Los agentes de IA no tocan la puerta antes de entrar. Escriben código, activan flujos de trabajo y acceden a las API de producción directamente; y en la mayoría de las organizaciones, nadie del equipo de seguridad sabe que están allí.
No es un riesgo futuro. Una encuesta reciente encontró que el 48% de los profesionales de seguridad ya esperan que la IA agente se convierta en el principal vector de ataque para fin de año, ubicándola por delante de los deepfakes y otras amenazas en la lista.
El ritmo del despliegue lo está empeorando. Cuando Moltbot, una herramienta de inteligencia artificial de código abierto, se volvió viral, conectó a 150.000 agentes autónomos a una red compartida casi de la noche a la mañana.
El artículo continúa a continuación.
CEO y cofundador de AppConx.
Los investigadores de seguridad han señalado esto como un modelo de cómo se ve el acceso incontrolado de agentes a escala: exposición de datos personales, canales de comunicación externos y ataques de edición retrasada combinados a partir de entradas que parecen maliciosas por sí solas.
La superficie de ataque está creciendo debido a la brecha de gobernanza entre lo que pueden acceder los agentes de IA y lo que los equipos de seguridad de Internet realmente pueden monitorear.
El tráfico nunca mostrará tus análisis
Las API móviles generalmente se crean bajo el supuesto de que la entidad que solicita es un ser humano que usa su aplicación. La lógica de autenticación, la limitación de velocidad y el monitoreo de sesiones están diseñados en torno a ese modelo mental. Sin embargo, los agentes de IA rompen esa suposición.
Los agentes omiten por completo la capa de interfaz de usuario. Interactúan directamente con las API y operan fuera de los parámetros de comportamiento creados por los usuarios humanos. Esto significa que no generan datos de sesión, patrones de navegación ni señales de interacción que las herramientas de análisis utilizan para la implementación normal. Su tráfico parece válido a nivel de API. Esto a menudo no aparece en los registros que los equipos de seguridad realmente monitorean.
Y el problema se complica rápidamente. Las identidades no humanas (cuentas de servicio, claves API, herramientas de automatización, agentes de inteligencia artificial) ahora superan en número a los usuarios humanos en una proporción de 50 a 1, pero la mayoría opera fuera de cualquier ciclo de vida de gobernanza. Ningún dueño claro. Sin fecha de vencimiento. Sin seguimiento. Las identidades que impulsan la mayor actividad de API están asociadas con la menor visibilidad
Maltbot está amenazado. Palo Alto Networks detectó ataques de inyección rápida ocultos dentro de contenido simple, instrucciones que instruyen a los agentes a filtrar datos privados o crear cargas útiles de edición retrasada a partir de entradas que parecen maliciosas al llegar. Sin advertencias, sin anomalías, solo un agente que hace exactamente lo que le dijeron.
Cómo los desarrolladores están abriendo puertas sin darse cuenta
Los agentes de IA están llegando a la producción antes de que los equipos de seguridad se den cuenta. La adopción de la IA en la sombra y la integración rápida, a menudo inesperada, de servidores MCP (Protocolo de contexto modelo) de código abierto en los flujos de trabajo de desarrollo significan que la implementación está superando la supervisión por un amplio margen.
Los agentes requieren un amplio acceso a las funciones y, una vez que se concede ese acceso, casi nunca se revisa ni se reduce después de la implementación. Un agente aprovisionado para una tarea termina con acceso permanente más allá de lo necesario para esa tarea.
El código en sí conlleva el riesgo. El código escrito por IA puede pasar todas las comprobaciones individuales y seguir siendo vulnerable debido a fallas en la forma en que interactúan sus componentes en tiempo de ejecución. Los errores lógicos aparecen en las brechas entre sistemas, no dentro de ellos.
La integración de terceros amplía aún más la exposición. Los agentes interactúan con las API de pagos, análisis y mensajería bajo los mismos supuestos de confianza poco examinados que ya hacen que las conexiones externas sean una responsabilidad y representan el 35% de las violaciones de seguridad más comunes.
La aplicación Dipsik para Android le pone cara. Este es exactamente el tipo de producto que esperaría que tuviera medidas de seguridad. No sucedió. Se descubrieron seis vulnerabilidades críticas (configuraciones de red inseguras y falta de validación SSL, entre ellas) en una aplicación emblemática de IA. La misma categoría de riesgo que se supone que eliminan las herramientas de IA.
Lo que los agentes de IA realmente necesitan gestionar
El punto de partida es reconocer que las pruebas en un momento dado no funcionan para los agentes. Trabajan constante y dinámicamente, por lo que una instantánea estática de su comportamiento no dice casi nada sobre lo que están haciendo una hora después. Un pentest tradicional captura un momento en el tiempo. Entonces, los agentes crean riesgos en cada momento. La cobertura de seguridad debe coincidir con esa cadencia.
Desde allí, consulte Permisos. El privilegio mínimo no es una política reservada para usuarios humanos. Esto se aplica a todas las entidades no humanas de su entorno. Acceda estrechamente al Scope Agent desde el principio y cree un proceso de revisión que no dependa de recordar hacerlo manualmente.
También es necesario desarrollar el seguimiento. La detección de anomalías basada en volumen pasa por alto la mayoría de los abusos provocados por agentes. Lo que importa son los patrones de comportamiento, como secuencias de llamadas API inusuales, coordinación inesperada de acceso a datos e integraciones que se activan fuera de los parámetros normales.
Y debido a que los agentes operan a la velocidad de la máquina, el monitoreo revisado por humanos por sí solo no podrá detectarlo a tiempo. La validación autónoma, en la que la IA busca constantemente en su entorno de la misma manera que lo haría un agente malicioso, cierra esa brecha.
La misma lógica se aplica dentro del proceso de desarrollo. Es necesario incorporar puntos de control de seguridad en CI/CD para que el código escrito o activado por IA se valide antes de que llegue a producción, no después.
Finalmente, considere a los agentes como su propia clase de identidad. No son usuarios y no son software tradicional. Requieren el mismo rigor administrativo que se aplica a las API de terceros y a las integraciones externas, algo que la mayoría de las organizaciones todavía están trabajando para lograr.
Los agentes de IA no van a desaparecer. Los equipos que los gestionen de forma proactiva estarán en mejor posición que aquellos que los traten como herramientas pasivas. Cerrar la brecha entre el acceso y la supervisión es tanto una decisión de flujo de trabajo como de seguridad.
Consulte nuestra lista del mejor software de seguridad para terminales.
