Agentic AI ya se está ejecutando en entornos de producción en muchas organizaciones en la actualidad. Se trata de ejecutar tareas, consumir datos y tomar acciones, muy probablemente sin una participación significativa del equipo de seguridad. La conversación en la industria ha enmarcado esto en gran medida como una cuestión de política: ¿permitirlo, restringirlo o monitorearlo? Sin embargo, ese encuadre pierde el sentido.
La pregunta más urgente es si los profesionales de la seguridad realmente entienden a qué se enfrentan. En la mayoría de las organizaciones, no lo hacen en este momento. Y esa brecha se agrava cada semana.
No puedes asegurar lo que no entiendes.
El principio fundamental de la seguridad de la información no ha cambiado: la fluidez genuina en una tecnología debe llegar antes de poder defenderla de manera significativa.
Piense en los cortafuegos. No puedes configurar uno bien sin entender las redes. Cuando llegó la computación en la nube, las organizaciones que se saltaron el trabajo fundamental terminaron con entornos sobre los que no podían razonar: herramientas compradas, políticas escritas y aún sin control real. Hoy en día tenemos la seguridad en la nube como su propia disciplina precisamente porque la tecnología exigía que los profesionales se familiarizaran profundamente con ella antes de que pudiera seguir la seguridad.
La misma dinámica se está produciendo con la IA, a un ritmo más rápido y con mayores riesgos.
La consecuencia práctica de estar atrasado en la IA agente va más allá de la exposición técnica. Los equipos de seguridad que no pueden hablar el lenguaje de la ingeniería de IA (que no pueden cuestionar las decisiones de diseño, proponer controles viables o hacer preguntas informadas) son ignorados. Las unidades de negocio avanzan sin ellos, no por mala fe, sino porque un equipo de seguridad que no puede interactuar sustancialmente con la tecnología no es un socio útil para tomar decisiones al respecto. Esto se ha producido con cada cambio tecnológico importante en las últimas dos o tres décadas. La IA no será diferente.
El punto de partida es el compromiso. Intente crear un agente. Experimente con las herramientas que sus desarrolladores ya están utilizando. Esta familiaridad práctica es donde comienza la verdadera comprensión, y la verdadera comprensión es lo que hace que todo lo demás sea posible.
Tres categorías de agentes, tres categorías de riesgo
El panorama de la IA agente es amplio y el perfil de riesgo varía significativamente entre ellos. Vale la pena entender claramente tres categorías.
El primero es agentes de codificación y productividad de uso general – herramientas como Claude Code y GitHub Copilot. Estos ya están integrados en los flujos de trabajo de desarrolladores e ingeniería de toda su organización. Ya sea que hayan sido aprobados formalmente o no, se están utilizando. A qué datos pueden acceder, cómo interactúan con las bases de código y qué acciones pueden tomar son conocimientos básicos de seguridad en este momento.
El segundo es agentes creados por proveedores impulsados por el protocolo de contexto modeloo MCP. MCP es la capa de integración que permite a los agentes conectarse a servicios externos y actuar en su nombre. Casi todos los proveedores importantes tienen un servidor MCP en producción o están construyendo uno activamente. En la práctica, esto significa que un agente que administra el calendario, el correo electrónico o el sistema interno de tickets de un usuario puede recibir información de esos canales y actuar en consecuencia. Una invitación de calendario maliciosa que contiene instrucciones ocultas en la descripción del evento es un vector de ataque real: el agente la lee, interpreta el mensaje incorporado y la ejecuta. Se trata de una superficie de ataque activa que requiere una configuración deliberada y una revisión de seguridad.
La tercera categoría es agentes personalizados creados por usuarios individualesy aquí es donde la dinámica se vuelve particularmente interesante. Durante años, existió una barrera real entre los profesionales de la seguridad que entendían el riesgo y el código que se ejecutaba en sus entornos. La mayoría de los profesionales de la seguridad no son programadores. La creación de herramientas personalizadas requería habilidades de desarrollo que no estaban ampliamente distribuidas entre los equipos de seguridad.
Esa barrera ha desaparecido.
Con la IA agente, cualquier miembro de la organización puede crear herramientas funcionales (automatizaciones, flujos de trabajo, agentes con acceso real al sistema) sin escribir código tradicional. Para los equipos de seguridad, esto es realmente valioso. La investigación de incidentes, la clasificación forense y los flujos de trabajo de búsqueda de amenazas pueden acelerarse cuando los profesionales pueden crear las herramientas que realmente necesitan. Pero esa misma capacidad se extiende a todos los demás equipos. Marketing, finanzas, operaciones: ahora todos pueden crear agentes. Muchos lo harán. La mayoría de esos agentes no pasarán por una revisión de seguridad antes de entrar en funcionamiento. Este es un problema de la cadena de suministro en una forma diferente.
El coste de llegar tarde
Cuando los equipos de seguridad se quedan atrás en un cambio tecnológico importante, el patrón es consistente.
Primero, el resto de la organización avanza sin intervención de seguridad. Los desarrolladores implementan, las unidades de negocios adoptan y la seguridad se consulta como una formalidad, o no se consulta en absoluto. En segundo lugar, los compuestos de exposición. Cuanto más poderosos sean los agentes que implementa una organización, más acceso requerirán esos agentes. Los permisos amplios son los que hacen que los agentes sean útiles: acceso a calendarios, plataformas de comunicación, sistemas de archivos, repositorios de códigos, API internas. Ese acceso es también lo que hace que el radio de la explosión sea significativo cuando algo sale mal.
Un agente con acceso tanto a una terminal como a una bandeja de entrada de correo electrónico puede ser manipulado a través de cualquiera de los canales para actuar en el otro. Ésa es una ruta de movimiento lateral que buscará un atacante. Razonar al respecto requiere comprender cómo se creó el agente, el tipo de comprensión que sólo proviene de un compromiso genuino con la tecnología.
Las habilidades que importan ahora
Desarrollar competencias en seguridad de IA agente requiere dos capas distintas de conocimiento.
El primero es comprender cómo se diseñan las aplicaciones de IA – desde la perspectiva de un profesional, no de un científico de datos. ¿Cuáles son los componentes de una aplicación de IA? ¿Cómo consumen los agentes insumos, encadenan herramientas y producen resultados? ¿Cómo es realmente una sesión con un agente conectado a MCP desde el punto de vista del control de acceso? Esta es la base que hace que todo lo demás sea viable.
La segunda capa es divisa. El panorama de herramientas y amenazas en torno a la IA avanza rápidamente. Los proveedores están creando controles de seguridad para los sistemas de inteligencia artificial, aunque la mayoría aún están madurando. Están surgiendo marcos de código abierto. OWASP y otros están publicando taxonomías de amenazas que evolucionan semana tras semana. Una vez que se establece la capa fundamental, mantenerse actualizado se convierte en la disciplina constante: saber qué herramientas vale la pena evaluar, qué marcos están ganando terreno y qué preguntas hacer cuando los proveedores presentan soluciones.
Ese segundo punto importa más de lo que parece. Los proveedores que venden productos de seguridad de IA ya se están acercando a los equipos de seguridad. Sin un conocimiento básico de cómo se construyen estas aplicaciones, es casi imposible navegar bien en esas conversaciones. No se puede distinguir un control bien diseñado de un envoltorio de marketing si no se comprende lo que se intenta controlar.
Configuración como control de seguridad
Muchas implementaciones de IA agente conllevan riesgos porque se implementaron sin una configuración consciente de la seguridad, no porque las herramientas subyacentes estén fundamentalmente rotas.
Tomemos como ejemplo un asistente de IA autónomo conectado a un canal de comunicación como Telegram, que puede ser común. Sin los controles adecuados, el agente podría responder a cualquiera que le envíe un mensaje. Ése es un punto de entrada completamente abierto. Un simple cambio de configuración (emparejar al agente con una única cuenta confiable) cierra la mayor parte de esa exposición. Una decisión, tomada temprano, con un resultado significativo en materia de seguridad.
El principio más amplio es el alcance. Un agente creado para administrar su calendario no debería tener acceso a su terminal. Un agente que procese solicitudes entrantes no debería tener acceso de escritura a su repositorio de código. Los agentes de alcance para su función prevista limitan el radio de la explosión y reducen la superficie de ataque disponible para la explotación.
La tensión es real: los agentes poderosos necesitan un amplio acceso para ser útiles. Ésa es la compensación que las organizaciones rechazarán. Encontrar el equilibrio adecuado requiere la participación de la seguridad en las primeras etapas del proceso de diseño: antes de que se establezca la arquitectura y antes de que los permisos ya estén implementados.
Avanzando en SANSFIRE 2026
Las organizaciones que ahora desarrollen una verdadera fluidez en seguridad de la IA estarán posicionadas para dar forma a cómo se implementan estos sistemas. Aquellos que lleguen tarde se encontrarán, una vez más, aplicando controles a una arquitectura que ya se decidió sin ellos.
Este julio estaré enseñando. SEC545: Seguridad de aplicaciones GenAI y LLM en SANSFIRE 2026. El curso cubre cómo se construyen realmente las aplicaciones de IA, cómo funcionan los sistemas agentes en la práctica, las superficies de ataque reales que los equipos de seguridad deben comprender y las herramientas y controles disponibles para abordarlas, incluido el trabajo práctico con técnicas como el escaneo de modelos para detectar modelos comprometidos antes de que se ejecuten en su entorno. Para los profesionales que quieran interactuar con los sistemas de IA desde una base de comprensión real, aquí es por donde empezar.
Nota: Este artículo ha sido escrito y contribuido por expertos de Ahmed Abuharbia, Instructor certificado SANS.
