Una historia reconfortante está ganando popularidad en los círculos de ciberseguridad empresarial: la IA se interrumpe en tiempo de ejecución porque no hemos protegido los datos mientras la utilizamos, y la respuesta es envolver las cargas de trabajo en memoria cifrada, enclaves de hardware y autenticación criptográfica.
Si se consigue el modelo de privacidad correcto, sigue la lógica, la seguridad de la IA seguirá.
CEO y fundador de EnforceAuth.
Se requiere privacidad. No es suficiente.
Una carga de trabajo de IA que se ejecuta en un enclave totalmente autenticado y cifrado ejecutará, con total fidelidad, cualquier instrucción que le llegue, incluidas instrucciones para filtrar una base de datos de clientes, una configuración de producción o transferir dinero a la cuenta de un atacante.
Protege los bytes del enclave. No pregunta si la acción debería ocurrir.
Esa pregunta: en este contexto, ¿se debería permitir que esta identidad tome esta acción contra este activo ahora mismo? – Casi nadie responde la pregunta en tiempo de ejecución.
Esta es la brecha de autorización, y aquí es donde realmente falla la seguridad de la IA moderna.
diagnóstico erróneo
El diagnóstico convencional es más o menos así: los datos tienen tres estados (en reposo, en tránsito y en uso) y la industria protege los dos primeros pero expone el tercero. Cifre la memoria, aísle la ejecución, valide la pila y se resolverá el problema del tiempo de ejecución.
Este encuadre es un error de categoría. Trata la seguridad de la IA como un problema de datos cuando, como mucho, es un problema de gestión y acción de identidad. Las infracciones que realmente están ocurriendo y que definirán la próxima ola de incidentes empresariales no parecen un atacante leyendo el peso del modelo fuera de la RAM. Ven que a un agente con demasiados privilegios no se le debería haber permitido llamar a esto una llamada de herramienta.
Parecen un modelo afinado que obedece obedientemente un mensaje redactado cortésmente que lo guía a través del borrado de datos de producción. Parecen una identidad no humana (uno de los doce agentes de IA creados ahora) que posee credenciales que ningún ser humano ha revisado jamás y las utiliza contra sistemas que nunca están restringidos por políticas.
No puedes encriptar tu salida de ninguno de los dos. El descifrado ya se ha producido. Certificación ya aprobada. La carga de trabajo es hacer exactamente lo que su memoria le dice que haga. El fracaso está en la fase anterior de la memoria: no había ningún punto de cumplimiento para preguntar si la acción estaba permitida en primer lugar.
La cortesía es una trampa.
Hay una segunda falacia relacionada: que la protección de la IA (las tareas de alineación, barandilla y filtrado de contenido que evitan que un modelo produzca resultados dañinos) es lo mismo que la protección de la IA. No lo es. Un modelo entrenado para ser útil, inocente y honesto intentará ayudar por diseño.
Cuando un atacante enmarca una solicitud maliciosa como una necesidad comercial razonable, la capacitación en seguridad del modelo es lo que la respalda. A esto lo llamamos la trampa de la cortesía, y es por eso que una IA educada no es lo mismo que una IA segura.
La seguridad controla lo que un modelo está dispuesto a hacer. La seguridad controla lo que está permitido. No aborde la informática confidencial. Aborda lo que expondrá el hardware subyacente. Tres problemas diferentes, tres planos de control diferentes, y la industria sigue combinándolos
Cómo se ve realmente la aplicación del tiempo de ejecución
La pregunta correcta que hay que plantearse sobre cualquier sistema de IA en producción es “¿está cifrada la memoria?” Es decir: en el momento en que este agente intenta realizar una acción, ¿quién aplica la política que decide si puede realizarla?
En la mayoría de las empresas actuales, la respuesta honesta es: nadie. La lógica de autorización se encuentra dispersa en el código de la aplicación, políticas de IAM escritas para usuarios humanos, reglas de IdP diseñadas para flujos de SSO y una acumulación de términos codificados que nadie posee.
Las identidades no humanas (cuentas de servicio, claves API, credenciales de agentes, tokens de herramientas) ahora superan en número a las identidades humanas en una proporción de 82 a una en una empresa típica, y casi ninguna de ellas está controlada por la capa de aplicación del tiempo de ejecución. Se guían por la esperanza.
La aplicación de la autorización en tiempo de ejecución significa algo específico. Esto significa un punto de decisión de política que se encuentra en el camino de cada solicitud de acción de IA (cada llamada a una herramienta, cada acceso a datos, cada invocación de API posterior) y responde, en milisegundos de un solo dígito, si esa identidad en particular tiene permiso para tomar esa acción en particular contra ese recurso en particular en el contexto actual.
Significa políticas publicadas como código, versiones, probadas y auditables. Esto significa que se aplica la misma implementación si el actor es un humano, un servicio, un modelo o un agente que invoca a otro agente con tres saltos de profundidad.
Esto significa que cuando algo sale mal (y algo saldrá mal), hay un registro de decisiones que le indica exactamente qué identidad se intentó y por qué se aprobó o rechazó.
No es una arquitectura teórica. Es un patrón de trabajo, implementado en producción por empresas que ya reconocen que el perímetro ha desaparecido, que la red no es un límite de confianza y que el único lugar donde realmente se puede aplicar la seguridad de la IA es en el momento de la acción.
Por qué el aislamiento de hardware no cierra la brecha
Aquí hay un movimiento tentador, que sostiene que la informática confidencial y la autorización del tiempo de ejecución son complementarias, y que las empresas deberían simplemente hacer ambas cosas. Esto es cierto en el sentido limitado de que cualquier postura de defensa en profundidad se beneficia de más capas. Pero no entiende hacia dónde fluyen el presupuesto, la atención y las decisiones arquitectónicas.
El riesgo es que las organizaciones adopten informática confidencial, declaren soluciones de seguridad en tiempo de ejecución y nunca creen capas de autorización. Gastarán significativamente para protegerse contra un modelo de amenaza (un hipervisor comprometido o una inspección de la memoria por parte de personas internas con acceso físico) que eclipsa en frecuencia e impacta las amenazas que realmente se desarrollan en la práctica: agentes y servicios con demasiado acceso, que actúan según instrucciones que nadie valida, nadie protege los recursos.
Si tiene un presupuesto de seguridad en tiempo de ejecución para gastar en 2026, gástelo en cumplimiento, no en cifrado. El problema del uso de datos es real. Los problemas de autorización de uso son mayores, más comunes y aparecerán en los informes de incidentes.
Preguntas que todo CISO debería hacerse
El diagnóstico es sencillo. Elija cualquier agente de IA que se esté ejecutando en su entorno hoy y haga tres preguntas.
la primera: Cuando este agente realiza una llamada de herramienta, ¿qué punto de decisión de política evalúa si la llamada está autorizada y dónde se lleva a cabo esa evaluación? Si la respuesta es “la aplicación lo implementa” o “el IDP lo administra” o “confiamos en el marco del agente”, el tiempo de ejecución es vulnerable.
el segundo: ¿Cuántas identidades no humanas asume este agente al completar una tarea y quién ha revisado los permisos para cada una? Si la respuesta implica una cuenta de servicio creada en 2022 con amplios privilegios en la nube, el tiempo de ejecución es vulnerable.
el tercero: Si este agente se ve comprometido (mediante una inyección inmediata, una descripción de una herramienta tóxica, un compromiso de la cadena de suministro de un servidor MCP), ¿cuál es el radio de explosión? Si la respuesta es “algo que sus credenciales puedan alcanzar”, el tiempo de ejecución es vulnerable.
Ninguna de estas preguntas se responde cifrando la memoria. Todos ellos son respondidos por una capa de aplicación de autorización en tiempo de ejecución.
Cambio real
De hecho, la seguridad se elimina en el momento de su uso. Esa parte de la descripción convencional es correcta. Pero el momento de uso lo define la acción, no la memoria. Se define por lo que una identidad puede hacer, no por si los bytes que describen esa acción están cifrados en tránsito a través de una CPU.
Las empresas que reconozcan esto construirán sistemas de inteligencia artificial que puedan escalar de forma segura. Las empresas que confundan la privacidad con la seguridad construirán sistemas de inteligencia artificial que amplíen su exposición.
La brecha de autorización es la brecha entre la seguridad de la IA y la seguridad de la IA: lo que un modelo está dispuesto a hacer y lo que se le permite hacer. Cerrar esa brecha es la tarea de la próxima década. Esto no sucede en el silicio. En principio, esto sucede, implementado en tiempo de ejecución, en cada ruta de decisión de un sistema de IA.
Cifrar la memoria. Sin falta. Pero no confunda una habitación cerrada con una segura. Las puertas cerradas no son lo mismo que las reglas sobre quién entra y, en la era de la IA agente, son las reglas (que se aplican en todo momento y en tiempo real) las que determinan si su empresa es verdaderamente segura.
Hemos revisado el mejor software antivirus..
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
