El perímetro empresarial ahora incluye a todos los agentes de IA

Los equipos de seguridad empresarial pasaron años reforzando los controles en torno a los usuarios humanos: MFA resistente al phishing, postura de los endpoints, acceso condicional y gobierno de la identidad. Ese trabajo es importante, pero también ha creado un peligroso punto ciego. La superficie de ataque de más rápido crecimiento en muchas organizaciones ya no es la cuenta del empleado. Es la creciente población de identidades no humanas, que incluye cuentas de servicio, cargas de trabajo, integraciones de API, bots, pipelines de automatización y ahora agentes de IA que actúan en todos los sistemas empresariales con autoridad delegada.

Los agentes de IA intensifican este cambio porque no se limitan a autenticarse en una aplicación y esperar instrucciones. Encadenan herramientas, recuperan datos, llaman a APIs, toman decisiones, activan flujos de trabajo y operan cada vez más con amplios permisos en sistemas de la nube, SaaS e internos. En la práctica, muchas empresas están desplegando capacidades agénticas sobre una higiene de identidad de máquina deficiente: secretos compartidos, credenciales codificadas, alcances de token excesivos, inventario deficiente y poca gobernanza del ciclo de vida. Esa combinación crea una superficie de ataque que se expande más rápido de lo que la mayoría de los programas de IAM, seguridad y riesgo están preparados para controlar.

Por qué las identidades no humanas se han convertido en un riesgo prioritario

Las identidades no humanas han existido durante años, pero su escala y poder han cambiado. Las arquitecturas nativas de la nube crearon grandes poblaciones de principales de servicio, workload identities, roles de cómputo efímeros, cuentas de automatización e integraciones de terceros. La adopción de la IA está ahora haciendo que esa curva de crecimiento sea más pronunciada. Cada nuevo agente, plataforma de orquestación, plugin, conector de recuperación y flujo de trabajo en segundo plano introduce credenciales, permisos, relaciones de confianza y rutas de ejecución adicionales.

A diferencia de los usuarios humanos, estas identidades a menudo se crean rápidamente, su propiedad es ambigua y se supervisan de forma inconsistente. Pueden eludir los procesos normales de alta, cambio y baja de empleados. Con frecuencia están exentas de MFA porque no pueden completar desafíos interactivos. Sus secretos a menudo se almacenan en repositorios de código, variables de CI/CD, archivos de configuración, notebooks, extensiones de navegador o plataformas de proveedores fuera de la pila principal de IAM. Muchas tienen privilegios excesivos porque reducir el alcance lleva tiempo, mientras que el acceso amplio hace que los prototipos funcionen de inmediato.

Los atacantes entienden esto. Una API key comprometida, un token filtrado o una cuenta de servicio mal configurada pueden proporcionar un acceso silencioso y duradero sin necesidad de hacer phishing a un empleado. Cuando esa identidad pertenece a un flujo de trabajo habilitado para IA, el radio de explosión puede ser mayor: acceso a datos sensibles, la capacidad de desencadenar acciones posteriores y la apariencia de un comportamiento automatizado legítimo que se mezcla con el ruido operativo.

Cómo los agentes de IA empeoran el problema

1. Multiplican las identidades más rápido de lo que el gobierno puede alcanzar

Los despliegues de agentes rara vez llegan como una plataforma gobernada centralmente. Surgen a través de pilotos en ingeniería, soporte, finanzas, marketing y operaciones. Los equipos conectan agentes a sistemas de tickets, CRMs, repositorios de código, herramientas de mensajería, almacenes de documentos y bases de conocimiento internas. Cada conexión suele requerir credenciales, tokens, roles o acceso delegado. El recuento de identidades crece más rápido que el entorno de control.

2. Fomentan permisos amplios por conveniencia

Las implementaciones tempranas de agentes a menudo comienzan con privilegios de "simplemente haz que funcione". El acceso de lectura se convierte en lectura-escritura. El alcance limitado del repositorio se convierte en acceso a toda la organización. Los tokens de prueba temporales se convierten en dependencias de producción. Debido a que los agentes dependen del encadenamiento de acciones en múltiples sistemas, los equipos suelen conceder la unión de todos los permisos posibles en lugar del conjunto mínimo necesario para una tarea específica.

3. Crean rutas de abuso indirecto

Un atacante no siempre necesita robar la credencial del agente. La inyección de prompts, la salida de herramientas maliciosas, las fuentes de conocimiento envenenadas o las integraciones ascendentes comprometidas pueden influir en un agente para que use sus permisos legítimos de manera dañina. Si la identidad detrás del agente tiene privilegios excesivos, el atacante puede convertir la lógica de la aplicación en una ventaja operativa.

4. Debilitan la rendición de cuentas

Cuando un agente realiza una acción, ¿quién es responsable? ¿El propietario del negocio, el desarrollador, el equipo de la plataforma, el proveedor del modelo o el equipo de identidad? En muchas empresas, la respuesta no está clara. Esa ambigüedad ralentiza la revocación, debilita los estándares de registro y deja a los respondedores de incidentes adivinando si una acción fue una automatización autorizada, un error del modelo o un uso malicioso.

Brechas de control comunes que las empresas deben esperar encontrar

La mayoría de las organizaciones que evalúan esta área descubren los mismos patrones: inventario incompleto de identidades de máquina, ningún propietario autorizado registrado para las cuentas de servicio, secretos de larga duración sin política de rotación, uso inconsistente de bóvedas (vaults), permisos excesivos, monitoreo limitado del uso de tokens, integraciones de SaaS de terceros fuera de la revisión de adquisiciones y ningún proceso de aprobación estándar para conectar agentes de IA a los datos o sistemas de acción empresariales.

Otra brecha importante es la asimetría de políticas. Las identidades humanas suelen tener fuertes requisitos de gobierno, mientras que las identidades de máquina se tratan como detalles de implementación. Eso ya no es defendible. Si una identidad no humana puede leer registros de clientes, aprobar cambios, enviar mensajes, ejecutar código o activar pagos, debe enfrentar controles proporcionales a ese riesgo, no controles más débiles porque ningún humano inicia sesión de forma interactiva.

Recomendaciones de gobierno que importan ahora

Establecer un inventario de identidades de máquina con propiedad designada

Cada identidad no humana debe tener un propietario registrado, un propósito, un entorno, sistemas conectados, tipo de credencial, nivel de privilegio y fecha de revisión. No más cuentas de servicio huérfanas, no más conectores de agentes desconocidos, no más secretos de producción sin un propietario de negocio.

Clasificar los permisos de los agentes por sensibilidad de la acción

Separe las identidades que solo recuperan información de aquellas que pueden modificar registros, activar flujos de trabajo, mover fondos, cambiar la infraestructura o acceder a datos regulados. Aplique umbrales de aprobación más altos, alcances más estrictos y un registro más sólido a los agentes con capacidad de acción.

Usar por defecto credenciales efímeras y acceso intermediado

Reemplace las API keys estáticas y los secretos de larga duración siempre que sea posible con tokens de corta duración, federación de workload identity, acceso justo a tiempo (just-in-time) y recuperación de secretos mediada centralmente. Si una plataforma de agentes no puede soportar el manejo moderno de credenciales, esa limitación debería contar en contra de la aprobación para producción.

Exigir el mínimo privilegio por tarea, no por plataforma

No le dé a un agente un acceso amplio porque podría necesitarlo eventualmente. Diseñe los permisos en torno a flujos de trabajo específicos. Si es necesario, divida un proceso agéntico en múltiples identidades con alcances y controles separados.

Implementar puertas de política para acciones de alto riesgo

Para operaciones sensibles, agregue aprobación humana, límites de transacción, restricciones de entorno o puntos de control dual. El objetivo no es eliminar la autonomía en todas partes, sino garantizar que la autonomía esté limitada donde el impacto en el negocio es mayor.

Registrar las decisiones de los agentes y el uso de la identidad de una manera que los investigadores puedan seguir

Los equipos de seguridad necesitan trazabilidad a través del prompt, el contexto recuperado, las llamadas a herramientas, el uso de credenciales, las acciones posteriores y los cambios resultantes. Los registros de autenticación estándar por sí solos son insuficientes cuando el riesgo incluye la manipulación indirecta del comportamiento de un agente.

Crear una ruta de revisión formal para los despliegues de agentes

Los equipos de seguridad, IAM y riesgo deben definir una revisión ligera pero obligatoria para cualquier agente que se conecte a los sistemas empresariales. Como mínimo, revise el acceso a los datos, los permisos de acción, el modelo de credenciales, el monitoreo, el manejo de fallas y la capacidad de interruptor de emergencia (kill-switch).

El cambio estratégico que los líderes de seguridad deben hacer

El problema real no es que los agentes de IA sean excepcionalmente peligrosos. Es que están llegando sobre patrimonios de identidad que ya estaban mal gobernados en el lado no humano. Las empresas que continúan centrando la estrategia de identidad casi exclusivamente en los usuarios de la fuerza laboral se perderán hacia dónde se está moviendo realmente la autoridad operativa. Se están delegando más decisiones, más acceso a datos y más acciones comerciales a entidades de software.

Las organizaciones que manejen esto bien tratarán las identidades de máquinas y agentes como sujetos de seguridad de primera clase, con expectativas de gobierno iguales a su poder. Eso significa inventario antes de la escala, mínimo privilegio antes de la conveniencia, acceso efímero antes de secretos estáticos y propiedad responsable antes de que la experimentación se extienda. Los agentes de IA pueden crear un valor empresarial real, pero solo si las identidades detrás de ellos se gobiernan con la misma seriedad que los humanos que alguna vez realizaron esas tareas.

El perímetro ha cambiado de nuevo. Esta vez, no es solo alrededor de los dispositivos o los usuarios. Es alrededor de cada identidad no humana a la que su empresa permite pensar, decidir, conectar y actuar.