La seguridad de agentes de IA es el conjunto de controles que las organizaciones utilizan para proteger a los agentes de IA autónomos a lo largo de todo su ciclo de vida, cubriendo la gestión de identidades, el acceso de mínimos privilegios, la aplicación de políticas en tiempo de ejecución, la monitorización del comportamiento y el registro de auditoría a prueba de manipulaciones.
A diferencia de la ciberseguridad tradicional, la seguridad de agentes de IA no solo gobierna a qué datos pueden acceder los agentes, sino qué acciones pueden tomar, qué herramientas pueden llamar y qué ocurre cuando son manipulados a mitad de una tarea.
En enero de 2026, los agentes de trading de Step Finance ejecutaron transferencias no autorizadas por valor de entre 27 y 30 millones de dólares después de que los atacantes comprometieran dispositivos de directivos. Los agentes hicieron exactamente lo que estaban diseñados para hacer. Nadie les dijo que pararan.
TL;DR - Puntos clave
- Los agentes de IA no son chatbots. Actúan. Llaman a APIs, escriben en bases de datos, activan flujos de trabajo y encadenan acciones con una supervisión humana limitada. Eso es lo que los hace valiosos, y lo que hace que protegerlos sea un problema completamente diferente al de proteger el software tradicional.
- El 88% de las organizaciones reportaron incidentes de seguridad de agentes de IA confirmados o sospechados en el último año. En el sector sanitario, esa cifra es del 92,7%. (Fuente: State of AI Agent Security, Gravitee.io, abril de 2026)
- Solo el 14,4% de las organizaciones envían agentes a producción con la aprobación completa de seguridad o TI, según el AI Threat Landscape Report 2026 de HiddenLayer.
- La inyección de prompts afecta aproximadamente al 34% de los agentes desplegados. Es la vulnerabilidad número uno en el OWASP Top 10 para Aplicaciones LLM 2025.
- El 81% de los líderes de seguridad sienten presión para desplegar agentes de IA rápidamente, incluso cuando la seguridad no está completamente implementada, según Gravitee.io (abril de 2026).
- La seguridad completa de agentes de IA requiere seis capas de control: identidad, acceso de mínimos privilegios, aplicación en tiempo de ejecución, monitorización del comportamiento, registro de auditoría y seguridad de la cadena de suministro.
¿Qué es la seguridad de agentes de IA?
Aquí está el error que cometen la mayoría de los equipos de seguridad.
Protegen el modelo. El prompt entra, la respuesta sale, la inspeccionan para ver si hay violaciones de políticas. Trabajo hecho. Pero en 2026, el modelo no es donde ocurre el ataque. El ataque ocurre en la llamada a la herramienta.
Seguridad de agentes de IA envuelve los controles que las organizaciones usan para gobernar los agentes de IA autónomos a lo largo de todo su ciclo de vida operativo: descubrimiento, gestión de identidades, monitorización del uso, aplicación de políticas en tiempo de ejecución en la capa de llamadas a herramientas, y registro de auditoría de cada acción que un agente realiza en producción.
Esto es distinto de la seguridad de IA tradicional, que se centra en las salidas del modelo. La seguridad de agentes de IA se centra en las acciones de los agentes. Son dos problemas diferentes.
Cuando un agente de IA ejecuta una tarea, lo hace a través de invocaciones de herramientas. Llama a una API. Escribe en una base de datos. Activa un flujo de trabajo. Envía un mensaje. La mayoría de las empresas no tienen ninguna gobernanza en esta capa. Las invocaciones de herramientas son de confianza por defecto. No hay puntuación de riesgo antes de la ejecución, ni aplicación de políticas a nivel de conector, ni rastro de auditoría que muestre lo que los agentes están haciendo realmente en el entorno.
Esa brecha estructural es el problema definitorio de la seguridad empresarial de IA ahora mismo.
Piensa en lo que cambió. Un chatbot que es manipulado produce una mala respuesta. Vergonzoso. Soluble. La conversación termina. Un agente que es manipulado actúa en tu nombre en tus sistemas, accediendo a datos, activando flujos de trabajo y modificando infraestructura sin supervisión en tiempo real. Cuando un atacante lo redirige, las consecuencias no son una mala respuesta. Son datos que abandonan tu organización. Transacciones que no autorizaste. Sistemas modificados sin tu conocimiento.
¿Por qué es diferente la seguridad de agentes de IA de la ciberseguridad tradicional?
Tu stack de seguridad actual fue construido para un mundo donde los humanos tomaban las decisiones consecuentes. Firewalls, detección de endpoints, SIEM, DLP... todo asume un actor humano que eventualmente tiene que iniciar sesión, hacer clic en algo o mover un archivo. Un agente autónomo rompe todas esas suposiciones.
)
| Ciberseguridad tradicional | Seguridad de agentes de IA | |
|---|---|---|
| Qué se protege | Endpoints, redes, infraestructura cloud | Agentes de IA, su acceso a herramientas, sus acciones, su memoria |
| El modelo de actor de amenazas | Atacante humano externo o insider malicioso | Inyección de prompts, agente comprometido, fallos en cascada entre agentes |
| Cómo ocurren los ataques | Explotar vulnerabilidades, robar credenciales, moverse lateralmente | Inyectar instrucciones maliciosas en el contenido que leen los agentes; manipular el objetivo a mitad de la tarea |
| Radio de impacto | Limitado por las credenciales del atacante | Proporcional a los permisos del agente: puede abarcar todo el entorno |
| Supervisión humana | Un humano eventualmente toma la acción consecuente | El agente actúa. A menudo antes de que ningún humano vea lo que hizo. |
| Requisitos de monitorización | Registros, tráfico de red, comportamiento de usuarios | Secuencias de llamadas a herramientas, cadenas de razonamiento, acceso a memoria, comunicación entre agentes |
Los números te dicen que esto no es un problema teórico. El coste medio de una brecha relacionada con agentes de IA es ahora de aproximadamente 4,7 millones de dólares. Los agentes autónomos han atravesado sistemas empresariales en pruebas controladas en menos de dos horas. La inyección de prompts ya afecta a más de un tercio de los agentes desplegados.
Y la brecha de confianza ejecutiva lo empeora. El 82% de los ejecutivos reportan confianza en que sus políticas existentes protegen contra acciones no autorizadas de los agentes. Pero solo el 14,4% de las organizaciones envían agentes a producción con controles de seguridad completos.
La documentación de políticas y la aplicación en tiempo de ejecución no son lo mismo.
¿Cuáles son las mayores amenazas de seguridad de agentes de IA en 2026?
El OWASP Top 10 para Aplicaciones LLM 2025 y el OWASP Top 10 para Aplicaciones Agénticas 2026 te dan la taxonomía autorizada. Esto es lo que necesitas saber sobre cada categoría de amenaza y cómo se desarrolla en producción.
La inyección de prompts (ASI01 / LLM01) sigue siendo la amenaza principal. No porque sea compleja. Porque es simple y escala. El 94,4% de los agentes de IA en un benchmark de 2025 eran vulnerables a ser secuestrados no a través de un exploit de software o una brecha de datos, sino a través del contenido que se les pedía que leyeran. El agente lee un documento, una página web o un correo electrónico. Encuentra instrucciones incrustadas. Las sigue como si vinieran de ti.
La variante indirecta es más peligrosa. En un caso documentado que involucraba un servidor de Model Context Protocol de GitHub, un issue malicioso inyectó instrucciones ocultas que secuestraron un agente y activaron la exfiltración de datos de repositorios privados. El atacante nunca tocó el sistema directamente. Simplemente dejó un mensaje donde el agente lo leería.
El exceso de agencia (ASI03) es el fallo más predecible. Los agentes a los que se les concede más acceso del que requiere su función son el fallo reportado de forma más consistente en todas las encuestas de seguridad de IA empresarial realizadas en 2025 y 2026. El incidente de Step Finance fue un ejemplo clásico: agentes con permiso para ejecutar grandes transferencias de SOL sin aprobación humana, y ningún mecanismo para detenerlos cuando la cuenta fue comprometida.
El envenenamiento de memoria y contexto (ASI06) es el más lento. Un atacante implanta instrucciones falsas en la memoria persistente de un agente. El agente las almacena. Y luego las recuerda en sesiones futuras, días o semanas después. No solo estás manipulando una conversación. Estás corrompiendo la visión del mundo del agente para todas las tareas futuras.
Las vulnerabilidades de la cadena de suministro (ASI08) llegaron fuerte en 2026. Una puerta trasera estuvo en PyPI durante tres horas en marzo de 2026. Casi 47.000 descargas ocurrieron durante ese tiempo. El paquete comprometido, LiteLLM, sirve como gateway de modelos de lenguaje para CrewAI, DSPy, Microsoft GraphRAG y docenas de otros frameworks de agentes de IA. Cualquiera que descargara una actualización durante esa ventana, descargó un bot de ataque autónomo.
La comunicación insegura entre agentes (ASI09) es el riesgo de fallo en cascada. En los sistemas multi-agente, los agentes confían entre sí por defecto. Un único agente comprometido puede pasar instrucciones maliciosas al siguiente sin ninguna verificación de autenticación. Un agente malo se convierte en un punto de pivote para todo el sistema.
| Amenaza | ID OWASP | Impacto en el mundo real | Frecuencia |
|---|---|---|---|
| Inyección de prompts | LLM01 / ASI01 | Exfiltración de datos, acciones no autorizadas, secuestro de objetivos | Afecta al ~34% de los agentes desplegados |
| Exceso de agencia | ASI03 | Transacciones no autorizadas masivas, compromiso de todo el entorno | El fallo más consistentemente reportado en 2025-2026 |
| Envenenamiento de memoria | ASI06 | Corrupción persistente del comportamiento del agente entre sesiones | Emergente; creciente con agentes de larga duración |
| Ataques a la cadena de suministro | ASI08 | Frameworks comprometidos infectan ecosistemas enteros de agentes | Creciente; incidente LiteLLM/PyPI, ataques a la cadena de suministro MCP |
| Comunicación insegura entre agentes | ASI09 | Fallos en cascada en sistemas multi-agente | Acelerado a medida que escalan los despliegues multi-agente |
¿Cuáles son las seis capas de control de la seguridad de agentes de IA?
Proteger a los agentes de IA no es un problema. Son seis, apilados uno encima del otro. Si te saltas alguno, los demás tendrán brechas que no puedes cerrar.
)
Capa 1: Identidad y autenticación
Cada agente necesita una identidad distinta y gestionada. No heredada de una sesión de usuario. No compartida entre instancias de agentes. No una clave API genérica que tres agentes y dos desarrolladores están usando todos.
La identidad del agente debe acreditarse, rotarse y auditarse de forma independiente. En arquitecturas multi-agente, los agentes necesitan autenticarse entre sí usando credenciales verificadas. La confianza implícita entre agentes en un entorno compartido es cómo empiezan los fallos en cascada. Mantén un registro de identidades de agentes: cada agente mapeado a su propósito, sus herramientas autorizadas, su ámbito de datos y su propietario humano. Esta es la base sobre la que se construye todo lo demás.
Capa 2: Acceso de mínimos privilegios
Si tu agente puede llamar a una API que no necesita, un atacante que controle ese agente también puede llamar a esa API. El radio de impacto de cualquier inyección de prompts o compromiso de la cadena de suministro escala directamente con los permisos del agente.
Define listas de acceso a herramientas y ámbito de datos explícitamente en el momento del despliegue. Si el trabajo del agente es responder preguntas de clientes sobre el estado de los pedidos, no debería tener acceso de escritura al sistema de gestión de pedidos. Revisa y revalida el ámbito siempre que cambie la definición de la tarea del agente.
Capa 3: Aplicación de políticas en tiempo de ejecución
Esta es la capa de ejecución que tu equipo de seguridad probablemente no gobierna todavía. Cada invocación de herramienta, cada llamada a la API, cada escritura en la base de datos. Un AI gateway se sienta entre el agente y sus herramientas conectadas, intercepta cada acción, puntúa el riesgo y bloquea lo que viola la política.
Esta capa es donde se detienen los ataques de inyección de prompts. No en el prompt. En la acción. Cuando la instrucción inyectada le dice al agente que exfiltre datos de clientes, el gateway bloquea la llamada a la API saliente antes de que se complete.
TrustGate de NeuralTrust es la capa de AI Gateway, interceptando cada invocación de herramienta, evaluando las solicitudes contra la política empresarial y bloqueando las acciones no autorizadas antes de que se ejecuten.
Capa 4: Monitorización del comportamiento
Los agentes pueden fallar los requisitos de gobernanza sin ningún cambio de configuración. A través del secuestro de objetivos, el envenenamiento de memoria o la deriva en los patrones de razonamiento. Necesitas visibilidad continua sobre lo que tus agentes están haciendo realmente.
Rastrea estas métricas específicamente para agentes: tasa de anomalías en llamadas a herramientas (llamadas fuera del ámbito de capacidades definido), valores atípicos de longitud de cadena de razonamiento (cadenas de múltiples pasos que superan los límites esperados), anomalías de velocidad de acciones (acciones a velocidad o secuencia inusuales), y anomalías en la comunicación entre agentes. Consulta nuestra Guía de Monitorización de la Gobernanza de la IA para el marco de métricas completo y la arquitectura de alertas.
TrustLens de NeuralTrust proporciona monitorización continua de la postura, descubrimiento de agentes y visibilidad del comportamiento en toda tu flota de agentes.
Capa 5: Registro de auditoría a prueba de manipulaciones
Cada acción que realiza un agente debe registrarse en un formato que no pueda modificarse después del hecho. El rastro de auditoría debe ser suficiente para reconstruir la cadena de razonamiento completa que llevó a cualquier acción consecuente.
Esto no es solo una buena práctica. El Artículo 12 de la Ley de IA de la UE lo exige para los sistemas de IA de alto riesgo. El Artículo 72 requiere datos de monitorización postmercado que evidencien el cumplimiento continuo. No puedes satisfacer ninguno de los dos requisitos con una exportación de panel.
TrustGuard de NeuralTrust proporciona detección y aplicación del comportamiento en tiempo de ejecución con registro a prueba de manipulaciones, cubriendo las Capas 3, 4 y 5 simultáneamente.
Capa 6: Seguridad de la cadena de suministro
La postura de seguridad de tu agente es tan buena como su dependencia más débil. El framework de orquestación sobre el que se ejecuta. El proveedor de modelos al que llama. Los servidores MCP a los que se conecta. Cada componente de terceros en el stack de tu agente es una superficie de ataque que no controlas directamente.
Mantén un inventario de componentes de software para cada despliegue de agente. Aplica la misma revisión de seguridad a las dependencias del agente que aplicarías a cualquier otro software de producción. Y monitoriza los feeds públicos de vulnerabilidades para CVEs que afecten a tus frameworks de agentes: están llegando más rápido de lo que la mayoría de los equipos pueden rastrear.
TrustTest de NeuralTrust proporciona pruebas adversariales previas al despliegue contra las seis categorías de amenazas, incluyendo simulación de cadena de suministro y cobertura de OWASP ASI01-ASI10.
¿Cómo se construye un programa de seguridad de agentes de IA?
No necesitas resolver las seis capas el primer día. Empieza por las mayores brechas.
Paso 1: Descubre lo que tienes.
La mayoría de las organizaciones no tienen un recuento preciso de sus agentes desplegados. Las flotas de agentes de IA empresariales se han duplicado aproximadamente desde diciembre de 2025, con casi el 38% de las organizaciones ejecutando ya más de 100 agentes. Antes de poder protegerlos, necesitas saber que existen. Ejecuta un escaneo de descubrimiento en tu entorno: qué agentes se están ejecutando, qué herramientas pueden llamar, a qué datos pueden acceder, quiénes son sus propietarios.
Paso 2: Construye tu registro de identidades de agentes.
Para cada agente que descubras: nombre, propósito, lista de herramientas autorizadas, ámbito de acceso a datos, propietario humano, fecha de despliegue. Este documento es la base para todo lo demás. Ningún agente debería llegar a producción sin una entrada en el registro.
Paso 3: Aplica el mínimo privilegio en la capa de herramientas.
Audita el conjunto de permisos actual de cada agente frente a lo que su tarea realmente requiere. Para la mayoría de las organizaciones, los agentes tienen demasiados privilegios porque nadie los auditó en el momento del despliegue. Reduce los permisos al mínimo requerido para la función definida. Luego aplícalo a nivel de gateway, no solo en la documentación.
Paso 4: Implementa puntos de control de intervención humana.
Clasifica cada tipo de acción que tus agentes pueden tomar. Auto-aprobado (bajo riesgo, reversible, dentro del ámbito). Notificar y continuar (riesgo moderado, registrado en tiempo real). Intervención humana (alto riesgo o irreversible: el agente hace una pausa y espera). Prohibido (fuera del ámbito por completo: el agente rechaza y registra). El umbral de transacción financiera que Step Finance no tenía es el ejemplo canónico. Constrúyelo antes de que lo necesites.
Paso 5: Realiza pruebas de red teaming contra tus agentes.
No tus modelos. Tus agentes. Prueba específicamente para OWASP ASI01-ASI10: secuestro de objetivos, uso indebido de herramientas, escalada de privilegios, envenenamiento de memoria, vulnerabilidades de la cadena de suministro. Prueba los vectores de inyección de prompts indirectos: el contenido malicioso en los documentos que recuperan tus agentes, no solo las entradas que escriben los usuarios. Consulta nuestra Guía de Auditoría de Gobernanza de la IA para el marco de recopilación de evidencias.
Paso 6: Configura la monitorización continua.
Establece métricas de comportamiento base para cada agente en los primeros 30 días de operación en producción. Establece umbrales de alerta para anomalías. Luego mantén esa monitorización activamente, no como una revisión trimestral, sino como una señal operativa continua. El comportamiento de los agentes puede derivar sin ningún cambio de código.
¿Cómo se aplican el NIST AI RMF y la Ley de IA de la UE a los agentes de IA?
NIST AI RMF 1.0 y NIST AI 600-1
La función MANAGE del NIST AI RMF requiere monitorización continua y respuesta a incidentes, demandas que son más intensivas para los sistemas agénticos porque el comportamiento de los agentes puede cambiar sin ninguna actualización del modelo. El NIST AI 600-1 (el perfil de IA generativa, publicado en julio de 2024) nombra la inyección de prompts y el exceso de agencia como categorías de riesgo específicas que requieren controles de medición. Para los sistemas agénticos, ambos son riesgos estructurales que necesitan aplicación en tiempo de ejecución, no pruebas puntuales. (Fuente: NIST AI 600-1, nvlpubs.nist.gov)
Ley de IA de la UE (Reglamento (UE) 2024/1689)
Muchos despliegues de agentes de IA empresariales calificarán como sistemas de IA de alto riesgo según el Anexo III, particularmente los agentes que asisten en decisiones de empleo, crédito o servicios esenciales. Para estos, las obligaciones de los Artículos 9-15 son técnicamente más exigentes para los sistemas agénticos:
- El Artículo 9 (Gestión de riesgos) debe abordar OWASP ASI01-ASI10, no solo los riesgos generales de LLM.
- El Artículo 14 (Supervisión humana) debe implementarse técnicamente. Los puntos de control de intervención humana descritos anteriormente deben funcionar realmente en tiempo real, no existir solo como documentos de política.
- El Artículo 15 (Robustez y ciberseguridad) debe abordar la manipulación adversarial de los objetivos de los agentes, el acceso a herramientas y la memoria.
- El Artículo 72 (Monitorización postmercado) requiere la recopilación activa y sistemática de datos sobre el comportamiento de los agentes durante toda la vida del sistema.
Para la línea de tiempo completa de cumplimiento y las obligaciones, consulta nuestra Guía de Cumplimiento de la Ley de IA de la UE.
Preguntas frecuentes sobre seguridad de agentes de IA
1. ¿Qué es la seguridad de agentes de IA?
La seguridad de agentes de IA cubre los controles que las organizaciones usan para gobernar los agentes de IA autónomos a lo largo de todo su ciclo de vida. Es distinta de la seguridad de IA tradicional, que se centra en las salidas del modelo. La seguridad de agentes de IA se centra en las acciones de los agentes: qué herramientas pueden llamar, a qué datos pueden acceder, qué hacen cuando son manipulados a mitad de una tarea y si esas acciones son auditables. En 2026, con el 88% de las organizaciones reportando incidentes de agentes de IA confirmados o sospechados, es una disciplina operativa activa, no una preocupación futura.
2. ¿Qué es la inyección de prompts y por qué importa para los agentes de IA?
La inyección de prompts es un ataque donde se incrustan instrucciones maliciosas en el contenido que procesa un agente de IA (un documento, una página web, un correo electrónico, una respuesta de API). El agente interpreta las instrucciones incrustadas como tareas legítimas y las ejecuta usando sus propios accesos y credenciales. Para un chatbot, esto produce una mala respuesta. Para un agente con acceso a tus sistemas, produce acciones no autorizadas: exfiltración de datos, transacciones fraudulentas, movimiento lateral entre herramientas conectadas. Aproximadamente el 34% de los agentes desplegados son vulnerables.
3. ¿Qué es un AI gateway y por qué lo necesitan los agentes de IA?
Un AI gateway se sienta entre un agente de IA y sus herramientas conectadas. Intercepta cada invocación de herramienta, evalúa la solicitud contra la política empresarial, puntúa el riesgo de la acción y aprueba o bloquea la ejecución antes de que ocurra. Es el control técnico principal para prevenir acciones no autorizadas de los agentes en la capa de ejecución. La mayoría de los equipos de seguridad gobiernan la capa del modelo: qué herramientas de IA pueden acceder los empleados, qué proveedores pasan la revisión de adquisición. El gateway gobierna la capa de herramientas, donde los agentes realmente toman acciones consecuentes en producción.
4. ¿En qué se diferencia la seguridad de agentes de IA de la ciberseguridad tradicional?
La ciberseguridad tradicional asume un atacante humano que eventualmente tiene que iniciar sesión, hacer clic en algo o mover un archivo. Los agentes de IA eliminan esa suposición. Un agente no se cansa, no duda y puede probar debilidades más rápido de lo que un equipo humano puede responder. El radio de impacto de un compromiso escala con los permisos del agente, no con la habilidad del atacante. Una única instrucción inyectada puede redirigir un flujo de trabajo operativo completo. Y los agentes pueden ser manipulados sin ninguna vulnerabilidad del sistema, simplemente ocultando instrucciones en el contenido que están diseñados para leer.
5. ¿Qué regulaciones aplican a la seguridad de agentes de IA?
En la UE, la Ley de IA de la UE (Reglamento (UE) 2024/1689) aplica a los despliegues de agentes de IA que caen bajo los casos de uso de alto riesgo del Anexo III. Los Artículos 9, 14, 15 y 72 requieren conjuntamente gestión de riesgos, mecanismos de supervisión humana, robustez frente a ataques adversariales y monitorización continua postmercado. En EE. UU., el NIST AI 600-1 nombra la inyección de prompts y el exceso de agencia como requisitos de medición nombrados para los sistemas de IA generativa.
Conclusiones clave
- Los agentes de IA no son chatbots. Actúan. Protegerlos significa gobernar sus acciones, no solo sus salidas.
- Las seis capas de control (identidad, acceso de mínimos privilegios, aplicación en tiempo de ejecución, monitorización del comportamiento, registro de auditoría y seguridad de la cadena de suministro) son la arquitectura completa. Saltarse cualquiera deja a las demás expuestas.
- El 88% de las organizaciones ya han tenido incidentes de seguridad de agentes de IA confirmados o sospechados. La amenaza no está llegando. Está activa.
- El 82% de los ejecutivos creen que sus políticas existentes protegen contra acciones no autorizadas de los agentes. Solo el 14,4% ha implementado realmente controles de seguridad completos antes de enviar agentes a producción. Esa brecha es donde ocurren las brechas de seguridad.
- TrustGuard, TrustLens, TrustGate y TrustTest cubren las seis capas de control, aplicación en tiempo de ejecución, monitorización de la postura, política de gateway y pruebas adversariales previas al despliegue.
Sobre el autor
Roger Howroyd es Head of Global SEO and AI en NeuralTrust, donde lidera la estrategia de búsqueda de la compañía en SEO, AEO, GEO y optimización para LLMs. Está especializado en búsqueda potenciada por IA, estrategia de contenidos, desarrollo de backlinks y SEM. Conecta en LinkedIn
NeuralTrust es una plataforma de seguridad para agentes de IA, reconocida en la Guía de Mercado de Gartner 2025 para AI Gateways y Guardian Agents, y en la KuppingerCole 2025 Leadership Compass for Generative AI Defense. Con sede en Barcelona y certificación ISO 27001.
)
)