El primer ciberataque orquestado por IA documentado se produjo en septiembre de 2025, cuando un grupo patrocinado por el Estado chino manipuló Claude Code para infiltrarse en aproximadamente 30 objetivos globales entre instituciones financieras, agencias gubernamentales y fábricas químicas. No se trataba de un ejercicio teórico. Según la información revelada por Anthropic, los atacantes demostraron que los agentes autónomos de IA pueden utilizarse como arma a gran escala sin una intervención humana significativa. Esto representa una nueva categoría de amenaza persistente avanzada contra la que los equipos de seguridad deben prepararse para defenderse. Para los equipos de seguridad, el mensaje es claro: la seguridad de la IA agencial ha pasado de ser una preocupación emergente a una necesidad operativa.
Hay mucho en juego. Gartner predice que el 40 % de las aplicaciones empresariales integrarán agentes de IA específicos para cada tarea a finales de 2026, frente a menos del 5 % en 2025. Sin embargo, el 80 % de los profesionales de TI ya han sido testigos de cómo los agentes de IA realizan acciones no autorizadas o inesperadas. La brecha entre la velocidad de adopción y la madurez de la seguridad crea una superficie de ataque que los adversarios están explotando activamente.
Esta guía proporciona a los profesionales de la seguridad una comprensión exhaustiva de las amenazas de la IA agente, marcos para su evaluación y orientación práctica para su implementación con el fin de proteger los sistemas autónomos.
La seguridad de la IA agencial es la disciplina que se ocupa de proteger los sistemas de IA que pueden razonar, planificar y ejecutar tareas de varios pasos de forma autónoma utilizando herramientas y recursos externos. A diferencia de los modelos de IA tradicionales, que responden a consultas dentro de límites definidos, los sistemas de IA agencial pueden realizar acciones con consecuencias en el mundo real, como enviar correos electrónicos, ejecutar código, modificar bases de datos y realizar llamadas a API. Esta autonomía plantea retos de seguridad fundamentalmente diferentes a los de proteger modelos estáticos o chatbots.
El principal reto en materia de seguridad consiste en encontrar el equilibrio entre la autonomía y el control, manteniendo al mismo tiempo los límites de confianza. Cuando un agente de IA puede decidir de forma independiente acceder a una base de datos, redactar un documento y enviarlo por correo electrónico a una parte externa, la validación tradicional de entradas y salidas resulta insuficiente. Los equipos de seguridad deben tener en cuenta todo el ecosistema del agente, incluidas las herramientas, la memoria, la lógica de coordinación y los permisos de identidad.
¿Por qué es importante ahora? La rápida trayectoria de adopción significa que la mayoría de las empresas operarán múltiples agentes de IA en un plazo de 18 meses. Las organizaciones que no establezcan ahora las bases de seguridad se enfrentarán a un riesgo cada vez mayor a medida que se amplíe el despliegue de agentes en todas las funciones empresariales.
Las diferencias fundamentales entre la seguridad de los sistemas de IA tradicionales y los sistemas de IA agenciales se derivan de la arquitectura y la capacidad.
La seguridad tradicional de la IA se centra en la integridad del modelo, la protección de los datos de entrenamiento y los ataques en tiempo de inferencia. La superficie de ataque es relativamente limitada. Se introduce la entrada y se obtiene la salida. Los controles de seguridad se centran en evitar que las entradas adversas manipulen las predicciones del modelo y en garantizar que los procesos de entrenamiento no se vean comprometidos.
La IA agencial amplía drásticamente la superficie de ataque. Estos sistemas se caracterizan por el uso dinámico de herramientas, cadenas de razonamiento de varios pasos, comunicaciones externas y memoria persistente entre sesiones, siguiendo patrones similares a los de la cadena de ataque cibernético. Un atacante no necesita comprometer el modelo subyacente. La manipulación de cualquier componente del ecosistema del agente puede redirigir el comportamiento hacia resultados maliciosos.
Tabla 1: Comparación de las consideraciones de seguridad de la IA tradicional y la IA agencial
Las implicaciones en materia de seguridad son significativas. Los controles de seguridad tradicionales de la IA centrados en la capa del modelo son necesarios, pero insuficientes para los sistemas agenticos. Los equipos de seguridad deben ampliar la visibilidad y el control a toda la arquitectura del agente.
Comprender la arquitectura de los sistemas de IA con agentes revela dónde deben aplicarse los controles de seguridad. Los agentes de IA modernos combinan cuatro componentes principales que crean la superficie de ataque operativa.
Componentes de la arquitectura del agente:
Cada capa presenta vulnerabilidades distintas. Los atacantes se dirigen al componente que ofrece la menor resistencia para alcanzar su objetivo.
El investigador de seguridad Simon Willison identificó tres factores que, cuando se combinan, crean un riesgo grave, un marco que Martin Fowler detalló en su análisis técnico. Comprender este marco ayuda a los equipos de seguridad a identificar qué implementaciones de agentes requieren los controles más estrictos.
La trifecta letal consiste en:
Cuando las tres condiciones se dan simultáneamente, el riesgo se agrava drásticamente. Un agente con acceso a credenciales que procesa archivos adjuntos de correo electrónico no fiables y puede enviar comunicaciones externas crea una vía para la filtración de datos, el robo de credenciales y el compromiso de la cadena de suministro.
No todas las implementaciones de agentes presentan las tres características. Los equipos de seguridad deben evaluar cada implementación en función de estos criterios e implementar controles proporcionales al perfil de riesgo.
Los atacantes explotan diferentes capas en función de sus objetivos y de la configuración del agente.
Ataques a la capa de modelo:
Ataques a la capa de herramientas:
Ataques a la capa de memoria:
Ataques a la capa de orquestación:
La matriz de alcance de seguridad de AWS Agentic AI proporciona un marco para clasificar las implementaciones de agentes en función de dos dimensiones: conectividad (baja o alta) y autonomía (baja o alta). Esto crea cuatro ámbitos, cada uno de los cuales requiere una intensidad de control de seguridad diferente.
Descripción general de la matriz de alcance de AWS:
Las organizaciones deben comenzar las implementaciones en los ámbitos 1 o 2 y avanzar a ámbitos superiores solo después de demostrar madurez en materia de seguridad. La matriz de ámbito es utilizada como marco fundamental por OWASP, CoSAI y múltiples organismos de normalización del sector.
El nuevo Protocolo de Contexto Modelo (MCP), presentado por Anthropic, proporciona una interfaz estandarizada para la comunicación entre agentes y herramientas. Si bien el MCP mejora la interoperabilidad, también crea nuevos vectores de ataque. Los equipos de seguridad deben verificar la integridad del servidor MCP y supervisar los movimientos laterales entre los agentes y las herramientas conectadas.
El OWASP Top 10 para aplicaciones agenticas 2026, publicado en diciembre de 2025, establece la taxonomía de amenazas estándar del sector para los sistemas de IA agenticos. Desarrollado con la colaboración de más de 100 investigadores de seguridad y referenciado por Microsoft, NVIDIA, AWS y GoDaddy, este marco proporciona una clasificación autorizada de los riesgos de seguridad de la IA agentica.
La lista completa OWASP Top 10 para aplicaciones agenticas identifica las siguientes categorías de riesgo:
Tabla 2: Las 10 principales amenazas de OWASP para aplicaciones agenticas en 2026
Todos los equipos de seguridad que operan sistemas de IA agentica deben comparar sus implementaciones con estas categorías de riesgo e implementar los controles adecuados.
La inyección rápida representa una amenaza especialmente peligrosa en contextos agenticos, ya que los agentes pueden actuar siguiendo instrucciones manipuladas.
La inyección directa inmediata consiste en insertar instrucciones maliciosas directamente en la entrada del usuario. Un atacante podría crear una entrada que anule las instrucciones originales del agente con nuevos objetivos.
La inyección indirecta es más insidiosa. Los atacantes incrustan instrucciones ocultas en el contenido que obtiene el agente. Los documentos, correos electrónicos, páginas web y registros de bases de datos pueden contener cargas útiles que se activan cuando el agente los procesa.
Las indicaciones de segundo orden aprovechan las arquitecturas multiagente. En ataques documentados contra ServiceNow Now Assist, los atacantes incrustaron instrucciones maliciosas en campos de datos que parecían benignos para el agente de procesamiento inicial, pero que se activaban cuando se pasaban a un agente con privilegios superiores para su ejecución.
OpenAI declaró en diciembre de 2025 que la inyección de comandos nunca se resolverá por completo a nivel arquitectónico. Este reconocimiento por parte de un desarrollador líder en IA refuerza la necesidad de defensas por capas en lugar de depender de un único control.
Un metaanálisis de 78 estudios reveló que los ataques de inyección rápida adaptativa alcanzan tasas de éxito superiores al 85 %. Incluso Claude Opus 4.5, diseñado con medidas de seguridad mejoradas, mostró tasas de éxito superiores al 30 % frente a ataques dirigidos, según las pruebas de Anthropic.
La implicación práctica: las organizaciones no pueden confiar únicamente en las defensas a nivel de modelo. Las barreras de protección en tiempo de ejecución, la validación de resultados y la supervisión del comportamiento son complementos esenciales. La inyección indirecta de comandos puede permitir phishing a gran escala, extrayendo credenciales o datos confidenciales a través de interacciones aparentemente legítimas con el agente.
El envenenamiento de memoria representa una amenaza emergente específica para los sistemas agenticos que mantienen el estado entre sesiones.
El mecanismo de ataque consiste en corromper la memoria persistente de un agente con información falsa o maliciosa. Dado que los agentes consideran que el contexto almacenado es fidedigno, las memorias contaminadas influyen en las decisiones futuras sin necesidad de repetir la explotación.
Una investigación de Galileo AI publicada en diciembre de 2025 demostró que el 87 % de las decisiones posteriores se veían comprometidas en las cuatro horas siguientes al envenenamiento inicial de la memoria. El efecto en cadena significa que un solo caso de envenenamiento exitoso puede afectar a cientos de interacciones posteriores del agente.
El incidente de exfiltración de datos de Slack AI ocurrido en agosto de 2024 demostró en la práctica el envenenamiento de la memoria. Los investigadores insertaron instrucciones indirectas de inyección de comandos en canales privados de Slack. Cuando el asistente de Slack AI procesó estos canales, comenzó a exfiltrar resúmenes de conversaciones a destinos controlados por los atacantes. Esto representa una forma de amenaza interna habilitada por la IA, en la que el agente se convierte en cómplice involuntario del robo de datos.
Para mitigar el envenenamiento de la memoria es necesario aislar la memoria entre los dominios de confianza, validar la integridad del contexto almacenado y supervisar el comportamiento para detectar patrones de decisión anómalos que sugieran que la memoria se ha visto comprometida.
La superficie de ataque de más rápido crecimiento en la seguridad empresarial son las identidades no humanas (NHI). Según el análisis del Foro Económico Mundial, las NHI superan en número a las identidades humanas en una proporción de 50:1 en las empresas actuales, con previsiones que alcanzan una proporción de 80:1 en dos años. Los agentes de IA representan una nueva categoría de NHI que requiere una gobernanza de seguridad específica.
Los datos del sector indican que el 97 % de las violaciones de datos relacionadas con la IA se deben a una gestión deficiente del acceso. La adquisición de SGNL por parte de CrowdStrike por 740 millones de dólares en enero de 2026 indica que los principales proveedores de seguridad reconocen que la IA agencial es, fundamentalmente, un problema de identidad.
Los enfoques tradicionales que asignan permisos a los agentes en función del usuario que los invoca crean una exposición excesiva a los privilegios. Un agente que realiza tareas de investigación no necesita el mismo acceso que uno que procesa transacciones financieras, incluso si el mismo usuario invoca ambos.
Una gobernanza eficaz del NHI para los agentes de IA requiere tratarlos como identidades de primera clase con una gestión independiente del ciclo de vida.
Fases del ciclo de vida de la identidad:
Principios de gobernanza:
El problema de los agentes zombis merece una atención especial. Los agentes creados para experimentos o pruebas de concepto suelen permanecer activos una vez concluidos los proyectos. Estos agentes conservan su acceso, consumen recursos y amplían la superficie de ataque sin ningún propietario ni supervisión. Los procedimientos formales de desmantelamiento deben formar parte del ciclo de vida de cada implementación de agentes.
El panorama de amenazas para la IA agencial ha pasado de ser teórico a operativo. Se han descubierto vulnerabilidades críticas con puntuaciones CVSS superiores a 9,0 en las principales plataformas empresariales, y varias de ellas se están explotando activamente en la red.
Tabla 3: Vulnerabilidades críticas en los sistemas de IA agencial (2025-2026)
ServiceNow BodySnatcher (CVE-2025-12420)
La vulnerabilidad BodySnatcher descubierta en la plataforma de IA de ServiceNow permitía a atacantes no autenticados suplantar a cualquier usuario, incluidos los administradores, utilizando únicamente una dirección de correo electrónico. El exploit aprovechaba un secreto de autenticación codificado y una vinculación de cuentas permisiva para eludir la MFA y el SSO, lo que permitía a los atacantes invocar flujos de trabajo de IA y crear cuentas traseras con privilegios elevados. Las organizaciones que ejecutan versiones afectadas de la API de Virtual Agent deben verificar inmediatamente el estado de los parches.
Cadena de vulnerabilidades de Langflow (CVE-2025-34291)
Langflow, un popular marco de agentes de IA de código abierto, contenía una cadena de vulnerabilidades críticas que permitía la apropiación completa de cuentas y la ejecución remota de código. Una configuración CORS excesivamente permisiva, combinada con la falta de protección CSRF y un punto final de validación de código inseguro, crearon la vía de ataque. Todos los tokens de acceso y claves API almacenados quedaron expuestos, lo que permitió un compromiso en cascada en todos los servicios integrados posteriores. La botnet Flodric explota activamente esta vulnerabilidad.
Microsoft Copilot EchoLeak (CVE-2025-32711)
La vulnerabilidad EchoLeak representa el primer ataque zero-click documentado contra un agente de IA. Los atacantes incrustan mensajes maliciosos en texto oculto, notas del autor, metadatos o comentarios dentro de documentos de Word, PowerPoint o Outlook. Cuando las víctimas interactúan con Copilot, los datos confidenciales de la organización, incluidos correos electrónicos, archivos de OneDrive, contenido de SharePoint y mensajes de Teams, se filtran a través de parámetros de URL de imágenes sin que el usuario sea consciente de ello ni interactúe.
Primer ciberataque orquestado por IA
En septiembre de 2025, Anthropic reveló la interrupción del primer ciberataque a gran escala documentado ejecutado por un agente de IA sin intervención humana sustancial. Un grupo patrocinado por el Estado chino manipuló Claude Code para llevar a cabo reconocimientos, seleccionar objetivos y ejecutar intentos de intrusión en aproximadamente 30 organizaciones de los sectores de servicios financieros, gobierno e infraestructura crítica.
Supply Chain PhantomRaven
Koi Security descubrió 126 paquetes npm maliciosos utilizando una novedosa técnica de dependencias dinámicas remotas. Los paquetes parecían vacíos e inofensivos en el registro, y solo descargaban cargas maliciosas de los servidores de los atacantes después de su instalación. Utilizando nombres generados por IA mediante una técnica llamada slopsquatting, estos paquetes lograron más de 86 000 descargas antes de ser detectados, filtrando tokens npm, cloud y claves SSH.
Estos incidentes exigen sólidas capacidades de respuesta a incidentes que tengan en cuenta específicamente los vectores de los agentes de IA. Los equipos de seguridad deben actualizar los manuales de procedimientos para incluir procedimientos de investigación específicos para los agentes.
El marco MIT Sloan Three Essentials proporciona un enfoque estructurado para la seguridad de la IA agencial. Las organizaciones deben implementar modelos de amenazas exhaustivos, pruebas de seguridad continuas y protecciones en tiempo de ejecución que funcionen de forma coordinada.
Solo el 21 % de los responsables de seguridad afirman tener una visibilidad completa de las operaciones de los agentes de IA. Menos del 40 % realizan pruebas de seguridad de IA con regularidad. Esta falta de visibilidad representa tanto un riesgo como una oportunidad para que los equipos de seguridad diferencien a sus organizaciones mediante la mejora de las capacidades de detección de amenazas.
Adaptar los controles a la complejidad de la arquitectura garantiza una protección proporcionada sin obstaculizar las operaciones legítimas.
Ámbito 1 (baja conectividad, baja autonomía):
Ámbito 2 (alta conectividad, baja autonomía):
Ámbito 3 (baja conectividad, alta autonomía):
Ámbito 4 (Alta conectividad, alta autonomía):
La protección por capas en tiempo de ejecución aborda las amenazas en cada etapa del funcionamiento del agente.
Protecciones de la capa de entrada:
Protecciones de la capa de acción:
Protecciones de la capa de salida:
Las soluciones de proveedores como NVIDIA NeMo Guardrails, F5 y Straiker ofrecen implementaciones comerciales. Las organizaciones también pueden crear barreras de protección personalizadas utilizando marcos de código abierto adecuados a sus requisitos específicos.
Los equipos de seguridad deben validar estos controles fundamentales antes de ampliar las implementaciones de IA agencial:
Las organizaciones deben adaptar las prácticas de seguridad de la IA agencial a los requisitos normativos y los estándares del sector. El panorama normativo evolucionó significativamente a finales de 2025 con importantes publicaciones que abordaban específicamente los sistemas de IA autónomos.
Tabla 4: Panorama normativo para la IA agencial (enero de 2026)
El perfil cibernético de IA del NIST, publicado en borrador preliminar en diciembre de 2025, relaciona las áreas de interés en materia de seguridad de la IA con las funciones del Marco de Ciberseguridad 2.0, que incluyen gobernar, identificar, proteger, detectar, responder y recuperar. Aunque no es normativo, se espera que este marco se convierta en el estándar de facto para la gobernanza de la seguridad de la IA.
El NIST publicó además una solicitud de información en enero de 2026 en la que pedía opiniones sobre cuestiones de seguridad relacionadas con los sistemas de agentes de IA, abordando específicamente la inyección de comandos, el envenenamiento de datos y los objetivos desalineados que afectan a los sistemas del mundo real.
Referencias clave del marco:
Las organizaciones deben adaptar sus programas de cumplimiento para incorporar estos marcos, en particular las directrices de OWASP y MITRE, que proporcionan especificidad operativa.
El panorama de proveedores de seguridad de IA agente se ha expandido rápidamente, con plataformas consolidadas y startups especializadas que ofrecen soluciones. El enfoque centrado en la identidad ha cobrado especial impulso a medida que las organizaciones reconocen que la seguridad de los agentes es, fundamentalmente, un reto de detección y respuesta ante amenazas a la identidad.
Los principales proveedores empresariales, entre los que se incluyen Palo Alto Networks con Cortex AgentiX, CrowdStrike con Falcon Agentic Security y SentinelOne con Singularity AI SIEM, han lanzado funciones de seguridad basadas en inteligencia artificial con agentes dedicados. La adquisición de SGNL por parte de CrowdStrike por 740 millones de dólares se centra específicamente en los controles de acceso en tiempo real para personas, identidades no humanas y agentes de inteligencia artificial autónomos.
La arquitectura de seguridad a nivel del navegador también se ha convertido en un punto de control. Google Chrome introdujo una arquitectura de defensa por capas para la navegación con agentes Gemini en diciembre de 2025, que incluye un crítico de alineación del usuario (modelo de IA aislado que examina las acciones propuestas), conjuntos de origen de agentes (que limitan las interacciones a sitios relevantes para la tarea) y confirmaciones obligatorias del usuario para acciones sensibles.
El ecosistema de startups ha atraído importantes inversiones. WitnessAI recaudó 58 millones de dólares para la gobernanza y observabilidad de la IA agencial. Geordie salió del anonimato con 6,5 millones de dólares para una plataforma de seguridad de agentes de IA. Prophet Security recaudó 30 millones de dólares para una plataforma SOC agencial.
Las organizaciones que implementan IA agencial para operaciones de seguridad informan de importantes ganancias en eficiencia. Los datos del sector indican una reducción del 60 % en los tiempos de clasificación de alertas cuando la IA agencial se encarga de la investigación inicial y el enriquecimiento, lo que libera a los analistas humanos para que se dediquen a la toma de decisiones complejas.
Vectra AI la seguridad de la IA agencial desde la perspectiva de Attack Signal Intelligence, reconociendo que, a medida que los agentes de IA proliferan en las redes empresariales, se convierten tanto en vectores de ataque potenciales como en activos valiosos que requieren protección.
La filosofía de «asumir el compromiso» se extiende de forma natural a los sistemas agenticos. En lugar de intentar prevenir todo uso indebido de los agentes mediante controles perimetrales únicamente, las organizaciones deben centrarse en la detección rápida de comportamientos anómalos de los agentes, invocaciones no autorizadas de herramientas y patrones de abuso de identidad.
Esto requiere una observabilidad unificada en toda la superficie de ataque moderna, incluidas las comunicaciones de los agentes de IA, las llamadas a herramientas y las acciones de identidad. Las capacidades de detección y respuesta de la red deben evolucionar para distinguir las operaciones autónomas legítimas de la manipulación de los atacantes. Las soluciones ITDR deben ampliarse para cubrir las identidades no humanas y los patrones de abuso de privilegios específicos de los agentes.
El objetivo no es bloquear la adopción de la IA, sino permitir una implementación segura a gran escala, proporcionando a los equipos de seguridad la visibilidad y la claridad de señales necesarias para operar con confianza en un entorno agencial.
La seguridad de la IA agencial es la protección de los agentes de IA que pueden planificar, actuar y tomar decisiones de forma autónoma. A diferencia de la seguridad de la IA tradicional, centrada en la integridad de los modelos, la seguridad de la IA agencial aborda la superficie de ataque ampliada que se crea cuando los sistemas de IA pueden acceder de forma independiente a herramientas, comunicarse con el exterior y realizar acciones con consecuencias en el mundo real. Esta disciplina abarca el modelado de amenazas específicas para sistemas autónomos, mecanismos de protección en tiempo de ejecución, gobernanza de identidades para agentes de IA y detección de comportamientos anómalos de los agentes que puedan indicar un compromiso o una manipulación.
El OWASP Top 10 para aplicaciones de agentes 2026 identifica los riesgos principales como el secuestro de objetivos de agentes (ASI01), el uso indebido de herramientas (ASI02), el abuso de identidad y privilegios (ASI03), el envenenamiento de memoria (ASI04) y Supply Chain (ASI06) entre los más críticos. Estos riesgos se agravan cuando los agentes presentan las condiciones de la «tríada letal»: acceso a datos confidenciales combinado con exposición a contenido no fiable y capacidad de comunicación externa. La explotación real de estos riesgos ha dado lugar a CVE críticos con puntuaciones CVSS superiores a 9,0 en las principales plataformas empresariales.
La IA generativa crea contenido, incluyendo texto, imágenes y código, pero normalmente funciona según un patrón de solicitud-respuesta con supervisión humana para cada interacción. La IA agencial planifica y ejecuta de forma autónoma tareas de varios pasos, utiliza herramientas para interactuar con sistemas externos, mantiene la memoria entre sesiones y puede realizar acciones en el mundo real sin intervención humana. Esta autonomía crea riesgos de seguridad que van más allá de la inyección de comandos e incluyen el uso indebido de herramientas, el secuestro de objetivos y el abuso de identidad. Mientras que la seguridad de la IA generativa se centra principalmente en la seguridad de los resultados, la seguridad de la IA agencial debe abordar todo el ecosistema de agentes.
La «tríada letal», acuñada por Simon Willison y detallada por Martin Fowler, describe tres factores que, cuando se dan simultáneamente, crean un grave riesgo acumulativo. El primer factor es el acceso a datos sensibles, como credenciales, tokens y documentos confidenciales. El segundo es la exposición a contenido no fiable procedente de páginas web, correos electrónicos, entradas de usuarios o API externas. El tercero es la capacidad de comunicarse externamente a través del correo electrónico, la mensajería o las llamadas a API. Los equipos de seguridad deben evaluar cada implementación de agentes en función de estos criterios e implementar controles proporcionales al perfil de riesgo creado por la combinación presente.
Implemente barreras de protección por capas en tiempo de ejecución que aborden cada etapa del funcionamiento del agente. En la capa de entrada, implemente clasificadores de inyección rápida y filtrado de contenido para detectar y eliminar instrucciones maliciosas. En la capa de acción, implemente listas de herramientas permitidas, restricciones de alcance y limitación de velocidad para evitar acciones no autorizadas o excesivas. En la capa de salida, utilice la detección de PII, el enmascaramiento de datos confidenciales y la validación de respuestas. Implemente herramientas de observabilidad antes de ampliar la autonomía, mantenga la aprobación humana para las acciones irreversibles e integre la supervisión de los agentes con los flujos de trabajo SOC existentes. Comience con implementaciones de menor autonomía y avance solo después de demostrar la madurez de la seguridad.
Las identidades no humanas (NHI) son las identidades digitales asignadas a agentes de IA, cuentas de servicio, bots y procesos automatizados, en lugar de a usuarios humanos. Con una proporción de 50:1 entre NHI y humanos en las empresas actuales, los agentes de IA representan una categoría de NHI en rápido crecimiento que requiere una gobernanza de seguridad específica. Una gobernanza eficaz requiere tratar a los agentes de IA como identidades de primera clase con una gestión independiente del ciclo de vida, acceso con privilegios mínimos, autorización justo a tiempo y supervisión continua del comportamiento, en lugar de limitarse a heredar los permisos de los usuarios o mantener privilegios permanentes.
Entre los marcos clave se incluyen el OWASP Top 10 para aplicaciones agenticas 2026 (publicado en diciembre de 2025), MITRE ATLAS con 14 nuevas técnicas centradas en agentes añadidas en octubre de 2025, el borrador del perfil cibernético de IA del NIST publicado en diciembre de 2025 y la norma ISO/IEC 42001:2023 como primera norma de certificación de sistemas de gestión de IA. Los requisitos normativos incluyen la Ley de IA de la UE para la clasificación de IA de alto riesgo, la SB 53 de California, que entrará en vigor en enero de 2026 y exige marcos de riesgo para los grandes desarrolladores de IA, y la TRAIGA de Texas, que prohíbe los resultados perjudiciales de la IA. Las organizaciones deben adaptar sus controles de seguridad de IA agencial a estos marcos como parte de su programa general de cumplimiento.