9 min de lectura<\/p>\n
Las acciones tecnol\u00f3gicas se desploman porque los agentes de IA deben automatizar procesos empresariales enteros. Sin embargo, mientras los consejos de administraci\u00f3n debaten sobre ahorros de costes, surge un problema de seguridad que la mayor\u00eda de los equipos de TI a\u00fan no tienen en su radar: los agentes aut\u00f3nomos crean una superficie de ataque completamente nueva. OWASP ha definido, por primera vez, un marco de referencia con los \u00abAgentic AI Top 10\u00bb, y el 48 % de los profesionales de la ciberseguridad ya consideran a los agentes de IA como la amenaza n\u00famero uno para 2026.<\/strong><\/p>\n Los modelos de seguridad para sistemas de IA<\/a> existentes hasta ahora part\u00edan de un flujo sencillo: una persona formula una pregunta, un modelo responde y la persona eval\u00faa la salida. La superficie de ataque se limitaba al prompt<\/em> y a la respuesta.<\/p>\n Los agentes de IA aut\u00f3nomos funcionan de forma fundamentalmente distinta. Un agente recibe un objetivo, planifica una secuencia de acciones, invoca herramientas externas, almacena informaci\u00f3n en su memoria a largo plazo, inicia subagentes y ejecuta tareas – con frecuencia sin que una persona revise cada paso. As\u00ed, la superficie de ataque abarca cada llamada a una herramienta, cada acceso a memoria, cada transferencia entre agentes y cada conexi\u00f3n con sistemas externos.<\/p>\n AWS confirm\u00f3 el 24 de marzo de 2026 que estaba construyendo internamente agentes de IA para ventas y desarrollo empresarial. Tras ello, el sector tecnol\u00f3gico perdi\u00f3 un 4,3 % en un solo d\u00eda. Pero mientras el mundo financiero debate sobre valoraciones, los directores de seguridad de la informaci\u00f3n (CISO) enfrentan una pregunta m\u00e1s urgente: \u00bfqui\u00e9n controla lo que hacen estos agentes?<\/p>\n Que los riesgos identificados por OWASP no son te\u00f3ricos qued\u00f3 demostrado ya en septiembre de 2025. Anthropic descubri\u00f3 una campa\u00f1a de espionaje de varios d\u00edas en la que un grupo financiado por un Estado utiliz\u00f3 un agente de IA como herramienta de ataque aut\u00f3noma. La empresa calific\u00f3 el incidente como el primer caso documentado de un ciberataque a gran escala impulsado por IA.<\/p>\n El agente realiz\u00f3 reconocimiento de redes, gener\u00f3 c\u00f3digo de explotaci\u00f3n de forma aut\u00f3noma, recopil\u00f3 credenciales y exfiltr\u00f3 datos con categorizaci\u00f3n autom\u00e1tica seg\u00fan su valor informativo. Entre el 80 y el 90 % de la ejecuci\u00f3n del ataque se llev\u00f3 a cabo de forma aut\u00f3noma. Los atacantes evadieron los mecanismos de seguridad mediante la fragmentaci\u00f3n de tareas: el ataque se dividi\u00f3 en peque\u00f1as tareas aparentemente inofensivas, cada una de las cuales pasaba desapercibida para los sistemas de alerta.<\/p>\n Un total de aproximadamente 30 organizaciones de los sectores tecnol\u00f3gico, financiero, qu\u00edmico y gubernamental resultaron afectadas. Las cuentas fueron bloqueadas dentro de los diez d\u00edas siguientes y se notific\u00f3 a las organizaciones y autoridades afectadas. Para los CISO, este caso es una llamada de atenci\u00f3n: la metodolog\u00eda – secuestro del objetivo del agente (Agent Goal Hijacking<\/em>) mediante tareas fragmentadas – coincide exactamente con el riesgo OWASP ASI01, el primero de la lista \u00abAgentic AI Top 10\u00bb.<\/p>\n El marco publicado en diciembre de 2025 identifica diez riesgos cr\u00edticos espec\u00edficos para agentes aut\u00f3nomos. Los tres m\u00e1s peligrosos son:<\/p>\n Secuestro del objetivo del agente (ASI01)<\/strong> ocupa el primer puesto: los atacantes introducen entradas manipuladas – un correo electr\u00f3nico preparado, un documento envenenado o un sitio web comprometido – . El agente no puede distinguir de forma fiable entre instrucciones y datos, y ejecuta los objetivos manipulados utilizando sus herramientas leg\u00edtimas y sus permisos de acceso. Una \u00fanica entrada maliciosa puede desviar al agente por completo.<\/p>\n Envenenamiento de la memoria (Memory Poisoning<\/em>)<\/strong> es especialmente insidioso: los atacantes inyectan progresivamente informaci\u00f3n falsa en la memoria a largo plazo de un agente. Durante semanas, su comportamiento de toma de decisiones se va desviando. La detecci\u00f3n cl\u00e1sica de anomal\u00edas<\/a> no funciona, porque el cambio es demasiado gradual.<\/p>\n Vulnerabilidades en la cadena de suministro y en los servidores MCP<\/strong> ya son una realidad: Trend Micro detect\u00f3 a principios de 2026 un total de 492 servidores expuestos del Model Context Protocol<\/em> (MCP) sin ninguna autenticaci\u00f3n. El primer servidor MCP malicioso confirmado – postmark-mcp<\/em> – redirigi\u00f3 sistem\u00e1ticamente todos los correos electr\u00f3nicos salientes mediante copia oculta (BCC) a una direcci\u00f3n controlada por los atacantes durante semanas, antes de ser descubierto.<\/p>\n \nLas empresas ya est\u00e1n expuestas a ataques con agentes de IA – a menudo sin saber siquiera que dichos agentes operan en su entorno. Para las empresas alemanas se a\u00f1ade una dimensi\u00f3n adicional: NIS2 es ley vigente desde diciembre de 2025<\/a>. Aproximadamente 29.500 entidades quedan sujetas a las nuevas obligaciones. La normativa exige expresamente gesti\u00f3n de riesgos y notificaci\u00f3n de incidentes – tambi\u00e9n para los sistemas de IA utilizados en sectores regulados.<\/p>\n ENISA y los organismos europeos de normalizaci\u00f3n CEN, CENELEC y ETSI trabajan para vincular directamente los requisitos de seguridad espec\u00edficos para IA a las obligaciones centrales de NIS2. La revisi\u00f3n de NIS2 prevista para 2026 ser\u00e1 el punto de convergencia entre est\u00e1ndares t\u00e9cnicos, controles de IA y notificaci\u00f3n de incidentes.<\/p>\n La tr\u00edada regulatoria compuesta por NIS2, el Reglamento de IA de la UE y la norma ISO 42001 define el marco general: NIS2 establece los requisitos fundamentales de gesti\u00f3n de riesgos y notificaci\u00f3n de incidentes; el Reglamento de IA de la UE clasifica los sistemas de IA de alto riesgo; e ISO 42001 proporciona el sistema de gesti\u00f3n. Las empresas que implementen agentes de IA deber\u00e1n abordar los tres niveles.<\/p>\n Las consecuencias por incumplimiento son severas: hasta 10 millones de euros o el 2 % de la facturaci\u00f3n anual mundial para entidades de especial importancia; y hasta 7 millones de euros o el 1,4 % para entidades importantes.<\/p>\n Uno de los retos subestimados: los agentes de IA no son personas, pero necesitan identidades. Se autentifican en APIs, acceden a bases de datos y env\u00edan correos electr\u00f3nicos en nombre de empleados. El IAM tradicional no est\u00e1 dise\u00f1ado para ello.<\/p>\n La magnitud del problema queda patente en el CyberArk State of Machine Identity Security Report 2025<\/em>: por cada identidad humana en las empresas ya existen 82 identidades de m\u00e1quina – claves API, cuentas de servicio, certificados y tokens<\/em>. Los agentes de IA agravan dr\u00e1sticamente esta proporci\u00f3n, pues cada agente requiere m\u00faltiples identidades para distintas herramientas y sistemas.<\/p>\n Si un agente de IA env\u00eda correos electr\u00f3nicos, modifica datos del CRM y elabora ofertas con los permisos de acceso de un director comercial, \u00bfqui\u00e9n asume la responsabilidad en caso de un incidente de seguridad? Los modelos de roles actuales (RBAC, ABAC) parten de usuarios humanos que comprenden el contexto y toman decisiones conscientemente.<\/p>\n Para los agentes se necesita un nuevo paradigma: Machine Identity Management<\/em>. Cada agente recibe una identidad propia, auditables, con permisos claramente definidos, tokens<\/em> con caducidad temporal y rotaci\u00f3n autom\u00e1tica. Azure Managed Identities y AWS IAM Roles ofrecen enfoques iniciales, pero la mayor\u00eda de las empresas a\u00fan no los aplican a escenarios con agentes.<\/p>\n El marco de OWASP recomienda: nunca compartir credenciales entre personas y agentes. Cada acceso de un agente debe registrarse por separado y ser analizable. Si un agente es comprometido, la suspensi\u00f3n de su identidad no debe impedir el acceso de ning\u00fan usuario humano.<\/p>\n La discrepancia es alarmante: las empresas despliegan agentes de IA a toda velocidad, mientras que los equipos de seguridad van a la zaga. Seg\u00fan una encuesta de Dark Reading, solo el 34 % de las empresas dispone ya de controles de seguridad espec\u00edficos para IA. Al mismo tiempo, Gartner prev\u00e9 que, para finales de 2026, el 40 % de las aplicaciones empresariales integrar\u00e1n agentes de IA.<\/p>\n Esta brecha se agrava por la presi\u00f3n competitiva. Tras la confirmaci\u00f3n de AWS el 24 de marzo de que estaba desarrollando agentes de IA internos para ventas, aumenta la presi\u00f3n sobre otras empresas para que sigan su ejemplo. El temor a quedarse atr\u00e1s conduce a despliegues precipitados sin una arquitectura de seguridad adecuada.<\/p>\n Un patr\u00f3n t\u00edpico: un departamento funcional implementa un agente de IA para la comunicaci\u00f3n con clientes, lo conecta al CRM, al correo electr\u00f3nico y al calendario – sin involucrar al equipo de seguridad. En cuesti\u00f3n de horas, el agente obtiene m\u00e1s derechos de acceso que la mayor\u00eda de los empleados. Y nadie supervisa lo que hace con ellos.<\/p>\n Gartner public\u00f3 en febrero de 2026 su primera Market Guide for Guardian Agents<\/em>, una se\u00f1al inequ\u00edvoca de que la industria ha tomado conciencia del problema. Los Guardian Agents<\/em> son sistemas de IA dise\u00f1ados espec\u00edficamente para supervisar a otros agentes de IA y verificar que sus acciones se ajusten a l\u00edmites predefinidos. Gartner define tres funciones: los Reviewers<\/em> examinan las salidas, los Monitors<\/em> observan las acciones en curso y los Protectors<\/em> bloquean las violaciones de reglas.<\/p>\n Las previsiones son claras: seg\u00fan Gartner, para 2028 el 40 % de los CIO exigir\u00e1 la disponibilidad de Guardian Agents<\/em> para sus despliegues de IA. Para 2030, los Guardian Agents<\/em> representar\u00e1n entre el 10 y el 15 % de todo el mercado de IA basada en agentes. Y para 2029, los Guardian Agents<\/em> independientes reemplazar\u00e1n casi la mitad de los sistemas de seguridad actuales para agentes de IA.<\/p>\n Un detalle del informe merece especial atenci\u00f3n: seg\u00fan Gartner, para 2028 al menos el 80 % de las transacciones no autorizadas de agentes de IA surgir\u00e1n de infracciones internas de pol\u00edticas – no de ataques externos. As\u00ed, el mayor riesgo proviene de los propios agentes que sobrepasan sus l\u00edmites definidos. Los Guardian Agents<\/em> abordan precisamente este problema: crean una capa de control por encima de los agentes operativos.<\/p>\n OWASP recomienda el principio de autonom\u00eda m\u00ednima<\/em>, el equivalente espec\u00edfico para agentes del principio de m\u00ednimos privilegios<\/em>. Concretamente, esto significa:<\/p>\n 1. Elaborar un inventario de agentes:<\/strong> \u00bfQu\u00e9 agentes de IA est\u00e1n operando en su entorno? Muchas empresas ni siquiera lo saben. Los agentes \u00absombr\u00eda\u00bb en los departamentos de marketing, ventas y finanzas son frecuentes.<\/p>\n 2. Restringir el acceso a herramientas:<\/strong> Cada agente solo podr\u00e1 utilizar las herramientas y APIs estrictamente necesarias para su tarea definida. Ning\u00fan agente necesita acceso simult\u00e1neo a todo el CRM y al sistema de correo electr\u00f3nico.<\/p>\n 3. Implementar la trazabilidad de la memoria (Memory Provenance<\/em>):<\/strong> Cada informaci\u00f3n almacenada en la memoria del agente<\/a> incluir\u00e1 metadatos sobre su origen, nivel de confianza y estado de validaci\u00f3n. As\u00ed se podr\u00e1 detectar el Memory Poisoning<\/em>.<\/p>\n 4. Realizar Red Teaming<\/em> para agentes:<\/strong> Las pruebas de penetraci\u00f3n deben evaluar expl\u00edcitamente la inyecci\u00f3n de prompts<\/em>, el uso indebido de herramientas y la escalada de privilegios en los flujos de trabajo de los agentes. Los pentests est\u00e1ndar no cubren la superficie de ataque espec\u00edfica de los agentes<\/a>.<\/p>\n 5. Proteger los servidores MCP:<\/strong> Todos los servidores del Model Context Protocol<\/em> deben contar con autenticaci\u00f3n y controles de acceso. El caso postmark-mcp<\/em> demuestra que un \u00fanico servidor sin proteger puede exfiltrar datos durante semanas.<\/p>\n 6. Evaluar una estrategia de Guardian Agents<\/em>:<\/strong> Para despliegues complejos con m\u00faltiples agentes, planificar una capa de supervisi\u00f3n. La Market Guide<\/em> de Gartner ofrece un marco para seleccionar e implementar Guardian Agents<\/em> como instancia de control independiente.<\/p>\n Los agentes de IA llegar\u00e1n – ya sea como herramientas internas de AWS, como sustitutos de licencias SaaS o como automatizadores de procesos aut\u00f3nomos. La cuesti\u00f3n no es si<\/em> llegar\u00e1n, sino con qu\u00e9 rapidez<\/em>. El caso de Anthropic de septiembre de 2025 demostr\u00f3 que los atacantes ya saben c\u00f3mo emplear agentes de IA como arma. Al mismo tiempo, 82 identidades de m\u00e1quina por cada ser humano ya operan en los entornos empresariales – cada una de ellas una puerta de entrada potencial.<\/p>\n Para los equipos de seguridad esto significa: adoptar ya los OWASP Agentic AI Top 10 como l\u00ednea base, elaborar un inventario de agentes, aplicar el principio de m\u00ednima autonom\u00eda<\/em> y evaluar los Guardian Agents<\/em> como capa de control. El primer paso concreto sigue siendo una auditor\u00eda de agentes \u00absombr\u00eda\u00bb: \u00bfqu\u00e9 agentes de IA ya operan en su entorno?, \u00bfqui\u00e9n los ha configurado? y \u00bfqu\u00e9 permisos de acceso tienen? Quien espere al primer incidente de Memory Poisoning<\/em> en su propia empresa habr\u00e1 perdido el momento para una protecci\u00f3n proactiva.<\/p>\n Un marco de seguridad publicado en diciembre de 2025 que identifica los diez riesgos m\u00e1s cr\u00edticos para agentes de IA aut\u00f3nomos. Fue desarrollado por m\u00e1s de 100 expertos y complementa la OWASP LLM Top 10 existente, que solo se aplica a sistemas de IA basados en chat con control humano.<\/p>\n En el Agent Goal Hijacking<\/em>, los atacantes inyectan entradas manipuladas en las fuentes de datos de un agente de IA – por ejemplo, mediante un correo electr\u00f3nico preparado o un documento envenenado – . El agente no puede distinguir de forma fiable entre instrucciones y datos, y ejecuta los objetivos manipulados utilizando sus herramientas y permisos de acceso leg\u00edtimos.<\/p>\n El Memory Poisoning<\/em> consiste en inyectar progresivamente informaci\u00f3n falsa en la memoria a largo plazo de un agente. A diferencia de los ataques cl\u00e1sicos, esta manipulaci\u00f3n se produce de forma gradual durante semanas y parece un proceso de aprendizaje normal. Por eso, la detecci\u00f3n cl\u00e1sica de anomal\u00edas no es efectiva.<\/p>\n Los Guardian Agents<\/em> son sistemas de IA dise\u00f1ados para supervisar a otros agentes de IA y verificar que sus acciones se ajusten a reglas y l\u00edmites definidos. Gartner distingue tres funciones: los Reviewers<\/em> examinan las salidas, los Monitors<\/em> observan las acciones en curso y los Protectors<\/em> bloquean las violaciones de reglas. Seg\u00fan Gartner, para 2030 representar\u00e1n entre el 10 y el 15 % del mercado de IA basada en agentes.<\/p>\n Seg\u00fan el CyberArk State of Machine Identity Security Report 2025<\/em>, por cada identidad humana en las empresas existen 82 identidades de m\u00e1quina – claves API, cuentas de servicio, certificados y tokens<\/em>. Los agentes de IA agravan esta relaci\u00f3n, ya que cada agente requiere identidades propias para distintas herramientas y sistemas.<\/p>\n S\u00ed, si se utilizan en alguno de los 18 sectores regulados. NIS2 exige gesti\u00f3n de riesgos y notificaci\u00f3n de incidentes para todos los sistemas de TI. ENISA trabaja para vincular directamente los requisitos espec\u00edficos de IA a las obligaciones centrales de NIS2. La revisi\u00f3n de NIS2 de 2026 establecer\u00e1 directrices m\u00e1s concretas al respecto.<\/p>\n Solo el 34 %, seg\u00fan una encuesta de Dark Reading entre profesionales de la ciberseguridad. Esto significa que dos terceras partes de las empresas ya est\u00e1n implementando agentes de IA o planean hacerlo, sin haber implantado medidas de seguridad adecuadas.<\/p>\n El primer caso confirmado de un servidor MCP malicioso. El m\u00f3dulo postmark-mcp<\/em> redirig\u00eda sistem\u00e1ticamente todos los correos electr\u00f3nicos salientes mediante copia oculta (BCC) a una direcci\u00f3n controlada por los atacantes durante semanas. Trend Micro detect\u00f3 a principios de 2026 un total de 492 servidores MCP expuestos sin ninguna autenticaci\u00f3n.<\/p>\n Copilot como riesgo de seguridad: cuando el asistente de IA filtra secretos empresariales<\/a><\/p>\n Ataque a la cadena de suministro contra Trivy: cuando el esc\u00e1ner de seguridad se convierte en un arma<\/a><\/p>\n Obligaci\u00f3n de registro bajo NIS2: la lista de comprobaci\u00f3n pr\u00e1ctica seg\u00fan el art\u00edculo 30 de la BSIG<\/a><\/p>\n cloudmagazin: NIS2 y SaaS – la brecha de cumplimiento<\/a><\/p>\n Digital Chiefs: Responsabilidad por IA en el consejo de administraci\u00f3n<\/a><\/p>\nEn resumen<\/h2>\n
\n
Por qu\u00e9 los agentes de IA constituyen una nueva clase de amenaza<\/h2>\n
Caso pr\u00e1ctico: El primer ciberataque con IA documentado<\/h2>\n
Los OWASP Agentic AI Top 10 en detalle<\/h2>\n
\nKeren Katz, co-l\u00edder de OWASP y directora senior de seguridad de IA en Tenable (traducci\u00f3n adaptada)<\/cite>\n<\/p><\/blockquote>\nNIS2 y el marco regulatorio<\/h2>\n
Gesti\u00f3n de identidades y accesos para agentes de IA<\/h2>\n
La brecha entre adopci\u00f3n y protecci\u00f3n<\/h2>\n
Guardian Agents: cuando la IA supervisa a otra IA<\/h2>\n
Lista de comprobaci\u00f3n pr\u00e1ctica: c\u00f3mo proteger a los agentes de IA<\/h2>\n
Conclusi\u00f3n<\/h2>\n
Preguntas frecuentes<\/h2>\n
\u00bfQu\u00e9 son los OWASP Agentic AI Top 10?<\/h3>\n
\u00bfQu\u00e9 es el secuestro del objetivo del agente (Agent Goal Hijacking<\/em>)?<\/h3>\n
\u00bfQu\u00e9 es el envenenamiento de la memoria (Memory Poisoning<\/em>) en los agentes de IA?<\/h3>\n
\u00bfQu\u00e9 son los Guardian Agents<\/em>?<\/h3>\n
\u00bfQu\u00e9 significa la relaci\u00f3n 82:1 en identidades de m\u00e1quina?<\/h3>\n
\u00bfQuedan los agentes de IA bajo el \u00e1mbito de aplicaci\u00f3n de NIS2?<\/h3>\n
\u00bfCu\u00e1ntas empresas disponen ya de controles de seguridad espec\u00edficos para IA?<\/h3>\n
\u00bfQu\u00e9 fue el caso postmark-mcp<\/em>?<\/h3>\n
Leer m\u00e1s<\/h2>\n
M\u00e1s contenido de la red MBF Media<\/h2>\n