Los agentes de IA están acelerando la forma en que se realiza el trabajo. Programan reuniones, acceden a datos, activan flujos de trabajo, escriben código y toman medidas en tiempo real, impulsando la productividad más allá de la velocidad humana en toda la empresa.
Luego llega el momento en que todos los equipos de seguridad finalmente atacan:
«Espera… ¿quién aprobó esto?»
A diferencia de los usuarios o las aplicaciones, los agentes de IA a menudo se implementan rápidamente, se comparten ampliamente y se les otorgan amplios permisos de acceso, lo que dificulta el seguimiento de la propiedad, la aprobación y la responsabilidad. Lo que alguna vez fue una pregunta sencilla ahora es sorprendentemente difícil de responder.
Los agentes de IA rompen los modelos de acceso tradicionales
Los agentes de IA no son un tipo más de usuario. Se diferencian fundamentalmente de las cuentas de servicios tradicionales y humanas, y esas diferencias son las que rompen los modelos existentes de acceso y aprobación.
El acceso humano se basa en una intención clara. Los permisos están vinculados a una función, se revisan periódicamente y están limitados por el tiempo y el contexto. Las cuentas de servicio, aunque no son humanas, suelen estar diseñadas específicamente, con un alcance limitado y vinculadas a una aplicación o función específica.
Los agentes de IA son diferentes. Operan con autoridad delegada y pueden actuar en nombre de múltiples usuarios o equipos sin requerir una participación humana continua. Una vez autorizados, son autónomos, persistentes y, a menudo, actúan en todos los sistemas, moviéndose entre varios sistemas y fuentes de datos para completar tareas de un extremo a otro.
En este modelo, el acceso delegado no sólo automatiza las acciones del usuario, sino que las amplía. Los usuarios humanos están limitados por los permisos que se les otorgan explícitamente, pero los agentes de IA a menudo tienen un acceso más amplio y poderoso para operar de manera efectiva. Como resultado, el agente puede realizar acciones que el propio usuario nunca estuvo autorizado a realizar. Una vez que existe ese acceso, el agente puede actuar; incluso si el usuario nunca tuvo la intención de realizar la acción o no sabía que era posible, el agente aún puede ejecutarla. Como resultado, el agente puede crear exposición, a veces accidentalmente, a veces implícitamente, pero siempre legítimamente desde un punto de vista técnico.
Así es como se produce la deriva del acceso. Los agentes acumulan permisos silenciosamente a medida que se amplía su alcance. Se agregan integraciones, los roles cambian, los equipos van y vienen, pero el acceso del agente permanece. Se convierten en un poderoso intermediario con permisos amplios y duraderos y, a menudo, sin un propietario claro.
No es de extrañar que los supuestos existentes sobre IAM se desmoronen. IAM asume una identidad clara, un propietario definido, roles estáticos y revisiones periódicas que se corresponden con el comportamiento humano. Los agentes de IA no siguen esos patrones. No encajan perfectamente en las categorías de usuario o cuenta de servicio, funcionan continuamente y su acceso efectivo se define por cómo se utilizan, no por cómo se aprobaron originalmente. Sin repensar estos supuestos, IAM se vuelve ciego ante el riesgo real que introducen los agentes de IA.
Los tres tipos de agentes de IA en la empresa
No todos los agentes de IA conllevan el mismo riesgo en entornos empresariales. El riesgo varía según quién es el propietario del agente, qué tan ampliamente se usa y qué acceso tiene, lo que da como resultado categorías distintas con implicaciones de seguridad, responsabilidad y radio de explosión muy diferentes:
Agentes personales (propiedad del usuario)
Los agentes personales son asistentes de IA utilizado por empleados individuales para ayudar con las tareas diarias. Redactan contenido, resumen información, programan reuniones o ayudan con la codificación, siempre en el contexto de un solo usuario.
Estos agentes normalmente operan dentro de los permisos del usuario propietario. Su acceso se hereda, no se amplía. Si el usuario pierde el acceso, el agente también lo pierde. Debido a que la propiedad es clara y el alcance es limitado, el radio de la explosión es relativamente pequeño. El riesgo está directamente vinculado al usuario individual, lo que hace que los agentes personales sean los más fáciles de entender, gobernar y remediar.
Agentes externos (propiedad del proveedor)
Los agentes de terceros están integrados en plataformas SaaS y de IA, proporcionadas por los proveedores como parte de su producto. Los ejemplos incluyen funciones de inteligencia artificial integradas en sistemas CRM, herramientas de colaboración o plataformas de seguridad.
Estos agentes se rigen a través de controles de proveedores, contratos y modelos de responsabilidad compartida. Si bien los clientes pueden tener una visibilidad limitada de cómo trabajan internamente, la responsabilidad está claramente definida: el proveedor es dueño del agente.
La principal preocupación aquí es la Riesgo de la cadena de suministro de IA: confiar en que el proveedor protege adecuadamente a sus agentes. Pero desde una perspectiva empresarial, la propiedad, las vías de aprobación y la responsabilidad suelen entenderse bien.
Agentes organizacionales (compartidos y a menudo sin dueño)
Los agentes organizacionales se implementan internamente y se comparten entre equipos, flujos de trabajo y casos de uso. Automatizan procesos, integran sistemas y actúan en nombre de múltiples usuarios. Para ser eficaces, a estos agentes se les suelen conceder permisos amplios y persistentes que superan el acceso de cualquier usuario individual.
Aquí es donde se concentra el riesgo. Los agentes organizacionales frecuentemente no tienen un propietario claro, ni un aprobador único, ni un ciclo de vida definido. Cuando algo sale mal, no está claro quién es el responsable o incluso quién entiende completamente lo que el agente puede hacer.
Como resultado, los agentes organizacionales representan el mayor riesgo y el mayor radio de explosión, no porque sean maliciosos, sino porque operan a escala sin una responsabilidad clara.
El problema de la omisión de autorización de agente
Como explicamos en nuestro artículo, agentes que crean rutas de omisión de autorizaciónlos agentes de IA no solo ejecutan tareas, sino que actúan como intermediarios de acceso. En lugar de que los usuarios interactúen directamente con los sistemas, los agentes operan en su nombre, utilizando sus propias credenciales, tokens e integraciones. Esto cambia el lugar donde realmente se toman las decisiones de autorización.
Cuando los agentes operan en nombre de usuarios individuales, pueden proporcionarle acceso y capacidades más allá de los permisos aprobados del usuario. Un usuario que no puede acceder directamente a ciertos datos o realizar acciones específicas aún puede activar un agente que sí pueda hacerlo. El agente se convierte en un proxy, lo que permite acciones que el usuario nunca podría ejecutar por sí solo.
Estas acciones están técnicamente autorizadas: el agente tiene acceso válido. Sin embargo, son contextualmente inseguros. Los controles de acceso tradicionales no activan ninguna alerta porque las credenciales son legítimas. Este es el núcleo de la omisión de autorización agente: el acceso se otorga correctamente, pero se utiliza de maneras que los modelos de seguridad nunca fueron diseñados para manejar.
Repensar el riesgo: lo que debe cambiar
Proteger a los agentes de IA requiere un cambio fundamental en la forma de definir y gestionar el riesgo. Los agentes ya no pueden ser tratados como extensiones de usuarios o como procesos de automatización en segundo plano. Deben ser tratados como entidades sensibles y potencialmente de alto riesgo con sus propias identidades, permisos y perfiles de riesgo.
Esto comienza con propiedad y responsabilidad claras. Cada agente debe tener un propietario definido responsable de su propósito, alcance de acceso y revisión continua. Sin propiedad, la aprobación no tiene sentido y el riesgo sigue sin gestionarse.
Fundamentalmente, las organizaciones también deben mapear cómo los usuarios interactúan con los agentes. No basta con entender a qué puede acceder un agente; Los equipos de seguridad necesitan visibilidad sobre qué usuarios pueden invocar a un agente, bajo qué condiciones y con qué permisos efectivos. Sin este mapa de conexión entre usuario y agente, los agentes pueden convertirse silenciosamente en rutas de omisión de autorización, lo que permite a los usuarios realizar indirectamente acciones que no pueden ejecutar directamente.
Finalmente, las organizaciones deben mapear el acceso de los agentes, las integraciones y las rutas de datos entre los sistemas. Solo correlacionando usuario → agente → sistema → acción los equipos pueden evaluar con precisión el radio de la explosión, detectar el uso indebido e investigar de manera confiable actividades sospechosas cuando algo sale mal.
El costo de los agentes de IA organizacionales no controlados
Los agentes organizacionales de IA no controlados convierten las ganancias de productividad en riesgos sistémicos. Estos agentes, compartidos entre equipos y con acceso amplio y persistente, operan sin una propiedad o responsabilidad clara. Con el tiempo, pueden usarse para nuevas tareas, crear nuevas rutas de ejecución y sus acciones se vuelven más difíciles de rastrear o contener. Cuando algo sale mal, no hay un propietario claro que pueda responder, remediar o incluso comprender el radio total de la explosión. Sin visibilidad, propiedad y controles de acceso, los agentes de IA organizacionales se convierten en uno de los elementos más peligrosos y menos gobernados en el panorama de seguridad empresarial.
Para conocer más visita https://wing.security/