Agentic AI ha trasladado el límite de la amenaza dentro de la empresa. Aaron Portnoy de Mindgard explica por qué la autoridad, no el acceso, es ahora la principal vulnerabilidad.
getty
Durante la mayor parte de la historia de la ciberseguridad corporativa, el problema central fue su acceso. ¿El atacante podría entrar? El modelo defensivo siguió: endurecer el perímetro, segmentar la red, controlar las puertas, formar al personal para reconocer el phishing. Esta lógica todavía se aplica. Ya no es suficiente.
La nueva pregunta más consecuente es la autoridad. ¿Qué puede hacer realmente el agente de IA una vez que ya está dentro?
Agencia de Código Subvencionante
Aaron Portnoy, director de producto de la empresa de seguridad de IA Mindguardha estado haciendo este argumento antes de que llegara a la orden del día del consejo. En una entrevista anterior, describió el problema estructural con una franqueza que la mayoría de los materiales de los vendedores evitan: “Está concediendo una agencia de código”.
Vale la pena sentarse con esa frase. Un agente de IA con permisos empresariales no es un chatbot. Puede recuperar documentos, consultar bases de datos, escribir y ejecutar código, abrir tickets, redactar y enviar correos electrónicos, mover archivos y activar flujos de trabajo posteriores. Lee el contexto empresarial en lenguaje natural y actúa sobre él. Esta capacidad es lo que le hace útil. También es lo que le hace explotable.
“Puedo coaccionar un activo interno para producir contenido malicioso desde dentro”, explicó Portnoy. “No intentaré enviarlo a la red. Solo daré instrucciones en lenguaje natural a este agente, y lo construirá y ejecutará por mí”.
El atacante, en este modelo, no necesita derrotar al cortafuegos. Debe construir una frase que el agente considere plausible.
La trampa del cumplimiento
La conversación de la sala de juntas sobre la seguridad de la IA se ha centrado hasta ahora en el problema equivocado. La mayoría de los marcos de gobierno se construyen en torno a la fuga de datos: un empleado que engancha contenido propietario en un modelo público, un proveedor de formación sobre datos privados, un modelo que muestra información sensible en una respuesta.
Estos riesgos son reales. También son los que más fácilmente se traducen en listas de verificación de políticas y diapositivas de cumplimiento. No son la amenaza estructural.
El problema más difícil es la coacción del modelo, quedando fuera del alcance de la mayoría de los marcos existentes.
Análisis reciente de la gobernanza del IA empresarial basándose en los datos de McKinsey captura el vacío. Alrededor del 88% de las organizaciones ahora utilizan IA en al menos una función empresarial. Pero aproximadamente dos tercios de los directores de la junta informan de una experiencia limitada o nula en IA. Menos de una cuarta parte de las empresas tienen políticas de IA aprobadas por el consejo. Sólo un 15% de los tableros reciben métricas relacionadas con la IA.
Esto describe una organización que ha adoptado ampliamente una tecnología cuya capa de gobierno todavía no ve claramente.
El problema de la asimetría
La segunda observación de Portnoy se refiere a la velocidad. En la competición entre ataque y defensa, los bucles de retroalimentación no son iguales.
“Hay algo de asimetría en la dificultad de utilizar la IA de forma eficaz para los atacantes y los defensores”, señaló, “principalmente porque los atacantes tienen un bucle de retroalimentación ajustado. Ahora mismo parece que los atacantes están adoptando la IA mucho más rápidamente que los defensores”.
Esto importa debido a cómo se desarrollan los ataques de inyección rápida. Un atacante puede probar miles de variaciones de una instrucción maliciosa: cambiar el fraseo, disfrazar su intención como contexto empresarial habitual, fragmentar una tarea perjudicial en pasos individualmente benignos. Cada fallo informa del siguiente intento. El coste de iteración es bajo.
Los defensores se enfrentan a una labor estructuralmente más difícil. Deben proteger los sistemas que interactúan con un lenguaje natural desordenado y dependiendo del contexto en todas las funciones empresariales. Una barandilla que bloquea un ataque puede interrumpir un flujo de trabajo legítimo. Una defensa que se mantiene hoy puede fracasar mañana a medida que cambie el contexto.
El de Mandiante Informe M-Trends 2026 registra que los actores delictivos y patrocinados por el estado ya utilizan grandes modelos de lenguaje para la ingeniería social hiperpersonalizada y para el malware que consulta modelos a media ejecución para evitar la detección. El patrón de referencia de incumplimientos empresariales sigue siendo fracaso humano y sistémico. La capa de IA añade una nueva superficie de ataque sobre la existente.
Cuando el lenguaje se encuentra con el acero
El riesgo aumenta considerablemente cuando se despliega la IA agente en entornos tecnológicos operativos.
Los operadores de energía, los fabricantes industriales y los servicios públicos están sometidos a una presión genuina para utilizar la IA. La complejidad de los sistemas energéticos modernos (generación renovable más intermitente, carga creciente del centro de datos, entradas de productos básicos volátiles) crea una demanda real de envío asistido por IA, priorización de mantenimiento, detección de anomalías y monitorización de activos.
Un agente integrado en estos flujos de trabajo puede añadir un importante valor. También puede formar parte del tejido de control de una forma más difícil de gobernar que el software empresarial tradicional.
Aquí es donde la tercera observación de Portnoy es más importante: “No tienes acceso al sistema ni controlas cómo está pensando. Sólo tienes acceso al comportamiento, que es de naturaleza estocástica. Es posible que verás que se comporta de una manera un día y al minuto siguiente se comportará de una forma completamente diferente”.
La tecnología operativa tradicional funciona con lógica determinista. Una válvula está abierta o cerrada. Un interruptor se dispara o no. Introducir una capa de decisión probabilística en este entorno no es intrínsecamente peligroso: los sistemas industriales ya utilizan sofisticados software y algoritmos de optimización. La cuestión de gobierno es la autoridad. ¿Qué puede cambiar el modelo? ¿Qué requiere la aprobación humana? ¿Qué ocurre si el contexto del agente se manipula mediante un ticket de mantenimiento, un documento del proveedor o un registro de rutina que se le pidió que procesara?
Éstas son preguntas de ingeniería de seguridad que también tienen una respuesta de ciberseguridad. Por el momento, rara vez se encuentran en la misma habitación.
Gartner ha pronosticado que en 2028, una cuarta parte de las infracciones empresariales serán atribuibles al abuso de agentes de IA. La dirección es coherente con cómo se mueven las trayectorias de despliegue.
Tres controles que realmente importan
La respuesta estándar de la empresa al riesgo de seguridad de la IA es convertirlo en un ejercicio de gobierno. Escribe políticas de uso aceptable. Aprobar el vendedor. Revise los términos de los datos. Encargar un módulo de formación.
Esto produce el cumplimiento. No produce seguridad operativa.
Tres controles definen la postura real del IA empresarial. El privilegio determina qué puede hacer realmente el modelo: qué sistemas puede leer, cuáles puede escribir y cuáles puede llamar. El contexto determina qué puede leer y creer el modelo: qué datos recupera, qué fuentes confía, qué trata como instrucción autorizada. El radio de explosión determina hasta qué punto puede viajar una salida manipulada antes de que una persona o sistema lo intercepte.
La mayoría de las empresas han pensado cuidadosamente en el primero. Menos menos abordaron plenamente el segundo. Casi nadie puede responder con confianza a las preguntas sobre el tercero.
El paso operativo que falta es la prueba de enfrentamiento: se intenta manipular sistemáticamente los sistemas de IA empresarial con la misma presión creativa que aplicaría un atacante, antes de que lo haga un atacante. No pruebas de penetración anuales. Agrupación continua, asistida por IA, del comportamiento del modelo bajo indicaciones adversarias, en el entorno real donde se ejecuta, con sus permisos reales.
La cuestión de control
La realidad técnica a corto plazo es más limitada de lo que implica la imagen de la amenaza. Los agentes empresariales de hoy son todavía relativamente estrechos. Hacerlos funcionar en una escala significativa es caro. Muchas acciones graves todavía requieren la aprobación humana.
Pero las limitaciones se están reduciendo. Los costes están bajando. Las ventanas de contexto crecen. El acceso a las herramientas se está ampliando. La primera generación de agentes empresariales resume. El segundo redacta y recomienda. El tercero actuará con menos supervisión que el segundo.
Los marcos de seguridad deben realizar un seguimiento de esta progresión en lugar de ponerse al día después de un incidente.
La pregunta del consejo debe ser específica. No: “¿Nuestra IA es compatible?” Pero: “¿Qué pueden hacer nuestros agentes de IA en un mal día, y alguien de esa sala sabe la respuesta?”
El perímetro no está muerto porque los cortafuegos han fallado. Se está perdiendo autoridad porque las empresas colocan sistemas de IA junto a confianza del muro sin tener en cuenta completamente lo que significa realmente la confianza en ese contexto.
El nuevo perímetro es un modelo privilegiado. Para la mayoría de las organizaciones todavía no se ha diseñado.
