La llegada de agentes autónomos de inteligencia artificial está redefiniendo la manera en que operan las organizaciones, pero también está creando un nuevo punto ciego en la ciberseguridad que muchos aún no han detectado. A diferencia de los modelos generativos que responden a órdenes humanas, estos agentes actúan por iniciativa propia, ejecutando tareas complejas en múltiples pasos, interactuando con sistemas internos y externos y recolectando datos de diferentes fuentes sin intervención humana directa.
Cuando las máquinas mandan… y no se quejan
En las redes empresariales actuales, las identidades de máquina ya superan en número a las humanas, y su gestión se vuelve caótica en muy poco tiempo. El problema se agrava cuando a estos agentes se les conceden permisos excesivos para “facilitar su funcionamiento”. Si uno de ellos es comprometido, un atacante podría moverse lateralmente por la red, escalar privilegios, robar datos, desplegar malware o incluso secuestrar sistemas internos críticos.
Y lo peor: las máquinas no se quejan. Cuando algo falla, simplemente se rompe. Mientras tanto, los departamentos de IT —ya sobrecargados— suelen optar por soluciones rápidas: más permisos, menos fricción. Pero esa comodidad tiene un precio.
Shadow AI: el caos silencioso que nadie controla
Hoy es extremadamente fácil que un empleado no técnico descargue un agente de código abierto, lo conecte a fuentes de datos corporativas y lo ponga en marcha sin conocimiento de IT. Este fenómeno, conocido como shadow AI o “IA en la sombra”, abre la puerta a lo que se ha bautizado como agent sprawl: una proliferación incontrolada de agentes actuando en segundo plano, sin gobernanza ni trazabilidad.
¿La solución? Identidad de máquina bien gestionada
Para recuperar el control, IT necesita automatizar el descubrimiento continuo de todos los agentes en su entorno. Solo así podrá obtener una visión unificada de todas las identidades (humanas y no humanas) y sus permisos. A partir de ahí, aplicar el principio de privilegios mínimos: permisos de solo lectura por defecto, y solo conceder escritura o eliminación de datos en casos justificados y controlados.
Un buen ejemplo es Delinea, que ha desarrollado una plataforma de seguridad de identidades basada en la nube que permite descubrir, gobernar y administrar todas las cuentas —incluso aquellas que IT no ha creado— desde un solo panel.
“Un agente de IA no es más que una cuenta. Lo que necesitas es saber qué hace, qué permisos tiene y si debería tenerlos”, explica Phil Calvin, Chief Product Officer de Delinea.
La pregunta ya no es si debes usar agentes de IA en tu organización. Es si tienes el control sobre lo que hacen.
0 Comentarios