¿Qué es la seguridad basada en la IA agentiva?

Los sistemas de IA autónomos operan en entornos empresariales, tomando decisiones, accediendo a datos y ejecutando tareas sin intervención humana. Esta autonomía exige un modelo de seguridad fundamentalmente diferente, que no se base en los usuarios humanos, sino en las identidades de las máquinas, la confianza criptográfica y la verificación continua. La seguridad de la IA agentiva es la disciplina que se encarga de proteger a estos agentes autónomos para que las organizaciones puedan aprovechar sus capacidades sin perder el control.

¿Qué es la seguridad basada en la IA agentiva?

La seguridad de la IA agentiva se centra en proteger los sistemas de IA que funcionan de forma autónoma, es decir, sistemas que no se limitan a generar texto o responder a indicaciones, sino que realizan acciones de forma activa en entornos empresariales. Estos agentes de IA pueden consultar bases de datos, llamar a API, modificar configuraciones, crear subagentes e interactuar con servicios externos, todo ello sin esperar a que un humano apruebe cada paso.

Esto da lugar a una categoría de seguridad distinta tanto de la seguridad tradicional de los modelos de IA (que protege el propio modelo frente a ataques adversarios, el envenenamiento de datos o la inyección de prompts) como de la seguridad de las aplicaciones (que refuerza el software ejecuta el modelo). La seguridad de la IA agentiva aborda una tercera cuestión: ¿cómo se controla, verifica y gestiona un agente autónomo que opera con acceso a nivel empresarial?

Esta distinción es importante porque un agente de IA no es una carga de trabajo estática. Se trata de un participante autónomo en tu infraestructura capaz de llevar a cabo acciones de gran repercusión a la velocidad de una máquina. Para garantizar su seguridad, es necesario replantearse los supuestos sobre identidad, autorización y confianza que se diseñaron originalmente pensando en los usuarios humanos.

Autonomía frente a automatización

Hay una distinción fundamental que define toda esta disciplina. Los sistemas automatizados siguen guiones predeterminados. Los agentes de IA autónomos interpretan los objetivos, eligen las herramientas y determinan sus propias vías de ejecución. Cuando un agente puede decidir qué hacer, y no solo cómo hacerlo, la identidad es el mecanismo que determina si se le debe permitir actuar o no.

Por qué los modelos de seguridad tradicionales no funcionan con la IA agentiva

Las arquitecturas de seguridad de la mayoría de las empresas se diseñaron pensando en dos tipos de actores: los usuarios humanos y las aplicaciones estáticas. Las personas se autentican mediante contraseñas, la autenticación multifactorial (MFA) y claves de acceso. Las aplicaciones se ejecutan en entornos definidos con permisos fijos. Ninguno de estos modelos tiene en cuenta a los agentes autónomos, capaces de actuar de forma independiente, escalar al instante, funcionar de manera continua y comportarse de forma impredecible. El resultado es una categoría de riesgo para la que los controles existentes nunca se diseñaron.

Los agentes de IA son agentes autónomos no humanos

Los sistemas tradicionales de gestión de identidades y accesos (IAM) parten de la base de que todo actor es una persona o un servicio determinista. Los agentes de IA no son ninguna de las dos cosas. Son actores autónomos no humanos, es decir, entidades que toman decisiones, adaptan su comportamiento en función del contexto y pueden realizar acciones diferentes cada vez que se ejecutan, incluso con los mismos datos de entrada. Los modelos de gestión de acceso privilegiado (PAM) diseñados para humanos no se ajustan a los agentes de IA. El principio del privilegio mínimo para los agentes de IA no es una política estática, sino que debe ser una negociación dinámica entre capacidad y restricción, ajustada continuamente a medida que cambia el contexto de la tarea del agente.

Por qué fallan los controles actuales

La autenticación de dos factores (MFA) no es aplicable. La MFA funciona verificando la presencia de un ser humano, mediante la confirmación del acceso a múltiples recursos externos en un momento dado. Los sistemas de IA agentiva cuentan con varios componentes no humanos que no pueden verificarse mediante recursos externos.

Las credenciales estáticas son insuficientes. Las claves API y los secretos de cliente OAuth pueden compartirse, filtrarse o ser robados. Por lo tanto, no son adecuadas para verificar la identidad del agente concreto que las presenta. No tienen ningún vínculo criptográfico con una carga de trabajo o un contexto de ejecución específicos.

El perímetro de la red ya no es relevante. Los agentes de IA operan en distintas regiones de la nube, cuentas, plataformas SaaS y sistemas locales. Los límites de confianza basados en la ubicación ya no ofrecen protección alguna.

Los modelos de permisos se basan en la previsibilidad. El control de acceso basado en roles (RBAC) parte de la base de que el agente se comportará de manera coherente con su rol. Los agentes de IA pueden interpretar su mandato de forma amplia, encadenar múltiples llamadas a herramientas o ampliar sus propios derechos de acceso si no existen medidas de seguridad.

El problema de la velocidad y la escala

Los flujos de trabajo de seguridad humanos implican un tiempo de reacción. Los agentes de IA operan a la velocidad de una máquina. Un agente con privilegios excesivos o comprometido puede filtrar datos, modificar configuraciones o propagarse por los sistemas más rápido de lo que cualquier respuesta dirigida por humanos puede contenerlo. Cuando miles de agentes operan simultáneamente, cada uno tomando decisiones independientes sobre qué API llamar, a qué datos acceder y qué acciones realizar, la superficie de ataque se multiplica. Un solo agente mal configurado se convierte en un riesgo; una flota de ellos se convierte en una exposición sistémica.

Acceso entre sistemas y desplazamiento lateral

Los agentes de IA suelen necesitar acceso a múltiples sistemas empresariales: bases de datos, servicios en la nube, plataformas de comunicación, repositorios de código y API de terceros. Este acceso entre sistemas crea vías de movimiento lateral que la segmentación tradicional no puede contener. Un agente comprometido en un sistema puede pasar a otros utilizando sus credenciales existentes. Dinesh Nagarajan, socio global de ciberseguridad en IBM Consulting, destaca un riesgo agravante: los agentes que crean otros agentes, cada uno de los cuales hereda o amplía el acceso del agente principal. La gestión de estas cadenas en cascada requiere controles de identidad y autorización que operen a la misma escala y velocidad que los propios agentes.

Seguimiento insuficiente de la procedencia

Es posible que los sistemas carezcan de un mecanismo de seguimiento de la procedencia completo y criptográficamente sólido. Sin él, no existe un registro de auditoría fiable. Si un agente de IA modifica un registro de la base de datos, aprueba una transacción o envía una comunicación, la organización debe poder demostrar qué agente llevó a cabo la acción, cuándo y con qué autorización. Las credenciales estáticas, como las claves API, no pueden proporcionar esta información. Pueden compartirse entre agentes, reutilizarse en diferentes sesiones y no ofrecen ninguna prueba criptográfica de su origen.

Cuando un agente se enfrenta a una situación inesperada, su comportamiento puede resultar impredecible. A diferencia software determinista, software devuelve un código de error y se detiene, un agente autónomo puede intentar enfoques alternativos, volver a intentarlo con parámetros diferentes o intensificar sus acciones sin que el ser humano se dé cuenta. Definir y garantizar un comportamiento a prueba de fallos para los agentes autónomos supone un reto de diseño de seguridad sin precedentes claros.

La identidad como base de la seguridad de la IA agentiva

Todos los demás controles de seguridad (como la autorización, la supervisión, la gobernanza o la revocación) dependen de que primero se responda a una pregunta: ¿quién es este agente? La identidad debe preceder a la autorización. Sin una identidad verificada y única para cada agente de IA, no hay forma fiable de aplicar políticas de acceso, auditar el comportamiento o revocar el acceso cuando sea necesario.

¿Por qué la identidad de las máquinas y no los métodos basados en la identidad humana?

Los agentes de IA no pueden utilizar contraseñas. No pueden responder a las solicitudes de autenticación de dos factores. No disponen de datos biométricos. Los elementos básicos de identidad diseñados para usuarios humanos son arquitectónicamente incompatibles con las cargas de trabajo autónomas de IA.

La identidad de las máquinas (concretamente, la identidad criptográfica basada en certificados digitales) resuelve este problema. Los certificados digitales ofrecen:

Identidad única e infalsificable. Cada certificado está vinculado criptográficamente a un agente o una carga de trabajo específicos. No se puede copiar, compartir ni falsificar sin que se detecte.

Gestión integrada del ciclo de vida. Los certificados tienen fechas de caducidad, pueden renovarse automáticamente y pueden revocarse al instante cuando un agente se retira del servicio o se ve comprometido.

No repudio. Las acciones firmadas con una clave privada vinculada a un certificado pueden atribuirse a un agente concreto con certeza criptográfica. Esto facilita las auditorías, el cumplimiento normativo y las investigaciones forenses.

Cifrado y autenticación mutua. Los certificados pueden utilizarse para la autenticación mutua a través de protocolos como mTLS, lo que garantiza que tanto el agente como el servicio al que se conecta verifiquen la identidad del otro antes de intercambiar datos.

Más allá de los certificados: SPIFFE para la IA nativa de contenedores

Para los agentes de IA que se ejecutan en entornos en contenedores o nativos de la nube, el estándar SPIFFE (Secure Production Identity Framework for Everyone) ofrece una capa de identidad diseñada específicamente para cargas de trabajo. SPIFFE permite la asignación automática de identidades, emite SVID (SPIFFE Verifiable Identity Documents) X.509 de corta duración y admite TLS mutuo TLS gestionar certificados manualmente. Cuando los agentes de IA se ejecutan como contenedores efímeros, SPIFFE garantiza que cada instancia cuente con una identidad verificada desde el momento en que se inicia.

La identidad como plano de control

Ben Schreiner, de AWS, describe la identidad como «el único plano de control que abarca cuentas, regiones, servicios y agentes». Para la IA autónoma, este enfoque es esencial. La identidad no es una función de seguridad añadida a una implementación de IA, sino la capa arquitectónica que hace posible todos los demás controles de seguridad.

«Zero Trust» para la IA agentiva

Zero Trust —«nunca confíes, verifica siempre»— es un modelo de seguridad diseñado originalmente para redes empresariales y usuarios humanos. Cuando se aplica a la IA con agentes, significa que no se confía en ningún agente de IA de forma predeterminada, independientemente de dónde se ejecute, quién lo haya implementado o qué credenciales presente.

Por qué el modelo «Zero Trust» es aplicable a los agentes de IA

Los modelos de seguridad tradicionales otorgan una confianza implícita basada en la ubicación en la red, el entorno de implementación o la autenticación inicial. Estas suposiciones no son válidas para los agentes de IA porque:

• Los agentes se desplazan por distintos entornos. Un agente de IA puede comenzar en una región de la nube, acceder a servicios en otra e interactuar con sistemas locales, todo ello en una sola tarea.
• Las credenciales estáticas siguen vigentes más allá de su uso previsto. Una clave de API emitida para una tarea concreta puede seguir siendo válida mucho tiempo después de que dicha tarea haya finalizado, lo que genera un privilegio permanente que un atacante —o un agente malintencionado— puede aprovechar.
• La autenticación inicial no es suficiente. Un agente autenticado al inicio del sistema puede permanecer en ejecución durante horas o días, tiempo durante el cual su contexto, sus permisos o su fiabilidad pueden cambiar.

Verificación continua en cada acción

En un modelo «Zero Trust» para la IA con agentes, cada acción que realiza un agente debe verificarse de forma independiente:

• Autentifica la identidad del agente mediante una credencial criptográfica (no un token estático).
• Autorice la acción concreta basándose en la política vigente, no en permisos generales.
• Comprueba el contexto verificando si el agente está operando dentro del ámbito previsto, el intervalo de tiempo y los límites de recursos.
• Registra la acción con una prueba criptográfica de identidad para garantizar la auditabilidad.

Este modelo sustituye el lema «autenticar una vez, confiar para siempre» por «verificar cada vez, no confiar en nada». Los flujos de OAuth basados en certificados de cliente —en lugar de secretos de cliente estáticos— ofrecen un modelo de implementación práctico para la autenticación de agentes de IA que combina los principios de Zero Trust con la infraestructura empresarial existente.

La hoja de ruta de implementación en tres fases

Las organizaciones pueden adoptar el modelo «Zero Trust» para la IA con agentes en tres fases:

• Establecer las bases del modelo «Zero Trust». Implementar una infraestructura PKI, definir políticas de identidad para las cargas de trabajo de IA e implementar la autenticación basada en certificados para la comunicación entre máquinas.
• Implemente el primer agente seguro. Configure un único agente de IA con una identidad vinculada a un certificado, aplique el principio de privilegios mínimos y valide el flujo de trabajo de supervisión y revocación.
• Amplía la capacidad mediante la automatización. Extiende el marco de identidades a todos los agentes de IA mediante la emisión automatizada de certificados, la gestión del ciclo de vida y la aplicación de políticas. Integra el sistema con plataformas de orquestación para garantizar que cada nuevo agente reciba una identidad antes de poder actuar.

Creación de un programa de seguridad basado en IA agentiva

La implantación de agentes de IA tiende a ir por delante de la infraestructura de identidad necesaria para gestionarlos, y esta brecha se agrava con cada nuevo agente que se implementa. Un programa de seguridad estructurado aborda este reto desde el punto de vista de la gobernanza, los controles técnicos y la preparación operativa. Según un estudio Keyfactor, solo el 50 % de las organizaciones ha implementado plenamente la gobernanza para los agentes de IA, y el 55 % considera que los directivos no se toman lo suficientemente en serio los riesgos relacionados con la identidad en la IA.

Gobernanza y rendición de cuentas

Establezca claramente las responsabilidades, las políticas y la rendición de cuentas en relación con la implementación de agentes de IA. Defina quién puede implementar agentes, a qué pueden acceder y cómo se revisan las decisiones. La gobernanza no es opcional; es el requisito previo organizativo para todos los controles técnicos posteriores. La gestión de sistemas a la velocidad de las máquinas requiere controles que funcionen a la misma velocidad. La gobernanza basada en políticas, aplicada mediante credenciales de identidad, autorización automatizada y supervisión en tiempo real, debe sustituir a la supervisión manual como mecanismo principal de gobernanza.

Principios fundamentales de seguridad

Garantizar la seguridad de la IA autónoma requiere un enfoque sistemático que abarque múltiples ámbitos. La investigación Keyfactoridentifica ocho ámbitos que conforman un marco de seguridad integral: gobernanza, identidad, autorización, protección de datos, cumplimiento de las normas criptográficas, controles operativos, ética y auditoría. Los siguientes principios abordan los ámbitos más críticos de entre ellos:

• Identidades sólidas y verificables. Cada agente de IA debe contar con una identidad única y verificable criptográficamente basada en certificados digitales. Las extensiones de los certificados pueden codificar políticas de acceso, restricciones temporales y requisitos de cumplimiento directamente en la credencial de identidad.
• Acceso con privilegios mínimos. Concede a cada agente solo los permisos mínimos necesarios para su tarea actual y revoca los permisos elevados inmediatamente después de su uso. En el caso de los agentes de IA, el principio de privilegios mínimos es dinámico, es decir, los permisos deben reducirse o ampliarse en función de la acción específica que se esté llevando a cabo.
• Autenticación mutua. Tanto el agente como el servicio al que se conecta deben verificar la identidad del otro. TLS mutuo, que funciona mediante certificados digitales, proporciona una verificación bidireccional de la identidad en cada conexión.
• Supervisión continua. Supervisa el comportamiento de los agentes en tiempo real. Detecta anomalías, como patrones de acceso inusuales, llamadas a la API inesperadas o acciones fuera del ámbito de actuación, y activa respuestas automatizadas. Cada acción de los agentes debe registrarse con una prueba criptográfica de identidad.
• Revocación rápida. Cuando un agente se ve comprometido, presenta un comportamiento anómalo o ya no es necesario, su identidad y acceso deben poder revocarse en cuestión de segundos, impidiendo así que el agente pueda autenticarse en cualquier sistema.

Ampliación de la infraestructura de identidad

Las implementaciones de IA en las empresas pasan de programas piloto con unos pocos agentes a entornos de producción con miles de ellos. La infraestructura de identidades debe adaptarse a esta evolución. La gestión manual de certificados resulta insostenible ante un volumen tan elevado. La emisión, renovación y revocación automatizadas, gestionadas a través de una plataforma centralizada, son la única vía viable.

Cada identidad de agente de IA tiene un ciclo de vida: creación, emisión, renovación y revocación. La automatización de este ciclo de vida elimina el cuello de botella humano que genera tanto brechas de seguridad (certificados caducados o no revocados) como retrasos operativos (agentes a la espera de una aprobación manual). La gestión totalmente automatizada del ciclo de vida de las identidades es una capacidad básica, no solo una optimización.

Agilidad criptográfica y preparación para la era poscuántica

La computación cuántica supone una amenaza directa para los algoritmos criptográficos actuales. Las organizaciones que protegen agentes de IA deben asegurarse de que su infraestructura de identidad admita la agilidad criptográfica, es decir, la capacidad de pasar a nuevos algoritmos sin tener que sustituir la plataforma subyacente.

Kay Firth-Butterfield, directora ejecutiva de Good Tech Advisory, considera que la verificación es un requisito fundamental para una IA responsable. A medida que los agentes de IA operan con mayor capacidad y autonomía, la capacidad de verificar su identidad, autorizar sus acciones y auditar su comportamiento determina si las organizaciones pueden implementar la IA de forma responsable a gran escala. Según un estudio Keyfactor, el 85 % de los profesionales de la ciberseguridad coinciden en que las identidades de los agentes de IA serán tan habituales como las identidades humanas. La infraestructura para gestionar esas identidades debe estar lista antes de las implementaciones que dependen de ellas.

Por qué Keyfactor fundamental para la seguridad de la IA agentiva

La seguridad de la IA agentiva depende de una infraestructura de identidades de máquina que funcione a la escala y velocidad de los sistemas de IA autónomos. La plataforma Keyfactorgestiona las identidades de máquina en dispositivos, cargas de trabajo y agentes de IA a escala empresarial. EJBCA ofrece una plataforma PKI flexible para la emisión de certificados X.509 como base criptográfica para la identidad de los agentes de IA. Keyfactor Command automatiza la gestión del ciclo de vida de los certificados —detección, emisión, renovación y revocación— para que los equipos de seguridad puedan gestionar las identidades de los agentes sin procesos manuales. Keyfactor SignServer la firma de código y artefactos basada en API para acciones de agentes verificables.

Como señala Ted Shorter, director técnico de Keyfactor: los certificados siguen apareciendo en las arquitecturas de IA porque «resuelven problemas que las credenciales más sencillas no pueden resolver». Keyfactor la base criptográfica que hace posible el modelo Zero Trust, la gobernanza y la auditabilidad para la IA autónoma, y es compatible con NIST, ISO, SPIFFE, OAuth 2.0 y la preparación para la era poscuántica a través de Keyfactor .