OWASP Agentic AI Top 10: Cuando los agentes de IA se convierten en la superficie de ataque más grande
9 min de lectura
Las acciones tecnológicas se desploman porque los agentes de IA deben automatizar procesos empresariales enteros. Sin embargo, mientras los consejos de administración debaten sobre ahorros de costes, surge un problema de seguridad que la mayoría de los equipos de TI aún no tienen en su radar: los agentes autónomos crean una superficie de ataque completamente nueva. OWASP ha definido, por primera vez, un marco de referencia con los «Agentic AI Top 10», y el 48 % de los profesionales de la ciberseguridad ya consideran a los agentes de IA como la amenaza número uno para 2026.
En resumen
- OWASP Agentic AI Top 10: En diciembre de 2025, OWASP publicó el primer marco de seguridad específicamente diseñado para agentes de IA autónomos, desarrollado por más de 100 expertos (OWASP, diciembre de 2025).
- Primer ciberataque documentado con IA: En septiembre de 2025, un grupo financiado por un Estado empleó un agente de IA en una campaña de espionaje de varios días; entre el 80 y el 90 % de la ejecución del ataque se llevó a cabo de forma autónoma (Anthropic, noviembre de 2025).
- 82 identidades de máquina por cada ser humano: En las empresas, ya hay 82 identidades no humanas por cada identidad humana; los agentes de IA agravan aún más esta proporción (CyberArk, 2025).
- El 48 % considera a los agentes de IA como la amenaza principal: Casi la mitad de todos los especialistas en ciberseguridad califica a la IA basada en agentes como el vector de ataque más grave para 2026, por encima del ransomware y los ataques a la cadena de suministro (Dark Reading, 2026).
- 492 servidores MCP expuestos: Trend Micro detectó a principios de 2026 casi 500 servidores expuestos del Model Context Protocol (MCP) sin ninguna autenticación. El primer servidor MCP malicioso confirmado redirigía sistemáticamente correos electrónicos durante semanas.
- Gartner exige Guardian Agents: Para 2028, el 40 % de los directores de información (CIO) exigirán la disponibilidad de Guardian Agents: sistemas de IA diseñados para supervisar a otros agentes de IA (Gartner Market Guide, febrero de 2026).
Por qué los agentes de IA constituyen una nueva clase de amenaza
Los modelos de seguridad para sistemas de IA existentes hasta ahora partían de un flujo sencillo: una persona formula una pregunta, un modelo responde y la persona evalúa la salida. La superficie de ataque se limitaba al prompt y a la respuesta.
Los agentes de IA autónomos funcionan de forma fundamentalmente distinta. Un agente recibe un objetivo, planifica una secuencia de acciones, invoca herramientas externas, almacena información en su memoria a largo plazo, inicia subagentes y ejecuta tareas – con frecuencia sin que una persona revise cada paso. Así, la superficie de ataque abarca cada llamada a una herramienta, cada acceso a memoria, cada transferencia entre agentes y cada conexión con sistemas externos.
AWS confirmó el 24 de marzo de 2026 que estaba construyendo internamente agentes de IA para ventas y desarrollo empresarial. Tras ello, el sector tecnológico perdió un 4,3 % en un solo día. Pero mientras el mundo financiero debate sobre valoraciones, los directores de seguridad de la información (CISO) enfrentan una pregunta más urgente: ¿quién controla lo que hacen estos agentes?
Caso práctico: El primer ciberataque con IA documentado
Que los riesgos identificados por OWASP no son teóricos quedó demostrado ya en septiembre de 2025. Anthropic descubrió una campaña de espionaje de varios días en la que un grupo financiado por un Estado utilizó un agente de IA como herramienta de ataque autónoma. La empresa calificó el incidente como el primer caso documentado de un ciberataque a gran escala impulsado por IA.
El agente realizó reconocimiento de redes, generó código de explotación de forma autónoma, recopiló credenciales y exfiltró datos con categorización automática según su valor informativo. Entre el 80 y el 90 % de la ejecución del ataque se llevó a cabo de forma autónoma. Los atacantes evadieron los mecanismos de seguridad mediante la fragmentación de tareas: el ataque se dividió en pequeñas tareas aparentemente inofensivas, cada una de las cuales pasaba desapercibida para los sistemas de alerta.
Un total de aproximadamente 30 organizaciones de los sectores tecnológico, financiero, químico y gubernamental resultaron afectadas. Las cuentas fueron bloqueadas dentro de los diez días siguientes y se notificó a las organizaciones y autoridades afectadas. Para los CISO, este caso es una llamada de atención: la metodología – secuestro del objetivo del agente (Agent Goal Hijacking) mediante tareas fragmentadas – coincide exactamente con el riesgo OWASP ASI01, el primero de la lista «Agentic AI Top 10».
Los OWASP Agentic AI Top 10 en detalle
El marco publicado en diciembre de 2025 identifica diez riesgos críticos específicos para agentes autónomos. Los tres más peligrosos son:
Secuestro del objetivo del agente (ASI01) ocupa el primer puesto: los atacantes introducen entradas manipuladas – un correo electrónico preparado, un documento envenenado o un sitio web comprometido – . El agente no puede distinguir de forma fiable entre instrucciones y datos, y ejecuta los objetivos manipulados utilizando sus herramientas legítimas y sus permisos de acceso. Una única entrada maliciosa puede desviar al agente por completo.
Envenenamiento de la memoria (Memory Poisoning) es especialmente insidioso: los atacantes inyectan progresivamente información falsa en la memoria a largo plazo de un agente. Durante semanas, su comportamiento de toma de decisiones se va desviando. La detección clásica de anomalías no funciona, porque el cambio es demasiado gradual.
Vulnerabilidades en la cadena de suministro y en los servidores MCP ya son una realidad: Trend Micro detectó a principios de 2026 un total de 492 servidores expuestos del Model Context Protocol (MCP) sin ninguna autenticación. El primer servidor MCP malicioso confirmado – postmark-mcp – redirigió sistemáticamente todos los correos electrónicos salientes mediante copia oculta (BCC) a una dirección controlada por los atacantes durante semanas, antes de ser descubierto.
Las empresas ya están expuestas a ataques con agentes de IA – a menudo sin saber siquiera que dichos agentes operan en su entorno.
Keren Katz, co-líder de OWASP y directora senior de seguridad de IA en Tenable (traducción adaptada)
NIS2 y el marco regulatorio
Para las empresas alemanas se añade una dimensión adicional: NIS2 es ley vigente desde diciembre de 2025. Aproximadamente 29.500 entidades quedan sujetas a las nuevas obligaciones. La normativa exige expresamente gestión de riesgos y notificación de incidentes – también para los sistemas de IA utilizados en sectores regulados.
ENISA y los organismos europeos de normalización CEN, CENELEC y ETSI trabajan para vincular directamente los requisitos de seguridad específicos para IA a las obligaciones centrales de NIS2. La revisión de NIS2 prevista para 2026 será el punto de convergencia entre estándares técnicos, controles de IA y notificación de incidentes.
La tríada regulatoria compuesta por NIS2, el Reglamento de IA de la UE y la norma ISO 42001 define el marco general: NIS2 establece los requisitos fundamentales de gestión de riesgos y notificación de incidentes; el Reglamento de IA de la UE clasifica los sistemas de IA de alto riesgo; e ISO 42001 proporciona el sistema de gestión. Las empresas que implementen agentes de IA deberán abordar los tres niveles.
Las consecuencias por incumplimiento son severas: hasta 10 millones de euros o el 2 % de la facturación anual mundial para entidades de especial importancia; y hasta 7 millones de euros o el 1,4 % para entidades importantes.
Gestión de identidades y accesos para agentes de IA
Uno de los retos subestimados: los agentes de IA no son personas, pero necesitan identidades. Se autentifican en APIs, acceden a bases de datos y envían correos electrónicos en nombre de empleados. El IAM tradicional no está diseñado para ello.
La magnitud del problema queda patente en el CyberArk State of Machine Identity Security Report 2025: por cada identidad humana en las empresas ya existen 82 identidades de máquina – claves API, cuentas de servicio, certificados y tokens. Los agentes de IA agravan drásticamente esta proporción, pues cada agente requiere múltiples identidades para distintas herramientas y sistemas.
Si un agente de IA envía correos electrónicos, modifica datos del CRM y elabora ofertas con los permisos de acceso de un director comercial, ¿quién asume la responsabilidad en caso de un incidente de seguridad? Los modelos de roles actuales (RBAC, ABAC) parten de usuarios humanos que comprenden el contexto y toman decisiones conscientemente.
Para los agentes se necesita un nuevo paradigma: Machine Identity Management. Cada agente recibe una identidad propia, auditables, con permisos claramente definidos, tokens con caducidad temporal y rotación automática. Azure Managed Identities y AWS IAM Roles ofrecen enfoques iniciales, pero la mayoría de las empresas aún no los aplican a escenarios con agentes.
El marco de OWASP recomienda: nunca compartir credenciales entre personas y agentes. Cada acceso de un agente debe registrarse por separado y ser analizable. Si un agente es comprometido, la suspensión de su identidad no debe impedir el acceso de ningún usuario humano.
La brecha entre adopción y protección
La discrepancia es alarmante: las empresas despliegan agentes de IA a toda velocidad, mientras que los equipos de seguridad van a la zaga. Según una encuesta de Dark Reading, solo el 34 % de las empresas dispone ya de controles de seguridad específicos para IA. Al mismo tiempo, Gartner prevé que, para finales de 2026, el 40 % de las aplicaciones empresariales integrarán agentes de IA.
Esta brecha se agrava por la presión competitiva. Tras la confirmación de AWS el 24 de marzo de que estaba desarrollando agentes de IA internos para ventas, aumenta la presión sobre otras empresas para que sigan su ejemplo. El temor a quedarse atrás conduce a despliegues precipitados sin una arquitectura de seguridad adecuada.
Un patrón típico: un departamento funcional implementa un agente de IA para la comunicación con clientes, lo conecta al CRM, al correo electrónico y al calendario – sin involucrar al equipo de seguridad. En cuestión de horas, el agente obtiene más derechos de acceso que la mayoría de los empleados. Y nadie supervisa lo que hace con ellos.
Guardian Agents: cuando la IA supervisa a otra IA
Gartner publicó en febrero de 2026 su primera Market Guide for Guardian Agents, una señal inequívoca de que la industria ha tomado conciencia del problema. Los Guardian Agents son sistemas de IA diseñados específicamente para supervisar a otros agentes de IA y verificar que sus acciones se ajusten a límites predefinidos. Gartner define tres funciones: los Reviewers examinan las salidas, los Monitors observan las acciones en curso y los Protectors bloquean las violaciones de reglas.
Las previsiones son claras: según Gartner, para 2028 el 40 % de los CIO exigirá la disponibilidad de Guardian Agents para sus despliegues de IA. Para 2030, los Guardian Agents representarán entre el 10 y el 15 % de todo el mercado de IA basada en agentes. Y para 2029, los Guardian Agents independientes reemplazarán casi la mitad de los sistemas de seguridad actuales para agentes de IA.
Un detalle del informe merece especial atención: según Gartner, para 2028 al menos el 80 % de las transacciones no autorizadas de agentes de IA surgirán de infracciones internas de políticas – no de ataques externos. Así, el mayor riesgo proviene de los propios agentes que sobrepasan sus límites definidos. Los Guardian Agents abordan precisamente este problema: crean una capa de control por encima de los agentes operativos.
Lista de comprobación práctica: cómo proteger a los agentes de IA
OWASP recomienda el principio de autonomía mínima, el equivalente específico para agentes del principio de mínimos privilegios. Concretamente, esto significa:
1. Elaborar un inventario de agentes: ¿Qué agentes de IA están operando en su entorno? Muchas empresas ni siquiera lo saben. Los agentes «sombría» en los departamentos de marketing, ventas y finanzas son frecuentes.
2. Restringir el acceso a herramientas: Cada agente solo podrá utilizar las herramientas y APIs estrictamente necesarias para su tarea definida. Ningún agente necesita acceso simultáneo a todo el CRM y al sistema de correo electrónico.
3. Implementar la trazabilidad de la memoria (Memory Provenance): Cada información almacenada en la memoria del agente incluirá metadatos sobre su origen, nivel de confianza y estado de validación. Así se podrá detectar el Memory Poisoning.
4. Realizar Red Teaming para agentes: Las pruebas de penetración deben evaluar explícitamente la inyección de prompts, el uso indebido de herramientas y la escalada de privilegios en los flujos de trabajo de los agentes. Los pentests estándar no cubren la superficie de ataque específica de los agentes.
5. Proteger los servidores MCP: Todos los servidores del Model Context Protocol deben contar con autenticación y controles de acceso. El caso postmark-mcp demuestra que un único servidor sin proteger puede exfiltrar datos durante semanas.
6. Evaluar una estrategia de Guardian Agents: Para despliegues complejos con múltiples agentes, planificar una capa de supervisión. La Market Guide de Gartner ofrece un marco para seleccionar e implementar Guardian Agents como instancia de control independiente.
Conclusión
Los agentes de IA llegarán – ya sea como herramientas internas de AWS, como sustitutos de licencias SaaS o como automatizadores de procesos autónomos. La cuestión no es si llegarán, sino con qué rapidez. El caso de Anthropic de septiembre de 2025 demostró que los atacantes ya saben cómo emplear agentes de IA como arma. Al mismo tiempo, 82 identidades de máquina por cada ser humano ya operan en los entornos empresariales – cada una de ellas una puerta de entrada potencial.
Para los equipos de seguridad esto significa: adoptar ya los OWASP Agentic AI Top 10 como línea base, elaborar un inventario de agentes, aplicar el principio de mínima autonomía y evaluar los Guardian Agents como capa de control. El primer paso concreto sigue siendo una auditoría de agentes «sombría»: ¿qué agentes de IA ya operan en su entorno?, ¿quién los ha configurado? y ¿qué permisos de acceso tienen? Quien espere al primer incidente de Memory Poisoning en su propia empresa habrá perdido el momento para una protección proactiva.
Preguntas frecuentes
¿Qué son los OWASP Agentic AI Top 10?
Un marco de seguridad publicado en diciembre de 2025 que identifica los diez riesgos más críticos para agentes de IA autónomos. Fue desarrollado por más de 100 expertos y complementa la OWASP LLM Top 10 existente, que solo se aplica a sistemas de IA basados en chat con control humano.
¿Qué es el secuestro del objetivo del agente (Agent Goal Hijacking)?
En el Agent Goal Hijacking, los atacantes inyectan entradas manipuladas en las fuentes de datos de un agente de IA – por ejemplo, mediante un correo electrónico preparado o un documento envenenado – . El agente no puede distinguir de forma fiable entre instrucciones y datos, y ejecuta los objetivos manipulados utilizando sus herramientas y permisos de acceso legítimos.
¿Qué es el envenenamiento de la memoria (Memory Poisoning) en los agentes de IA?
El Memory Poisoning consiste en inyectar progresivamente información falsa en la memoria a largo plazo de un agente. A diferencia de los ataques clásicos, esta manipulación se produce de forma gradual durante semanas y parece un proceso de aprendizaje normal. Por eso, la detección clásica de anomalías no es efectiva.
¿Qué son los Guardian Agents?
Los Guardian Agents son sistemas de IA diseñados para supervisar a otros agentes de IA y verificar que sus acciones se ajusten a reglas y límites definidos. Gartner distingue tres funciones: los Reviewers examinan las salidas, los Monitors observan las acciones en curso y los Protectors bloquean las violaciones de reglas. Según Gartner, para 2030 representarán entre el 10 y el 15 % del mercado de IA basada en agentes.
¿Qué significa la relación 82:1 en identidades de máquina?
Según el CyberArk State of Machine Identity Security Report 2025, por cada identidad humana en las empresas existen 82 identidades de máquina – claves API, cuentas de servicio, certificados y tokens. Los agentes de IA agravan esta relación, ya que cada agente requiere identidades propias para distintas herramientas y sistemas.
¿Quedan los agentes de IA bajo el ámbito de aplicación de NIS2?
Sí, si se utilizan en alguno de los 18 sectores regulados. NIS2 exige gestión de riesgos y notificación de incidentes para todos los sistemas de TI. ENISA trabaja para vincular directamente los requisitos específicos de IA a las obligaciones centrales de NIS2. La revisión de NIS2 de 2026 establecerá directrices más concretas al respecto.
¿Cuántas empresas disponen ya de controles de seguridad específicos para IA?
Solo el 34 %, según una encuesta de Dark Reading entre profesionales de la ciberseguridad. Esto significa que dos terceras partes de las empresas ya están implementando agentes de IA o planean hacerlo, sin haber implantado medidas de seguridad adecuadas.
¿Qué fue el caso postmark-mcp?
El primer caso confirmado de un servidor MCP malicioso. El módulo postmark-mcp redirigía sistemáticamente todos los correos electrónicos salientes mediante copia oculta (BCC) a una dirección controlada por los atacantes durante semanas. Trend Micro detectó a principios de 2026 un total de 492 servidores MCP expuestos sin ninguna autenticación.
Leer más
Copilot como riesgo de seguridad: cuando el asistente de IA filtra secretos empresariales
Obligación de registro bajo NIS2: la lista de comprobación práctica según el artículo 30 de la BSIG
Más contenido de la red MBF Media
cloudmagazin: NIS2 y SaaS – la brecha de cumplimiento
Digital Chiefs: Responsabilidad por IA en el consejo de administración
MyBusinessFuture: Reglamento sobre Resiliencia Cibernética (CRA)
Fuente de imagen: Pexels / cottonbro studio (px:5473956)
