La incorporación de agentes autónomos de inteligencia artificial en entornos productivos representa uno de los cambios más profundos que han ocurrido en la arquitectura operativa de las organizaciones durante los últimos años. A diferencia de los sistemas tradicionales de automatización, como scripts, bots RPA o pipelines programados, los sistemas de Agentic AI combinan modelos de lenguaje avanzados, acceso directo a herramientas operativas y capacidad de planificación autónoma para ejecutar tareas complejas en nombre de usuarios o sistemas.
Un agente basado en IA puede:
- modificar configuraciones en infraestructura cloud
- ejecutar comandos administrativos en entornos productivos
- interactuar con APIs corporativas internas
- crear o modificar artefactos de software en pipelines CI/CD
- consultar bases de datos corporativas o repositorios de código
- activar workflows organizacionales completos
La diferencia estructural respecto de la automatización tradicional es que el agente decide dinámicamente qué acciones ejecutar a partir de un contexto semántico y no únicamente sobre un conjunto de instrucciones programadas. Este cambio introduce un nuevo plano de riesgo operativo que no estaba contemplado en los modelos clásicos de seguridad de sistemas.
Desde la perspectiva de la seguridad informática, la adopción de Agentic AI implica trasladar capacidades tradicionalmente reservadas a operadores humanos hacia sistemas probabilísticos cuya lógica interna no es completamente determinista ni fácilmente auditable.
Este fenómeno fue analizado formalmente por marcos de amenazas especializados en inteligencia artificial como MITRE ATLAS, el repositorio de tácticas y técnicas adversariales aplicadas a sistemas de machine learning (https://atlas.mitre.org/).
De asistentes a operadores: la evolución hacia Agentic AI
Los primeros sistemas de inteligencia artificial empresarial estaban diseñados como herramientas de asistencia. Un ejemplo típico era un asistente de programación que sugería fragmentos de código o un sistema de recomendación que ayudaba a tomar decisiones.
Los agentes autónomos actuales representan un cambio conceptual significativo. En lugar de sugerir acciones, estos sistemas pueden ejecutarlas directamente.
Arquitecturas como las desarrolladas en frameworks de agentes (por ejemplo, implementaciones basadas en modelos de lenguaje con herramientas externas) permiten que el sistema:
- interprete una solicitud de alto nivel
- planifique los pasos necesarios
- seleccione herramientas disponibles
- ejecute llamadas a APIs o comandos
- evalúe resultados intermedios
- continúe iterando hasta completar el objetivo
Este modelo se aproxima al paradigma de sistemas autónomos de software descrito en investigaciones académicas sobre agentes basados en modelos de lenguaje (https://arxiv.org/abs/2308.11432).
Desde el punto de vista operativo, esto implica que el modelo se convierte en un actor dentro del sistema organizacional.
En consecuencia, el problema de seguridad deja de ser únicamente la protección del modelo y pasa a incluir la seguridad del comportamiento operativo del agente.
El nuevo perímetro de riesgo: agentes con privilegios operativos
El principal riesgo de los sistemas de Agentic AI surge cuando estos agentes reciben acceso privilegiado a herramientas operativas.
En entornos empresariales reales, estos privilegios pueden incluir:
- credenciales persistentes de APIs corporativas
- permisos administrativos en plataformas cloud
- acceso a pipelines CI/CD
- tokens de autenticación para microservicios
- acceso a sistemas de ticketing o automatización interna
Este patrón ya está emergiendo en múltiples implementaciones de copilots empresariales diseñados para automatizar operaciones de DevOps, administración cloud o gestión de sistemas.
Desde una perspectiva de seguridad, esto crea una situación inédita: un sistema probabilístico que toma decisiones dinámicas opera con credenciales equivalentes a las de un administrador humano.
El problema se agrava por varias características inherentes a los modelos de lenguaje:
- comportamiento no determinista
- dependencia del contexto textual
- susceptibilidad a manipulación semántica
- opacidad parcial del proceso de razonamiento
Estos factores transforman al agente en una superficie de ataque operativa.
Prompt Injection: el vector de ataque dominante
Uno de los riesgos más discutidos en la seguridad de sistemas basados en modelos de lenguaje es la prompt injection, una técnica mediante la cual un atacante introduce instrucciones maliciosas en el contexto interpretado por el modelo.
A diferencia de una inyección tradicional (como SQL injection), el vector no explota una vulnerabilidad sintáctica sino la forma en que el modelo interpreta lenguaje natural.
Un atacante puede insertar instrucciones en diferentes lugares del contexto que consume el agente:
- documentos externos
- páginas web analizadas por el agente
- mensajes de correo procesados automáticamente
- comentarios en repositorios de código
- campos de texto en aplicaciones internas
Investigaciones Académicas han demostrado que los modelos de lenguaje pueden ser inducidos a ignorar instrucciones de seguridad si el atacante formula adecuadamente el contenido malicioso (https://arxiv.org/abs/2302.12173).
En el contexto de agentes autónomos con capacidad de ejecución, esto implica que un simple fragmento de texto podría inducir al agente a:
- revelar credenciales
- modificar configuraciones
- ejecutar comandos administrativos
- enviar información sensible a sistemas externos
El riesgo se multiplica cuando el agente tiene acceso directo a herramientas operativas.
El problema de las credenciales persistentes
Una práctica frecuente en sistemas de agentes empresariales es la asignación de credenciales persistentes para acceder a APIs corporativas.
Estas credenciales suelen estar almacenadas en:
- variables de entorno
- gestores de secretos
- configuraciones del agente
- tokens generados dinámicamente por sistemas IAM
Aunque estos mecanismos son comunes en sistemas de automatización, el problema cambia radicalmente cuando el actor que utiliza las credenciales es un modelo de lenguaje.
En sistemas tradicionales, el comportamiento del programa es determinista y auditable. En cambio, en un agente autónomo el uso de credenciales depende de decisiones tomadas por el modelo en tiempo de ejecución.
Esto introduce un nuevo tipo de riesgo que algunos investigadores han denominado capability leakage, donde el modelo puede ser inducido a utilizar herramientas disponibles de manera inesperada (https://arxiv.org/abs/2308.03825).
Ausencia de separación de deberes
Otro problema estructural de seguridad es la falta de separación de funciones (segregation of duties).
En arquitecturas tradicionales de seguridad empresarial se aplican principios como:
- privilegio mínimo
- separación de funciones
- control dual
- revisiones de cambios
Sin embargo, muchos sistemas de Agentic AI violan estos principios al otorgar a un único agente la capacidad de:
- interpretar instrucciones
- planificar acciones
- ejecutar cambios
- validar resultados
Esto equivale a concentrar en una única entidad el rol de analista, operador y auditor simultáneamente.
Desde el punto de vista de control interno, esto contradice principios ampliamente establecidos en marcos de gobernanza de TI y seguridad.
Riesgos en pipelines CI/CD y DevOps
Uno de los ámbitos donde los agentes autónomos están comenzando a utilizarse con mayor intensidad es la automatización de pipelines de desarrollo y despliegue.
En estos entornos, un agente puede:
- crear pull requests
- modificar archivos de configuración
- activar builds
- ejecutar despliegues automáticos
- modificar infraestructura como código
Si un atacante logra manipular el contexto del agente, por ejemplo mediante prompt injection en comentarios de repositorio, el agente podría introducir cambios maliciosos en el pipeline.
Este tipo de ataque representa una evolución de los riesgos tradicionales de supply chain compromise documentados en incidentes recientes como el compromiso de herramientas de construcción de software.
El riesgo se amplifica debido a que el agente podría ejecutar múltiples pasos automáticamente antes de que un operador humano detecte la anomalía.
Falta de auditoría verificable
Un problema adicional es la dificultad para auditar decisiones tomadas por agentes basados en modelos de lenguaje.
En sistemas tradicionales, la lógica del programa puede revisarse en el código fuente. En cambio, el comportamiento de un agente depende de múltiples factores:
- el prompt inicial
- el contexto dinámico
- las respuestas generadas por el modelo
- las herramientas disponibles
- la evolución de la conversación interna
Esto crea lo que algunos investigadores denominan traceability gap, es decir, la dificultad para reconstruir exactamente por qué el sistema tomó una decisión determinada.
El problema se vuelve crítico cuando el agente ejecuta acciones con impacto operativo significativo.
El modelo de amenazas emergente
La aparición de sistemas Agentic AI está generando un nuevo campo dentro de la seguridad informática que algunos investigadores describen como AI Operational Security.
El marco MITRE ATLAS ya incluye múltiples técnicas relevantes para este tipo de escenarios, incluyendo:
- manipulación de entradas del modelo
- exfiltración de información a través del modelo
- explotación de dependencias del sistema de IA
- abuso de capacidades del modelo para ejecutar acciones (https://atlas.mitre.org/).
Este enfoque refleja un cambio conceptual importante: el modelo ya no es simplemente un componente vulnerable, sino un actor operativo dentro del sistema.
Estrategias de mitigación
La mitigación de riesgos en sistemas Agentic AI requiere un enfoque arquitectónico diferente al de los sistemas tradicionales.
Entre las estrategias recomendadas en investigaciones recientes se incluyen:
Aislamiento de capacidades
Los agentes deben acceder a herramientas a través de capas de control que validen las acciones antes de ejecutarlas.
Políticas de autorización explícitas
Cada acción que el agente pueda ejecutar debe estar asociada a políticas verificables de autorización.
Auditoría exhaustiva de decisiones
Los sistemas deben registrar de forma completa:
- Prompts
- respuestas del modelo
- herramientas utilizadas
- resultados obtenidos
Reducción de privilegios
Los agentes deben operar bajo el principio de mínimo privilegio estricto.
Supervisión humana en operaciones críticas
Las acciones con impacto significativo deben requerir confirmación humana.
Conclusión: el nuevo problema de seguridad de la automatización cognitiva
La adopción de Agentic AI en entornos empresariales marca el inicio de una nueva fase en la evolución de la Ciberseguridad.
Durante décadas, el desafío de la seguridad informática consistió en proteger sistemas deterministas frente a actores maliciosos. Con los agentes autónomos, el desafío cambia radicalmente: ahora debemos proteger sistemas en los que las decisiones operativas pueden ser tomadas por modelos probabilísticos entrenados con datos masivos.
Esto no implica que los agentes autónomos sean inherentemente inseguros. De hecho, su potencial para aumentar la productividad organizacional es enorme.
Pero su incorporación sin controles adecuados introduce una nueva categoría de riesgo: errores operativos amplificados por autonomía algorítmica.
En términos prácticos, esto significa que una única manipulación contextual, por ejemplo un documento malicioso, un comentario en un repositorio o un prompt cuidadosamente diseñado, podría desencadenar acciones operativas de gran impacto.
El desafío para la próxima generación de arquitecturas de ciber seguridad será diseñar sistemas capaces de contener y gobernar agentes autónomos con privilegios operativos, sin sacrificar las ventajas de la automatización cognitiva.
La seguridad de la inteligencia artificial empresarial ya no consiste únicamente en proteger modelos. Consiste en gobernar entidades de software que pueden actuar dentro de la organización. Y esa transición redefine profundamente el perímetro de la ciberseguridad.
Leer más
- Dynatrace amplía las integraciones de AWS en re:Invent 2025; obtiene la especialización AWS Agentic AI y es nombrado Socio Tecnológico del año para el sector público en Latinoamérica
- Red Hat lanza Red Hat AI Enterprise para ofrecer una plataforma de IA unificada de la infraestructura a los agentes
- La IA agéntica crecerá más de 8 veces en 2026
