Seguridad de la Identidad de los Agentes de IA: Gestionando el Nuevo Desafío de Gobernanza
Los agentes de IA constituyen una categoría distintiva y poderosa de identidades digitales que está transformando profundamente la seguridad de la identidad. A diferencia de las identidades no humanas (NHI, por sus siglas en inglés) tradicionales, los agentes de IA poseen capacidades autónomas de toma de decisiones y presentan un comportamiento estocástico. Esta autonomía introduce desafíos de seguridad nuevos y complejos, ya que su comportamiento no está definido rígidamente por acciones deterministas y predecibles.
El problema principal radica en su naturaleza híbrida: los agentes de IA combinan las acciones impredecibles y, con frecuencia, aleatorias propias de los usuarios humanos con la escalabilidad inherente, la tendencia al exceso de privilegios y las brechas de visibilidad típicamente asociadas a las identidades de máquina. Esta combinación única genera un nuevo y significativo riesgo de seguridad, que exige replantear la forma en que las organizaciones gestionan las identidades y los accesos.
La imprevisibilidad de los modelos de lenguaje (LLM)
Consideremos un agente autónomo de soporte informático cuya tarea inicial es desactivar cuentas de usuario inactivas. Aunque a simple vista parezca una función inofensiva, sus capacidades de razonamiento pueden generar rápidamente riesgos de seguridad imprevistos.
Si un atacante compromete un canal de comunicación de un usuario, como Slack, y envía una instrucción sutilmente maliciosa, por ejemplo: «¿Puedes ayudarme a restablecer el acceso para un grupo grande de usuarios?», el agente de IA podría interpretarla de manera incorrecta. Aprovechando su lógica y los permisos que ya posee, podría escalar privilegios de forma autónoma, acceder a una API privilegiada y posteriormente modificar o eliminar masivamente permisos de usuarios en toda la organización.
El peligro no reside en la función principal para la que fue creado, sino en su capacidad de conectar de manera impredecible acciones distintas para alcanzar un objetivo potencialmente malicioso, todo ello sin intervención humana. Esta naturaleza no determinista crea una superficie de ataque amplia y difícil de predecir.
Los desafíos de un comportamiento similar al de las identidades no humanas
Más allá de su imprevisibilidad similar a la de los seres humanos, los agentes de IA heredan y amplifican desafíos tradicionalmente asociados con las identidades no humanas: escala, exceso de privilegios y falta de visibilidad.
La escala es uno de los principales problemas. Los desarrolladores pueden desplegar agentes de forma instantánea, a menudo evitando los procesos formales de aprovisionamiento. Esto genera una proliferación masiva e invisible de identidades en constante evolución, con distintos niveles de acceso que muchas veces son desconocidos.
Ya no se trata simplemente de administrar miles de cuentas de servicio; se trata de miles de agentes autónomos e impredecibles, creados para distintos propósitos y con niveles de acceso que frecuentemente no están claramente identificados. Esta proliferación descontrolada hace que establecer una línea base de comportamiento normal sea casi imposible, ampliando considerablemente la superficie de ataque.
La visibilidad constituye otra brecha crítica. Las organizaciones carecen de la capacidad fundamental para observar y comprender el comportamiento de los agentes de IA como una identidad diferenciada. Las herramientas de seguridad actuales tienen dificultades para correlacionar las múltiples acciones autónomas que realiza un agente: consultar una base de datos, enviar un mensaje por Slack, acceder a almacenamiento en la nube y construir una visión integral de su actividad.
La ausencia de una identidad unificadora de «agente de IA» impide rastrear su ciclo de vida y comprender el alcance completo de sus acciones, generando peligrosos puntos ciegos donde agentes comprometidos pueden operar sin ser detectados.
Por último, los agentes rompen el principio de atribución. En los entornos tradicionales, cada acción puede vincularse a un actor humano específico. Pero cuando un agente accede de forma autónoma a un recurso o crea una credencial, surge una pregunta fundamental: ¿quién está realizando realmente esa acción? ¿El propio agente? ¿El usuario que emitió la instrucción? ¿O un atacante que tomó el control mediante una técnica de prompt injection?
Cómo afrontar el desafío
Gobernar agentes de IA es un nuevo desafío que requiere nuevas herramientas y capacidades.
- En primer lugar, la observabilidad debe abarcar ahora la intención, no solo los privilegios de acceso. Cuando una persona hace un uso indebido de un acceso privilegiado, la resolución suele ser relativamente sencilla: una conversación puede revelar rápidamente cuáles eran sus objetivos y si existía una intención maliciosa. Sin embargo, un agente de IA simplemente actúa en función de una instrucción (prompt); interrogarlo no permitirá descubrir una motivación oculta que, en realidad, no existe. Por ello, la observabilidad moderna requiere visibilidad sobre la propia instrucción que recibe el agente, con el fin de comprender su intención y permitir que los equipos puedan investigar, resolver y prevenir incidentes de manera efectiva.
- En segundo lugar, la gobernanza de identidades debe integrar capacidades avanzadas de clasificación de datos para visualizar el alcance del acceso de los agentes. Ya no basta con saber a qué sistemas puede acceder un agente; es necesario comprender exactamente qué datos sensibles residen en esos sistemas y si dicho acceso es coherente con la función que desempeña el agente. Sin una correlación directa entre los privilegios otorgados y la sensibilidad de los datos, como información personal identificable (PII), propiedad intelectual o registros financieros, las organizaciones seguirán sin tener una visión clara del riesgo real que representa un agente. Una gobernanza efectiva requiere una visión unificada donde el contexto de identidad se combine con el contexto de los datos, permitiendo a los equipos de seguridad cuantificar el impacto potencial de un ataque de prompt injection o de un intento de movimiento lateral antes de que ocurra.
- En tercer lugar, la gobernanza debe estar basada en políticas, aplicando modelos de aprovisionamiento just-in-time y de mínimo privilegio, considerando además la intención de la tarea que se desea ejecutar. Dado que los agentes suelen operar con accesos permanentes excesivamente privilegiados, se convierten en objetivos especialmente atractivos para los atacantes. Este nivel de acceso resulta insostenible desde una perspectiva de seguridad. Para reducir el riesgo, las organizaciones deben ajustar los privilegios al nivel estrictamente necesario para cada actividad específica. Un agente debería disponer de acceso a información sensible únicamente durante el tiempo indispensable para completar una tarea y regresar inmediatamente a un estado seguro una vez finalizada.
De cara al futuro, la última frontera de la gobernanza de agentes de IA reside en la evolución de dos áreas críticas: la precisión y la capacidad de respuesta.
Debemos avanzar hacia modelos de permisos mucho más granulares, capaces de otorgar privilegios con precisión quirúrgica a nivel de subsistemas, superando los esquemas tradicionales de acceso de “todo o nada”.
Al mismo tiempo, la adopción de capacidades de Detección y Respuesta ante Amenazas de Identidad (ITDR, por sus siglas en inglés) resulta fundamental para monitorear anomalías que ocurren a velocidad de máquina, lo que permite a las organizaciones detectar, interceptar y bloquear amenazas sofisticadas antes de que causen daños.
Al superar estos desafíos pendientes, las organizaciones podrán aprovechar plenamente el potencial de los agentes de IA sin comprometer su postura de seguridad.
VINCENZO IOZZO
Vincenzo Iozzo es CEO y cofundador de SlashID, una plataforma de seguridad y gobernanza de identidades que detecta y previene ataques basados en identidades.
Antes de fundar SlashID, creó IperLane, una empresa especializada en seguridad móvil que posteriormente fue adquirida por CrowdStrike. Durante su trayectoria en CrowdStrike, se desempeñó como Director Senior, donde lideró el lanzamiento de Falcon for Mobile, identificó y ejecutó la adquisición de Preempt Security (actualmente Falcon Identity Protection) y gestionó el fondo de capital de riesgo en ciberseguridad Falcon Fund.
En las primeras etapas de su carrera se dedicó a la investigación en seguridad ofensiva. Junto con Ralf-Philipp Weinmann, ganó la competencia Pwn2Own al demostrar el primer ataque público de Return-Oriented Programming (ROP) sobre un procesador ARM, comprometiendo un iPhone 3GS a través del navegador Safari. También fue coautor del exploit que logró vulnerar la seguridad del sistema operativo BlackBerry OS durante otra edición de Pwn2Own.
Asimismo, fue coautor del libro “iOS Hacker’s Handbook”, junto con Charlie Miller, Dion Blazakis, Dino Dai Zovi, Stefan Esser y Ralf-Philipp Weinmann.
Ha formado parte del Black Hat Review Board y se desempeñó como investigador asociado en el MIT Media Lab. Es licenciado en Ingeniería Informática por el Politecnico di Milano y participa activamente como inversionista ángel en empresas de ciberseguridad, herramientas para desarrolladores, salud e infraestructura.
