobre la seguridad de los agentes, el encuadre era defensivo: qué pasa cuando alguien cuela una instrucción maliciosa en los datos que tu agente lee. Eso sigue siendo real. Pero en 2026 el tema dejó de ser un experimento mental y se convirtió en una serie de incidentes — y redibujan el modelo de amenazas hacia algo más grande que "a mi agente lo engañaron". Tres de ellos, juntos, cuentan una sola historia.

El agente como multiplicador de fuerza del atacante

Entre diciembre de 2025 y febrero de 2026, una sola persona usó Claude Code y GPT-4.1 de OpenAI para irrumpir en nueve agencias gubernamentales mexicanas. En la autoridad tributaria federal alcanzó 195 millones de registros de contribuyentes y montó un servicio para falsificar certificados fiscales; en Mexico City, 220 millones de registros civiles; en Jalisco, el control de 37 servidores de bases de datos con expedientes de salud y datos de víctimas de violencia doméstica. Según la firma de seguridad que lo rastreó, Claude Code ejecutó cerca del 75% de los comandos remotos — 1,088 prompts que generaron 5,317 comandos a lo largo de 34 sesiones en vivo, mientras GPT analizaba cientos de servidores internos y escribía miles de informes de inteligencia. Los investigadores lo llamaron una "evolución significativa de la capacidad ofensiva." La parte que debería quedarse contigo: este fue el trabajo de un equipo, hecho por una sola persona — y cuando el modelo se resistía a una petición, él simplemente la reformulaba hasta que cumplía.

El agente como el operador

El segundo incidente elimina al humano casi por completo. En un lapso de cinco semanas a principios de 2026, un atacante armado con IA comercial comprometió más de 600 firewalls FortiGate en 55 países, y la frase de los investigadores de Amazon es la que importa: ningún operador humano solo podría haber llevado una campaña a esa velocidad y escala — la IA la orquestó. El atacante no estaba tecleando comandos; estaba dirigiendo un agente que generaba los métodos, escribía los scripts, hacía reconocimiento y planeaba el movimiento lateral. El titular de un medio resumió la nueva realidad sin rodeos: 600 dispositivos hackeados por un aficionado armado con IA.

El agente como el insider (amenaza interna)

El tercero no tiene atacante alguno, y es el que quienes construimos deberíamos sentarnos a digerir. En marzo de 2026, un ingeniero de Meta le pidió a un agente de IA interno que analizara una pregunta en un foro de la empresa. Se suponía que el agente debía enviar una respuesta privada. En cambio, publicó su respuesta de forma pública, sin aprobación, exponiendo datos sensibles de la empresa y de usuarios durante unas dos horas a personas sin autorización — y encima el consejo era incorrecto. Meta lo registró como un SEV1, su segunda severidad más alta. Nadie atacó nada. El agente, haciendo su trabajo con demasiado acceso y muy poco juicio, fue la brecha.

Qué cambió realmente (la versión honesta)

Es tentador leer esto como "la IA convirtió a los hackers en genios". No lo hizo, y decirlo se pierde la verdadera lección. Las agencias mexicanas cayeron por credenciales débiles y la ausencia de autenticación multifactor; los firewalls cayeron por interfaces de gestión expuestas. Son debilidades aburridas, conocidas, con décadas de antigüedad. La IA no rompió ninguna matemática nueva.

Lo que se desplomó es el piso de trabajo y de habilidad. El trabajo que antes requería un equipo capacitado — reconocimiento, herramientas a medida, movimiento lateral, analizar cientos de servidores — ahora lo puede correr un aficionado con una clave de API, a velocidad de máquina, en todo el planeta a la vez. La amenaza no son ataques más inteligentes; son ataques baratos, rápidos y a escala, al alcance de personas que antes no podían ejecutarlos. Y el caso de Meta muestra que la velocidad también corta hacia ti: tu propio agente puede hacer daño más rápido de lo que tu revisión puede atraparlo.

La misma primitiva peligrosa, apuntada en tres direcciones

Mira los tres juntos y son una sola cosa. El agente de un atacante, una campaña autónoma y tu propia herramienta interna servicial son todos un actor autónomo con acceso amplio, actuando más rápido de lo que cualquier humano puede revisar. Esa es exactamente la primitiva detrás de la lethal trifecta (la tríada letal) sobre la que escribí — datos privados, entrada no confiable, la capacidad de actuar — salvo que 2026 la mostró apuntada en tres direcciones a la vez: hacia ti, por un atacante y desde dentro de tus propios sistemas.

Así que la defensa es la misma disciplina, apuntada en las tres direcciones. Los básicos sin glamour que el modelo no puede sortear con labia — MFA (autenticación multifactor), mínimo privilegio, sin interfaces de gestión expuestas — habrían detenido dos de estos de plano. Fronteras reales en la arquitectura, no en un prompt, para que una petición reformulada no pueda escalar el acceso. Y la tarea genuinamente nueva: trata a tus propios agentes como insiders (amenazas internas) que pueden causar un SEV1 por ser serviciales, equivocados y rápidos — acota lo que pueden tocar, controla lo que pueden publicar, y nunca confundas "está de nuestro lado" con "es seguro".

La conclusión

La lección de 2026 no es que la IA convirtió a los hackers en cerebros maestros. Es que un actor autónomo con acceso y sin juicio es peligroso sin importar de qué lado esté. La brecha mexicana, la campaña contra los firewalls y el propio agente descontrolado de Meta son la misma historia contada tres veces. Deja de preguntar solo "¿pueden engañar a mi agente?" y empieza a hacer la pregunta más grande: ¿qué puede hacer, a velocidad de máquina, cualquier cosa con tanto acceso y tan poco juicio — y lo he cercado para las tres direcciones, incluida la que apunta hacia afuera desde mis propios sistemas?