Durante décadas, la ciberseguridad empresarial se construyó alrededor de una idea relativamente sencilla: proteger a las personas y controlar su acceso a los sistemas. Cada empleado recibía un usuario, una contraseña y una serie de permisos determinados por su cargo. El equipo financiero podía acceder a información contable, el departamento comercial trabajaba dentro del CRM y los administradores tecnológicos gestionaban infraestructuras críticas. Si una persona abandonaba la organización, sus credenciales podían desactivarse y el acceso quedaba restringido.
La llegada de los agentes de Inteligencia Artificial está comenzando a romper ese modelo. Una empresa puede tener ahora sistemas autónomos capaces de consultar bases de datos, enviar correos, actualizar oportunidades comerciales, generar documentos, realizar llamadas a APIs y coordinar procesos completos entre diferentes plataformas. Esos agentes no son empleados, pero actúan dentro de la infraestructura empresarial. No tienen identidad humana, pero necesitan credenciales. No ocupan un puesto tradicional, pero pueden recibir permisos extraordinariamente amplios.
Aquí nace uno de los nuevos desafíos de la ciberseguridad empresarial: las identidades no humanas o Non-Human Identities, conocidas como NHI.
Una identidad no humana es una identidad digital asociada a una máquina, aplicación, servicio, automatización o agente de IA que necesita interactuar con sistemas tecnológicos. Las cuentas de servicio y las claves API existen desde hace años, pero la IA agéntica introduce una diferencia fundamental: ahora esas identidades pueden estar asociadas a sistemas que interpretan objetivos, planifican acciones y toman decisiones intermedias.
Pensemos en un agente comercial conectado al CRM. Para cumplir su función puede necesitar consultar clientes, revisar conversaciones, analizar oportunidades, crear tareas y enviar información a otros sistemas. Técnicamente, el agente requiere una identidad y permisos que le permitan ejecutar cada una de esas acciones. El problema aparece cuando las empresas aplican a estos sistemas los mismos modelos de acceso diseñados para usuarios humanos o identidades de máquina relativamente estáticas.
O Cloud Security Alliance ha señalado precisamente el desafío de autenticar y autorizar agentes que realizan consultas de bases de datos, llamadas API y otras interacciones con sistemas, manteniendo responsabilidad y políticas de seguridad. La identidad ya no es un detalle técnico: se está convirtiendo en una pieza central de la arquitectura de IA empresarial.
El riesgo resulta más fácil de comprender cuando dejamos de imaginar los agentes de IA como chatbots. Un chatbot tradicional recibe una pregunta y genera una respuesta. Su capacidad de acción suele estar limitada. Un agente inteligente puede recibir un objetivo, analizar información y ejecutar una secuencia de tareas utilizando diferentes herramientas.
Por ejemplo, una empresa podría pedir a un agente que gestione clientes potenciales sin seguimiento. El sistema consulta el CRM, identifica oportunidades inactivas, revisa conversaciones anteriores, clasifica contactos, redacta mensajes personalizados y programa nuevas tareas comerciales. Si dispone de las integraciones necesarias, incluso puede enviar comunicaciones o actualizar estados dentro de los sistemas empresariales.
Esta capacidad representa una enorme oportunidad de automatización, pero también amplía la superficie de riesgo. El agente necesita acceder a información y ejecutar acciones. Cada permiso adicional aumenta su capacidad operativa y, al mismo tiempo, las posibles consecuencias de una mala configuración, una instrucción manipulada o un comportamiento inesperado. La seguridad deja de centrarse únicamente en proteger el modelo y comienza a preguntarse qué puede hacer realmente la identidad que representa al agente.
En muchas organizaciones existe una práctica tecnológica tan común como peligrosa: otorgar más permisos de los necesarios para acelerar una integración. Un desarrollador necesita conectar un sistema y, en lugar de diseñar una política de acceso específica, utiliza credenciales con privilegios amplios. El proyecto funciona rápidamente y la restricción de permisos queda pendiente para una futura revisión que muchas veces nunca ocurre.
Con los agentes de IA, esta práctica puede tener consecuencias mucho mayores. Un agente diseñado inicialmente para consultar información podría terminar utilizando credenciales que también permiten modificarla. Otro agente encargado de generar reportes podría tener acceso a información sensible que realmente no necesita para completar su objetivo.
La diferencia es que un agente no siempre ejecuta una secuencia completamente determinista. Puede analizar contexto y seleccionar herramientas dentro de los límites de su diseño. Por esta razón, el principio de mínimo privilegio adquiere una importancia todavía mayor: cada agente debería acceder exclusivamente a los datos y acciones estrictamente necesarios para cumplir su función. La autonomía sin límites claros no es inteligencia empresarial. Es una exposición operativa difícil de controlar.
La siguiente etapa de la IA empresarial no estará formada únicamente por agentes individuales. Las organizaciones están comenzando a experimentar con sistemas multiagente donde diferentes inteligencias artificiales colaboran para completar procesos complejos. Un agente comercial puede solicitar información a un agente financiero. Este puede consultar otro sistema especializado y devolver un análisis que finalmente es utilizado para tomar una decisión.
En ese escenario aparece una pregunta difícil: ¿quién autorizó realmente la acción final? La persona que inició el proceso, el primer agente, el segundo agente o el sistema que ejecutó la modificación.
Investigaciones recientes sobre identidad de IA advierten precisamente sobre los desafíos de la delegación recursiva y la responsabilidad cuando agentes y subagentes ejecutan flujos a través de límites organizacionales. El problema no es teórico: a medida que las empresas conecten agentes con procesos reales, necesitarán reconstruir la cadena completa de autorización.
La trazabilidad tradicional fue diseñada para usuarios y servicios relativamente predecibles. Los ecosistemas agénticos exigen conocer qué agente inició una tarea, qué permisos utilizó, qué herramientas consultó y qué otros agentes participaron antes del resultado final.
Imaginemos que cinco agentes utilizan la misma clave API para conectarse al CRM de una organización. Desde el punto de vista del sistema, todas las acciones pueden parecer realizadas por la misma identidad técnica. Si aparece una modificación incorrecta, reconstruir exactamente qué agente tomó la decisión puede convertirse en un proceso complejo.
Este problema ya existía con las cuentas de servicio compartidas, pero la IA aumenta considerablemente su importancia. Cuando los agentes comienzan a actuar con mayor autonomía, la empresa necesita identificar de forma precisa quién hizo qué. Una credencial genérica utilizada por múltiples automatizaciones elimina parte de esa visibilidad.
Por eso la identidad individual de los agentes se está convirtiendo en una nueva capa de gobernanza tecnológica. Cada agente relevante debería tener una identidad diferenciada, permisos definidos y mecanismos de auditoría capaces de registrar su actividad. No basta con saber que una API realizó una llamada. La organización necesita comprender qué agente la solicitó, bajo qué objetivo y dentro de qué proceso empresarial. Sin esa información, la autonomía puede convertirse rápidamente en opacidad.
El modelo Zero Trust se construye alrededor de una idea sencilla: no confiar automáticamente en una identidad únicamente porque se encuentra dentro de la infraestructura corporativa. Cada solicitud debe evaluarse según el contexto, los permisos y las políticas establecidas.
Este principio resulta especialmente relevante para los agentes de IA. Una organización no debería asumir que un agente es confiable simplemente porque fue desarrollado internamente o porque utiliza un modelo reconocido. Su acceso necesita estar limitado y supervisado de acuerdo con la tarea que está ejecutando.
Un agente comercial que normalmente consulta oportunidades no debería obtener acceso automático a información salarial. Un agente financiero no necesita permisos administrativos sobre el CRM. Un asistente interno no debería poder descargar toda la base documental de la empresa únicamente porque tiene acceso a una herramienta de búsqueda.
La investigación académica ya está explorando marcos Zero Trust específicos para sistemas multiagente debido a las limitaciones de los mecanismos tradicionales de identidad y acceso frente a agentes dinámicos y delegación entre sistemas.
Los sistemas empresariales tradicionales suelen trabajar mediante reglas relativamente previsibles. Una aplicación ejecuta funciones previamente programadas y las políticas de seguridad controlan qué operaciones puede realizar. Los agentes inteligentes introducen un comportamiento diferente porque utilizan modelos capaces de interpretar instrucciones, analizar contexto y seleccionar acciones.
Esto crea nuevos vectores de riesgo. Una instrucción maliciosa puede intentar manipular el objetivo del agente. Información externa puede influir sobre su comportamiento. Un agente comprometido podría utilizar permisos legítimos para ejecutar acciones que técnicamente están autorizadas, pero que no corresponden con la intención original del proceso.
OWASP GenAI Security Project publicó su Top 10 para aplicaciones agénticas, elaborado con colaboración de más de cien expertos, investigadores y profesionales. El marco identifica riesgos específicos de sistemas autónomos que planifican, actúan y toman decisiones en flujos complejos. Entre los problemas destacados por el proyecto aparecen el secuestro de objetivos, el abuso de identidad y los comportamientos autónomos fuera de control.
La seguridad de IA ya no puede limitarse a revisar prompts. Necesita observar acciones.
La velocidad de adopción explica por qué este tema se está convirtiendo en una prioridad. Gartner proyectó que el 40% de las aplicaciones empresariales incorporará agentes de IA específicos para tareas al cierre de 2026, frente a menos del 5% en 2025. Al mismo tiempo, la firma también prevé que más del 40% de los proyectos de IA agéntica serán cancelados antes de terminar 2027 debido a costos crecientes, valor empresarial poco claro o controles de riesgo inadecuados.
Los datos muestran una contradicción importante. Las organizaciones quieren agentes y están experimentando con ellos a gran velocidad, pero todavía están construyendo las capacidades necesarias para operarlos correctamente.
McKinsey reportó en su encuesta global sobre IA de 2025 que el 23% de los participantes ya estaba escalando algún sistema de IA agéntica dentro de su organización. Más recientemente, su análisis sobre confianza en IA encontró que seguridad y riesgo son la principal barrera para escalar estos sistemas.
La tecnología avanza. La pregunta es si el control empresarial avanza al mismo ritmo.
Las empresas maduras saben cuántas personas trabajan dentro de la organización, qué funciones desempeñan y a qué sistemas tienen acceso. Los departamentos de identidad y acceso pueden crear, modificar y eliminar permisos según el ciclo laboral de cada empleado.
Con los agentes de IA probablemente será necesario desarrollar una disciplina similar. Una empresa necesitará saber cuántos agentes existen, quién es responsable de cada uno, qué objetivo empresarial cumplen, qué datos consultan, qué herramientas utilizan y qué permisos poseen.
También deberá conocer su ciclo de vida. ¿Quién creó el agente? ¿Cuándo fue actualizado? ¿Qué versión del modelo utiliza? ¿Qué ocurre cuando el proceso que automatiza deja de existir? ¿Sus credenciales fueron revocadas?
Este inventario será especialmente importante frente al crecimiento del Shadow AI. Si diferentes áreas comienzan a crear agentes sin coordinación tecnológica, la organización puede acumular identidades no humanas que continúan teniendo acceso a sistemas incluso después de que nadie recuerde por qué fueron creadas. La gobernanza empieza por saber qué existe.
Uno de los errores que probablemente veremos durante los próximos años será diseñar agentes extremadamente generales con permisos demasiado amplios. La idea de construir un único “superagente empresarial” capaz de acceder a toda la organización parece atractiva desde el punto de vista de la experiencia de usuario, pero plantea enormes desafíos de seguridad y gobernanza.
Una arquitectura más madura relaciona la identidad del agente con su función. Un agente de cobranza necesita un contexto y unos permisos específicos. Un agente de soporte requiere acceso a otra información. Un agente de compras trabaja con sistemas y reglas diferentes.
Esto permite limitar el impacto potencial de un error y facilita la auditoría. Si un agente comercial intenta consultar una fuente financiera restringida, la arquitectura puede bloquear la acción porque no corresponde con su identidad ni con su propósito.
La identidad deja entonces de ser únicamente un usuario técnico. Se convierte en una representación de la función, las capacidades y los límites del agente dentro de la empresa. Ese cambio será fundamental para escalar IA autónoma de forma segura.
Identificar a un agente es solo el primer paso. Las empresas también necesitan observar cómo se comporta con el tiempo. Un sistema puede comenzar funcionando correctamente y posteriormente cambiar su comportamiento debido a modificaciones en prompts, modelos, herramientas, fuentes de datos o integraciones.
La observabilidad permite analizar qué decisiones toma el agente, qué herramientas utiliza, cuánto cuesta cada ejecución y dónde aparecen errores o desviaciones. Cuando esta información se conecta con la identidad, la empresa puede construir un historial de comportamiento mucho más completo.
Esto será especialmente importante en procesos críticos. No basta con autorizar inicialmente a un agente y asumir que seguirá funcionando de la misma manera indefinidamente. Los sistemas inteligentes necesitan evaluación continua.
La confianza en IA no debería ser permanente ni automática. Debería construirse a partir de evidencia observable. Si un agente comienza a mostrar comportamientos anómalos, la organización necesita detectarlo, reducir sus permisos o detener su operación antes de que el problema se extienda a otros sistemas.
Existe una pregunta sencilla que toda empresa debería formular antes de conectar un agente de IA a un proceso crítico: si algo sale mal, ¿podemos detenerlo inmediatamente?
La respuesta no siempre es evidente. Un agente puede ejecutar acciones a través de diferentes APIs, iniciar subprocesos o coordinar otros sistemas. Si la arquitectura no fue diseñada pensando en interrupción y recuperación, detener una cadena de acciones puede ser más complejo de lo esperado.
Esta preocupación ya está llegando al debate regulatorio. En junio de 2026, la vicegobernadora del Banco de Inglaterra, Sarah Breeden, señaló que los sistemas agénticos podrían exigir nuevas formas de supervisión en finanzas y mencionó mecanismos como circuit breakers o kill switches frente a posibles disrupciones causadas por IA autónoma.
La capacidad de detener un agente no representa un fracaso tecnológico. Es una medida de resiliencia. Los sistemas empresariales críticos siempre han necesitado mecanismos de contingencia. La IA autónoma no debería ser una excepción.
La preparación comienza aceptando que los agentes no pueden tratarse simplemente como otra aplicación. Son componentes capaces de actuar dentro de la organización y, por tanto, necesitan controles relacionados con identidad, autorización, trazabilidad y ciclo de vida.
El primer paso es identificar todos los agentes y automatizaciones inteligentes que ya existen. Después es necesario definir responsables, objetivos empresariales y sistemas a los que cada agente puede acceder. Los permisos deberían diseñarse bajo mínimo privilegio y revisarse periódicamente.
La organización también necesita separar identidades, evitar credenciales compartidas, registrar delegaciones entre agentes y construir observabilidad sobre acciones críticas. Finalmente, deben existir mecanismos de revocación capaces de retirar permisos o detener agentes cuando aparezcan comportamientos inesperados.
No se trata de construir burocracia alrededor de la Inteligencia Artificial. Se trata de crear una arquitectura que permita escalarla. Las empresas que intenten gestionar cien agentes con los mismos controles utilizados para cinco automatizaciones probablemente descubrirán rápidamente los límites de su modelo tecnológico.
Em O Grupo Cloud ayudamos a las organizaciones a diseñar ecosistemas tecnológicos preparados para integrar Inteligencia Artificial, agentes autónomos y automatización inteligente dentro de procesos empresariales reales. Nuestro enfoque parte de la arquitectura, los datos y la integración porque un agente solo puede ser tan confiable como el sistema sobre el que opera.
Analizamos cómo se conectan CRM, ERP, APIs, plataformas internas y fuentes de información para diseñar flujos donde la IA pueda actuar dentro de límites claramente definidos. La gobernanza, la observabilidad y la seguridad no se incorporan después de desarrollar el agente. Deben formar parte de su diseño desde el inicio.
La próxima generación de empresas tendrá más identidades digitales operando dentro de sus sistemas. Algunas pertenecerán a personas y otras a agentes inteligentes. Prepararse para esa realidad exige repensar permisos, trazabilidad y control.
Porque implementar agentes es relativamente fácil. Construir una empresa capaz de gobernarlos cuando comienzan a multiplicarse es el verdadero desafío.
Una identidad no humana es una identidad digital utilizada por una máquina, aplicación, automatización o agente de IA para interactuar con sistemas tecnológicos. En entornos agénticos, estas identidades permiten consultar bases de datos, utilizar APIs y ejecutar acciones. Su gestión es importante porque los agentes pueden operar con distintos grados de autonomía y necesitan permisos claramente definidos.
Porque una empresa necesita identificar qué sistema ejecutó cada acción. Si varios agentes comparten las mismas credenciales, la trazabilidad se reduce y resulta más difícil determinar quién modificó información o inició un proceso. Una identidad diferenciada facilita la auditoría, la gestión de permisos y la revocación de acceso.
Una cuenta de servicio tradicional suele ejecutar tareas previamente programadas. Un agente de IA puede interpretar contexto, seleccionar herramientas y coordinar diferentes acciones. Esa mayor autonomía introduce necesidades adicionales de control, observabilidad y autorización contextual.
Significa otorgar a cada agente únicamente los permisos necesarios para cumplir su función. Un agente comercial no debería acceder automáticamente a toda la información financiera y un agente de soporte no necesita privilegios administrativos sobre todos los sistemas. Limitar accesos reduce el impacto potencial de errores o comportamientos inesperados.
La empresa puede perder visibilidad sobre qué agente realizó una acción específica. También aumenta la dificultad para revocar permisos individualmente y analizar incidentes. Separar identidades permite construir registros de actividad más precisos y mejorar la gobernanza.
Es la aplicación del principio de no confiar automáticamente en un agente por encontrarse dentro de la infraestructura empresarial. Cada solicitud debe evaluarse según identidad, permisos, contexto y políticas. El objetivo es controlar qué puede hacer el agente en cada situación.
Necesita construir un inventario centralizado de agentes, automatizaciones inteligentes e identidades no humanas. El registro debería incluir responsable, propósito, sistemas conectados, permisos, credenciales y estado operativo. Esta práctica será cada vez más importante a medida que aumente la adopción de IA.
Durante décadas, la gestión de identidad empresarial estuvo diseñada alrededor de empleados, proveedores y administradores. Las organizaciones aprendieron a crear usuarios, asignar permisos y retirar accesos cuando una persona abandonaba la compañía.
Los agentes de Inteligencia Artificial están introduciendo una categoría completamente nueva de actores digitales. Pueden consultar información, utilizar herramientas, coordinar procesos y ejecutar acciones dentro de los mismos sistemas donde trabajan las personas. La diferencia es que pueden operar continuamente y a una velocidad imposible para un equipo humano.
El potencial es extraordinario, pero la autonomía necesita límites. A medida que las empresas incorporen decenas o cientos de agentes, la identidad, los permisos y la trazabilidad dejarán de ser detalles técnicos. Se convertirán en componentes centrales de la gobernanza de IA.
Las organizaciones que comiencen a construir estas capacidades ahora estarán mejor preparadas para escalar la automatización inteligente. Las que simplemente conecten agentes a sistemas utilizando credenciales amplias podrían descubrir demasiado tarde que tienen una nueva fuerza de trabajo digital operando dentro de su infraestructura sin un modelo claro de control.
La pregunta ya no será únicamente qué puede hacer tu agente de IA.
La pregunta que definirá la seguridad de la empresa será mucho más importante:
¿Quién es ese agente, a qué tiene acceso y puedes detenerlo cuando sea necesario?