Los agentes de IA están remodelando la forma en que las empresas operan automáticamente, pero su efectividad depende del acceso a sistemas y datos confidenciales.
La paradoja es que permitirlos a voluntad crea nuevas superficies de ataque que las organizaciones aún no están equipadas para manejar.
Este es el atractivo definitorio de la era de la IA.
Director de Inteligencia de Amenazas Okta.
Los agentes de IA se están extendiendo por toda la empresa: el 91 % de las organizaciones ya los utilizan, pero solo el 10 % tiene una estrategia clara de gestión de TI.
Esta brecha es importante a medida que estos sistemas se vuelven más autónomos y más profundamente integrados en los flujos de trabajo, con empresas que operan sin una visibilidad clara, una supervisión significativa y un control sobre cómo se comportan sus agentes de IA.
Problemas de acceso
Nuestra investigación reciente reveló cómo los agentes que se ejecutan en la plataforma de automatización de agentes de IA de código abierto OpenClaw pueden exponer credenciales y filtrar información confidencial cuando los atacantes comprometen los canales de comunicación que controlan.
Para apreciar la magnitud de este riesgo, primero debemos comprender la plataforma en sí. OpenClaw combina una interfaz estilo chatbot con acceso a herramientas externas y grandes modelos de lenguaje.
Luego, los usuarios pueden configurar agentes para navegar por la web, leer y escribir archivos, administrar bandejas de entrada, ejecutar comandos o comunicarse con otras máquinas. En muchos casos, están diseñados para funcionar de forma autónoma con una mínima supervisión humana.
Este nivel de acceso es lo que hace que los agentes sean poderosos, ya que ayuda a muchos a manejar tareas administrativas y que requieren mucho tiempo del día a día. Sin embargo, este poder es un arma de doble filo y puede plantear riesgos para las empresas.
Cuando el agente está en la superficie de ataque.
Para ser útiles, los agentes necesitan acceso a herramientas, cuentas, aplicaciones, la web y más. A menudo, esto significa que un agente necesita acceso a secretos: claves API, tokens de acceso privado, certificados, archivos .env, tokens OAuth.
De forma predeterminada, a los agentes/modelos se les pide que sean lo más útiles posible, y esa característica comienza a generar algunas preocupaciones particulares cuando se trata de certificados y tokens. Si un agente como OpenClaw no puede acceder a un recurso, solicitará credenciales en el chat directo, revelando esos secretos dentro de la ventana contextual. Los agentes almacenarán gustosamente las claves API en sus archivos de configuración cifrados, a los que el malware de robo de datos está empezando a apuntar.
Las capacidades de acceso remoto pueden crear efectivamente una puerta trasera en entornos empresariales. Si un atacante obtiene acceso a un canal de comunicación que controla un agente, como una plataforma de mensajería o de acceso remoto, potencialmente puede obtener acceso a todo lo que el propio agente puede acceder. En un contexto empresarial, esto es una pesadilla.
La paradoja del riesgo percibido
Quizás el hallazgo más revelador fue que algunos agentes aceptan conductas de riesgo y al mismo tiempo las llevan a cabo. Dicta cómo sus poderes de toma de decisiones y acciones autónomas pueden representar un riesgo comercial.
En una prueba, un agente identificó correctamente que la publicación de un token de actualización de OAuth a través de un canal de comunicación cifrado representaba una violación de seguridad grave. Pero luego procedió a compartir los tokens de todos modos antes de expresar preocupaciones sobre su decisión.
Las organizaciones no deberían confiar en las vallas invisibles que los proveedores de modelos fronterizos colocan alrededor de los agentes. Son fácilmente prevenibles.
Pero un agente de IA no puede exponer credenciales a las que no tiene acceso. Es por eso que la conversación sobre la seguridad de los agentes de IA no puede centrarse únicamente en barreras de seguridad sólidas. Los atacantes ya están encontrando formas de manipular el comportamiento de los agentes mediante inyección rápida, ingeniería social y canales de comunicación comprometidos.
Regla, no sólo la barandilla
Los agentes de IA son esencialmente identidades dentro de los sistemas empresariales y deben gestionarse como tales. Realizan acciones y toman decisiones operativas de una manera que se parece cada vez más a empleados humanos o cuentas de servicios privilegiadas. Sin embargo, muchas organizaciones están implementando estos sistemas sin aplicar los mismos estándares de gobernanza.
La mayoría de las empresas ya comprenden la importancia del acceso con privilegios mínimos, el registro de auditoría, la gestión de identidades y la revisión del acceso de los empleados. Los agentes de IA deberían estar sujetos a los mismos principios. Esto significa limitar a qué pueden acceder los agentes, evitar credenciales de larga data siempre que sea posible y garantizar que los datos confidenciales se almacenen de forma segura a través de sistemas centralizados con supervisión humana.
Las organizaciones también necesitan visibilidad sobre dónde se implementan los agentes, con qué herramientas pueden interactuar y cómo desactivarlas rápidamente si algo sale mal. Si un agente se vuelve deshonesto, es necesario que haya un “interruptor de apagado”, que revoca inmediatamente el acceso del agente al recurso, y una manera de detenerlo.
Los sistemas de IA agente pueden ofrecer importantes ventajas operativas, pero implementarlos sin una identidad sólida y una gobernanza de acceso introduce importantes riesgos de seguridad. A medida que estos sistemas se integran más profundamente en los entornos empresariales, las organizaciones deben dejar de tratarlos como herramientas experimentales y comenzar a gestionarlos como parte de la fuerza laboral digital.
Eso significa gestionar el ciclo de vida completo de los agentes, desde saber qué agentes se implementan hasta a qué recursos acceden, y mantener un registro de auditoría completo para que nadie pueda decir: “No sé qué pasó. El agente lo hizo”.
No hay ninguna razón por la que el conocimiento de seguridad tradicional, como las políticas de privilegios mínimos, la gestión del ciclo de vida y el registro sólido, deban descartarse en una era de agentes. De hecho, es más relevante que nunca.
Hemos probado y revisado el mejor almacenamiento en la nube..
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
