La proliferación de agentes de IA genera nuevos riesgos para más de 150,000 bots corporativos

La proliferación de agentes de IA autónomos, con una previsión de 150,000 bots funcionando en la empresa promedio de Fortune 500 en un plazo de dos años, está creando un desafío significativo de gestión y ciberseguridad que amenaza con eclipsar las ganancias de productividad.

"Dado que todo el mundo puede hacerlo, es probable que acabemos teniendo a muchas personas con los mismos tipos de agentes", comentó Michael Friedlander, director de información de las Américas en Magnum Ice Cream, a The Wall Street Journal, destacando la naturaleza descentralizada del problema.

Empresas como Lyft, DaVita y Fair Isaac (FICO) ya están lidiando con esta "proliferación de agentes de IA", impulsada por la facilidad de crear bots con plataformas como Claude Cowork de Anthropic. Los empleados de la empresa de cuidado renal DaVita han creado más de 10,000 agentes de IA. Según la firma de investigación de mercado Gartner, solo el 13% de las organizaciones creen tener una gobernanza adecuada de agentes de IA en la actualidad.

Esta falta de gobernanza crea un riesgo financiero y de seguridad significativo, con agentes redundantes elevando los costos de computación y bots mal configurados exponiendo sistemas internos sensibles, una amenaza que Microsoft informa que ya está siendo explotada activamente por atacantes.

El cuchillo de doble filo de la democratización de la IA

El núcleo del problema surge de la propia accesibilidad que hace atractivas a las herramientas de IA. Las plataformas de empresas como Anthropic y los marcos de código abierto como OpenClaw y AutoGen Studio de Microsoft facilitan que empleados sin conocimientos técnicos construyan y desplieguen agentes para tareas como resumir correos electrónicos, escribir código o analizar datos. En FICO, se crean decenas de nuevos agentes diariamente en toda la jerarquía de la empresa, dijo el CIO Mike Trkay.

Si bien esto puede fomentar la innovación, también conduce al caos. Varios agentes pueden realizar la misma tarea, elevando innecesariamente los costos de tokens y computación. Peor aún, pueden producir resultados conflictivos a partir de los mismos datos, socavando la toma de decisiones. Para gestionar esto, DaVita ha desarrollado una plataforma interna para gestionar los costos de tokens y frenar a los agentes con bajo rendimiento, mientras que Lyft está creando una plataforma centralizada con controles de TI.

De la proliferación a las configuraciones erróneas explotables

El riesgo más grave del crecimiento descontrolado de agentes se encuentra en la ciberseguridad. Según la investigación de Microsoft Defender for Cloud, muchos despliegues de IA se lanzan apresuradamente a producción en plataformas nativas de la nube como Kubernetes con autenticación débil o inexistente. Estas "configuraciones erróneas explotables" crean rutas de ataque de bajo esfuerzo y alto impacto.

Los investigadores encontraron herramientas de IA de código abierto populares desplegadas con valores predeterminados inseguros. Se descubrió que Mage AI, una plataforma de canalización de datos e IA, exponía una interfaz de usuario web sin autenticación que permitía la ejecución de código arbitrario con privilegios de administrador de clúster. Aunque el problema ya ha sido parcheado, se observó que estaba siendo explotado activamente. Del mismo modo, se encontró que el marco kagent para ejecutar agentes de IA en Kubernetes carecía de autenticación de forma predeterminada, lo que permitía a usuarios anónimos desplegar cargas de trabajo maliciosas si la aplicación estaba expuesta públicamente.

Estas vulnerabilidades pueden permitir a los atacantes lograr la ejecución remota de código, robar credenciales y acceder a herramientas y datos internos sensibles sin utilizar sofisticados exploits de día cero. Microsoft descubrió que el 15% de los servidores del Protocolo de Contexto de Modelo (MCP) desplegados de forma remota, que permiten a los agentes interactuar con herramientas externas, eran inseguros y permitían el acceso no autenticado a sistemas internos de RR.HH. y repositorios de código privado.

Una estrategia de 'defensa en profundidad' para la seguridad de los agentes

Para contrarrestar la proliferación, los expertos en seguridad recomiendan una estrategia de "defensa en profundidad" centrada en la capa de aplicación, donde los constructores tienen el mayor control. Este enfoque va más allá de confiar en las funciones de seguridad probabilísticas del propio modelo de IA e implementa controles estructurales en cómo se construyen y gobiernan los agentes.

Los arquitectos de seguridad de Microsoft abogan por cuatro patrones de diseño clave. Primero, diseñar agentes como microservicios, con responsabilidades estrechas y permisos aislados, para limitar el radio de impacto de cualquier compromiso individual. Esto contrarresta el modo de fallo del "agente para todo", donde un bot tiene un acceso excesivamente amplio.

Segundo, aplicar una política de privilegio mínimo, donde los agentes comienzan con cero permisos y solo se les concede acceso explícito a las herramientas y datos específicos requeridos para una tarea. Tercero, implementar revisiones deterministas con intervención humana (human-in-the-loop - HITL) para decisiones de alto riesgo. Crucialmente, los activadores para la revisión humana deben definirse en el código y ser impuestos por la aplicación, no dejarse al razonamiento del propio agente.

Finalmente, establecer la identidad del agente como una primitiva de seguridad central es crítico. Cada agente debe tener una identidad única y verificable, independiente del usuario que lo creó. Esto permite permisos granulares, gobernanza del ciclo de vida y pistas de auditoría claras, asegurando que, a medida que se despliegan miles de agentes, sus acciones puedan ser rastreadas, gestionadas y, si es necesario, revocadas.

Este artículo es solo para fines informativos y no constituye asesoramiento de inversión.