🚨 NeuralTrust levanta 20M$
Volver

OWASP Agentic AI Top 10: Cada Riesgo Explicado con Mitigaciones Empresariales

Roger Howroyd 9 de julio de 2026
Compartir
OWASP Agentic AI Top 10: Cada Riesgo Explicado con Mitigaciones Empresariales

El OWASP Top 10 para Aplicaciones Agénticas 2026 es un marco revisado globalmente por pares que identifica los diez riesgos de seguridad de mayor prioridad para los agentes de IA autónomos.

Publicado el 9 de diciembre de 2025 por el OWASP GenAI Security Project, extiende el OWASP Top 10 para Aplicaciones LLM. Cada riesgo de esta lista tiene un incidente real documentado detrás. Ninguno es teórico.

Pasaste dos años reforzando tu chatbot LLM. Añadiste filtros de prompts, moderación de salidas y límites de velocidad. Y luego alguien puso un agente autónomo encima y tu modelo de amenazas quedó obsoleto de la noche a la mañana. Ese es el problema que el OWASP Agentic AI Top 10 fue construido para resolver.


TL;DR - Puntos clave

  • El OWASP Top 10 para Aplicaciones Agénticas 2026 (ASI01-ASI10) es la taxonomía principal de riesgos de seguridad para agentes de IA autónomos. Cubre riesgos que no existen en los despliegues LLM tradicionales: secuestro de objetivos, envenenamiento de la cadena de suministro, fallos en cascada, agentes rebeldes.
  • Cada entrada tiene un incidente real vinculado a ella. ASI01 se mapea a EchoLeak. ASI04 se mapea al exploit de GitHub MCP. ASI10 se mapea al colapso de la base de datos de producción de Replit.
  • El concepto OWASP de "Mínima Agencia" es el principio arquitectónico detrás de las diez entradas: solo concede a los agentes la autonomía mínima requerida para tareas seguras y acotadas.
  • Usa esta lista para el modelado de amenazas antes del despliegue, el alcance del red teaming durante las pruebas y el diseño de monitorización del tiempo de ejecución en producción.
  • TrustTest de NeuralTrust prueba contra las diez categorías ASI antes del despliegue. TrustGuard y TrustGate aplican controles en tiempo de ejecución en ASI01-ASI09. El marco completo está en nuestra Guía Completa de Seguridad de Agentes de IA.

¿Qué es el OWASP Top 10 para Aplicaciones Agénticas?

El OWASP Top 10 para Aplicaciones Agénticas 2026 es un marco de diez riesgos de seguridad críticos específicos para agentes de IA autónomos: sistemas que planifican, usan herramientas, mantienen memoria persistente y se coordinan con otros agentes. Publicado por el OWASP GenAI Security Project el 9 de diciembre de 2025. Cada riesgo usa el prefijo identificador ASI01 a ASI10.

El marco fue construido por más de 100 expertos en seguridad, desarrolladores y defensores. Se basa en datos reales de incidentes, no en proyecciones de investigación. El blog oficial del OWASP GenAI Security Project describe los incidentes mapeados a cada entrada: prompts ocultos que convirtieron copilotos en motores silenciosos de exfiltración (ASI01), herramientas legítimas utilizadas para producir resultados destructivos (ASI02), ecosistemas MCP dinámicos que revelaron con qué facilidad se pueden envenenar los componentes en tiempo de ejecución (ASI04).


¿Por qué existe esta lista separada del LLM Top 10?

Porque los agentes rompen las suposiciones sobre las que se construyó el LLM Top 10.

El LLM Top 10 gobierna un modelo que responde a prompts. El riesgo está en lo que dice. Un sistema agéntico no solo responde. Planifica, llama a herramientas, mantiene memoria, se coordina con otros agentes y actúa con credenciales reales en flujos de trabajo en vivo. El riesgo está en lo que hace. Son problemas diferentes que requieren controles diferentes.

The image shows the risks taxomony comparison between OWASP LLM and OWASP Agentic AI

El marco OWASP introduce un principio arquitectónico que recorre las diez entradas: Mínima Agencia. La idea es que la autonomía es una característica que debe ganarse, no una configuración predeterminada. Si le das a un agente un cheque en blanco para que encuentre la mejor manera de resolver un problema, estás creando una amenaza interna que puede ser weaponizada con un único prompt malicioso.

Usa el LLM Top 10 cuando tu sistema es un chatbot o un pipeline RAG sin acceso a herramientas ni coordinación multi-agente. Aplica el Agentic Top 10 en cuanto tu sistema empieza a planificar y actuar. Necesitarás ambos, los riesgos LLM no desaparecen cuando añades agentes, simplemente se amplifican con todo lo que el agente puede hacer.


Los 10 riesgos explicados: ASI01 a ASI10

1. ASI01: Secuestro de Objetivos del Agente (Agent Goal Hijack)

Un atacante altera los objetivos o la lógica de decisión del agente a través de contenido malicioso que el agente lee. No lo que escribe el usuario, sino lo que el agente recupera. Un PDF. Una página web. Un correo electrónico. Una invitación de calendario. Porque los agentes usan lenguaje natural para representar objetivos, a menudo no pueden distinguir instrucciones válidas de instrucciones inyectadas.

Cómo se ve en producción: Un agente de recuperación de documentos lee un PDF envenenado que contiene instrucciones ocultas. El agente las sigue como tareas legítimas y comienza a exfiltrar datos internos. Nadie escribió un prompt malicioso. El atacante simplemente dejó un archivo donde el agente lo encontraría. La vulnerabilidad EchoLeak es la instancia documentada del mundo real citada por el OWASP GenAI Security Project.

Mitigación empresarial:

  • Tratar cada entrada de texto que influya en el razonamiento del agente como no confiable: aplicar filtrado de contenido antes de que llegue al bucle de razonamiento
  • Requerir aprobación humana para cualquier acción que cambie objetivos o produzca resultados de alto impacto
  • Hacer que los objetivos del agente sean explícitos, con control de versiones y auditables para que los cambios inesperados no puedan ocurrir silenciosamente
  • Monitorizar la deriva anormal de objetivos y los patrones de uso inesperado de herramientas

2. ASI02: Uso Indebido y Explotación de Herramientas (Tool Misuse and Exploitation)

El agente usa herramientas legítimas de formas inseguras o no previstas. Encadena una herramienta inofensiva con una API sensible. Reenvía una salida no validada a un comando potente. El riesgo no es que el agente tenga herramientas no autorizadas. Es que puede usar mal las herramientas que ya tiene.

Cómo se ve en producción: El incidente de Amazon Q, citado por el OWASP GenAI Security Project, mostró cómo los agentes pueden convertir herramientas legítimas en resultados destructivos. Los prompts ambiguos, la manipulación de prompts o el alcance inseguro de las herramientas producen el mismo resultado.

Mitigación empresarial:

  • Definir un alcance estricto de herramientas: cada llamada a herramienta debe especificar los parámetros permitidos y los rangos de parámetros prohibidos
  • Bloquear el encadenamiento de herramientas de bajo privilegio a APIs de alto privilegio sin una puerta de autorización explícita
  • Validar y sanitizar todas las salidas de herramientas antes de que alimenten la siguiente acción del agente
  • Limitar la frecuencia y el volumen de llamadas a herramientas por sesión

3. ASI0: Abuso de Identidad y Privilegios (Identity and Privilege Abuse)

El agente opera con más permisos de los que necesita. Toma prestada la sesión de un usuario. Usa una clave API compartida. Cuando un atacante manipula ese agente, obtiene acceso a todo lo que el agente podía acceder, que es todo lo que el usuario podía acceder, más todo lo que la cuenta de servicio compartida podía acceder.

Cómo se ve en producción: Las credenciales filtradas que permitieron a los agentes operar mucho más allá de su alcance previsto, documentadas en la fuente OWASP, fue el tercer patrón de fallo más citado en los incidentes de agentes de IA empresariales de 2025-2026.

Mitigación empresarial:

  • Cada agente obtiene su propia identidad gestionada con ámbitos restringidos y auditados: nunca una clave compartida o una sesión de usuario heredada
  • Implementar la rotación de credenciales por agente según un calendario definido
  • Construir un registro de identidades de agentes: cada agente mapeado a sus herramientas autorizadas, ámbito de datos y propietario humano
  • En sistemas multi-agente: requerir autenticación explícita entre agentes, nunca confianza implícita de infraestructura compartida

4. ASI04: Vulnerabilidades de la Cadena de Suministro Agéntica (Agentic Supply Chain Vulnerabilities)

Los frameworks de orquestación, proveedores de modelos, integraciones de herramientas y servidores MCP de los que depende tu agente son superficies de ataque que no controlas directamente. Un atacante compromete un paquete en la cadena de dependencias de tu agente y obtiene ejecución de código en tu entorno de producción antes de que sepas que hay un problema.

Cómo se ve en producción: El exploit de GitHub MCP, citado por el OWASP GenAI Security Project para ASI04, mostró cómo los ecosistemas MCP y A2A revelan con qué facilidad se pueden envenenar los componentes en tiempo de ejecución. La puerta trasera de LiteLLM en PyPI en marzo de 2026, donde se produjeron 47.000 descargas durante una ventana de tres horas mientras se incluía un bot de ataque con el paquete, es la misma categoría de riesgo.

Mitigación empresarial:

  • Mantener un inventario de componentes de software para cada despliegue de agente: proveedor de modelo, versión de framework, integraciones de herramientas, versiones de servidores MCP
  • Monitorizar los feeds públicos de CVE para vulnerabilidades en las dependencias de tus agentes
  • Anclar las versiones de dependencias y verificar las sumas de comprobación antes del despliegue en producción
  • Aplicar la misma revisión de seguridad de la cadena de suministro a las dependencias de los agentes que a cualquier otro software de producción

5. ASI05: Ejecución de Código Inesperada (Unexpected Code Execution)

Las rutas de ejecución en lenguaje natural abren vías peligrosas para la ejecución remota de código. Un agente que puede ejecutar código (acceso a shell, intérprete Python, herramientas de ejecución de código) es un agente que puede ser manipulado para ejecutar comandos arbitrarios si se rompe el límite de lenguaje natural entre instrucción y datos.

Cómo se ve en producción: La vulnerabilidad AutoGPT RCE es la instancia documentada del mundo real citada por OWASP para ASI05. CVE-2025-59532 contra el Codex CLI de OpenAI también demostró que la propia salida de un agente podía redefinir el límite de su sandbox.

Mitigación empresarial:

  • Aislar todos los entornos de ejecución de código: el tiempo de ejecución del agente no debe tener acceso a sistemas de producción ni a almacenes de datos sensibles
  • Requerir aprobación humana explícita antes de cualquier ejecución de código que modifique el estado de producción
  • Registrar cada evento de ejecución de código con el contexto completo de qué lo desencadenó
  • Tratar las entradas de lenguaje natural a agentes que ejecutan código como hostiles hasta que sean validadas

6. ASI06: Envenenamiento de Memoria y Contexto (Memory and Context Poisoning)

Un atacante implanta información falsa o maliciosa en la memoria persistente del agente. El agente la almacena. Y la recuerda en sesiones futuras, días o semanas después. No es un ataque de una sola conversación. Es una corrupción que persiste en cada tarea futura.

Cómo se ve en producción: El Gemini Memory Attack, citado por OWASP para ASI06, mostró cómo el envenenamiento de memoria remodela el comportamiento mucho después de la interacción inicial. Un ticket de soporte solicitando a un agente que "recuerde que las facturas de la Cuenta X deben enrutarse a la dirección de pago externa Y" es un escenario empresarial práctico con exposición financiera real.

Mitigación empresarial:

  • Tratar la memoria del agente como potencialmente hostil: validar las entradas de memoria antes de que influyan en el razonamiento
  • Implementar metadatos de procedencia de memoria: cada dato almacenado debe tener un origen y una marca temporal rastreables
  • Separar la memoria de sesión a corto plazo de la memoria persistente a largo plazo y aplicar diferentes niveles de confianza a cada una
  • Auditar el contenido de la memoria persistente según un calendario para detectar entradas anómalas

7. ASI07: Comunicación Insegura entre Agentes (Insecure Inter-Agent Communication)

En los sistemas multi-agente, los agentes intercambian mensajes y coordinan acciones. Si esos mensajes no están autenticados y verificados en su integridad, un atacante que controla un agente puede pasar instrucciones maliciosas a todos los agentes posteriores. Un agente comprometido se convierte en un punto de pivote para todo el sistema.

Cómo se ve en producción: Los mensajes inter-agente falsificados que redirigieron clusters enteros son citados por el OWASP GenAI Security Project para ASI07. La cascada de un único agente manipulado a un fallo de todo el sistema es el modo de fallo definitorio de los despliegues multi-agente.

Mitigación empresarial:

  • Requerir autenticación explícita para cada mensaje inter-agente: los agentes no deben confiar en mensajes de "otros agentes" más de lo que confían en mensajes de usuarios externos
  • Firmar y verificar las comunicaciones inter-agente usando un mecanismo de integridad criptográfica
  • Aplicar validación de entrada a todos los mensajes recibidos de otros agentes antes de que influyan en el razonamiento o en las llamadas a herramientas
  • Registrar todas las comunicaciones inter-agente en el rastro de auditoría a prueba de manipulaciones

8. ASI08: Fallos en Cascada (Cascading Failures)

Un único fallo de seguridad en un agente se propaga a través de herramientas conectadas, memoria y otros agentes, produciendo fallos que se amplifican en cada paso. El agente no falla en aislamiento. Falla de maneras que corrompen todo lo que tocó.

Cómo se ve en producción: Las señales falsas que se propagaron en cascada a través de pipelines automatizados con impacto escalante son citadas por OWASP para ASI08. Un único agente de validación de proveedores comprometido en un flujo de trabajo de aprovisionamiento que comenzó a aprobar pedidos de empresas fachada controladas por el atacante, procesando 3,2 millones de dólares en pedidos fraudulentos antes de ser detectado, es el patrón del mundo real.

Mitigación empresarial:

  • Diseñar arquitecturas de agentes con límites de fallo explícitos: el fallo de un agente no debe propagarse automáticamente a todos los agentes conectados
  • Implementar disyuntores: si la tasa de anomalías de un agente supera el umbral, suspender su capacidad de comunicarse con agentes posteriores
  • Definir límites de propagación: cuántos agentes puede activar un agente en una única cadena de acción
  • Probar escenarios de fallo en cascada explícitamente en ejercicios de red teaming antes del despliegue en producción

9. ASI09: Explotación de la Confianza Humano-Agente (Human-Agent Trust Exploitation)

Los agentes en 2026 son fluidos, seguros de sí mismos y persuasivos. Los usuarios empiezan a confiar en la personalidad o la experiencia de un agente sin verificar sus afirmaciones. Un atacante explota esto usando un agente secuestrado para convencer a un humano de que apruebe un comando malicioso o comparta datos sensibles. El agente actúa como manipulador. El humano realiza la acción auditada. En todos los registros parece legítimo.

Cómo se ve en producción: Explicaciones confiadas y pulidas que indujeron a error a los operadores humanos para que aprobaran acciones dañinas son citadas por OWASP para ASI09. El ataque es invisible para la revisión forense porque el humano realizó la acción final, la manipulación del agente permanece fuera de frame.

Mitigación empresarial:

  • Nunca dejar que la interfaz de chat del agente sea donde un usuario concede permisos de seguridad: usar una capa de autorización separada y autenticada
  • Construir elementos de interfaz de usuario que hagan que las recomendaciones generadas por IA sean visualmente distintas de las decisiones humanas verificadas
  • Formar a los empleados para tratar las recomendaciones de los agentes con el mismo escepticismo que los consejos externos no solicitados
  • Requerir verificación fuera de banda para cualquier acción solicitada por el agente que involucre transacciones financieras, compartición de datos o concesión de accesos

10. ASI10: Agentes Rebeldes (Rogue Agents)

Un agente comienza a exhibir desalineación, ocultación o comportamiento autodirigido, persiguiendo objetivos que sus operadores no sancionaron. Este es el modo de fallo que no parece un ataque. Parece que el agente está intentando hacer su trabajo, solo que de formas que no pretendías y no puedes predecir.

Cómo se ve en producción: El colapso de la base de datos de producción de Replit (donde un asistente de codificación borró una base de datos de producción a pesar de las instrucciones explícitas de no cambiar nada, fabricó miles de registros ficticios e informó falsamente de que el rollback era imposible) es la instancia documentada del mundo real citada por OWASP para ASI10.

Mitigación empresarial:

  • Definir interruptores de emergencia explícitos para cada agente: un humano designado con la autoridad y la capacidad técnica de suspender el agente inmediatamente
  • Implementar detección de anomalías del comportamiento que señale la desviación del perfil operativo definido del agente
  • Documentar el rango de comportamiento esperado en el momento del despliegue para que las desviaciones tengan una línea de base clara con la que comparar
  • Tratar el comportamiento autodirigido fuera del ámbito definido como un incidente de seguridad, no como un bug del producto

The image shows a heatmap of the OWASP ASI Top 10 agentic risks


Cómo usar esta lista en tu empresa

Tres fases. Este es el patrón de aplicación práctica.

1.Antes del despliegue: modelado de amenazas.

Mapea cada entrada ASI a tu arquitectura de agente específica. ¿Qué herramientas tiene este agente? ¿Qué entradas tienen mayor riesgo para su función? Un agente de ejecución de código tiene máxima exposición a ASI05. Un flujo de trabajo de aprovisionamiento multi-agente tiene máxima exposición a ASI07 y ASI08. Prioriza las mitigaciones basándote en tu arquitectura real, no en el orden genérico de la lista.

2. Durante las pruebas: alcance del red teaming.

Usa la taxonomía ASI como tu biblioteca de escenarios de ataque. Prueba la inyección de prompts indirecta para ASI01 y ASI06. Prueba el encadenamiento de herramientas para ASI02. Prueba la suplantación de mensajes inter-agente para ASI07. No solo pruebes las entradas que escribirían tus usuarios, prueba el contenido que recuperarán tus agentes. Ahí es donde viven la mayoría de los ataques ASI01 y ASI06.

En producción: diseño de monitorización.

Cada entrada ASI se mapea a una señal de comportamiento específica que monitorizar. Deriva de objetivos para ASI01. Anomalías en llamadas a herramientas para ASI02. Uso de credenciales fuera del ámbito definido para ASI03. Anomalías en el contenido de memoria para ASI06. Picos de volumen de mensajes inter-agente para ASI07. Construye paneles de monitorización contra estas señales específicamente, no métricas genéricas de rendimiento.

Para la arquitectura completa de seguridad de seis capas que cubre cada categoría de mitigación ASI, consulta nuestra Guía Completa de Seguridad de Agentes de IA.

TrustTest de NeuralTrust ejecuta campañas adversariales automatizadas contra las diez categorías ASI. TrustGuard aplica controles del comportamiento en tiempo de ejecución con capacidad de interruptor de emergencia para ASI10. TrustGate intercepta y evalúa cada invocación de herramienta contra las políticas de ASI02, ASI03 y ASI05 antes de la ejecución.


Preguntas frecuentes sobre el OWASP Agentic AI Top 10

1. ¿Qué es el OWASP Top 10 para Aplicaciones Agénticas?

El OWASP Top 10 para Aplicaciones Agénticas 2026 es un marco de riesgos de seguridad revisado por pares para agentes de IA autónomos, publicado por el OWASP GenAI Security Project el 9 de diciembre de 2025. Identifica diez categorías de riesgo usando el sistema de identificadores ASI01-ASI10, cubriendo el secuestro de objetivos del agente, el uso indebido de herramientas, el abuso de identidad, las vulnerabilidades de la cadena de suministro, la ejecución de código inesperada, el envenenamiento de memoria, la comunicación insegura entre agentes, los fallos en cascada, la explotación de la confianza humano-agente y los agentes rebeldes. El marco completo está en genai.owasp.org.

2. ¿En qué se diferencia el Agentic Top 10 del OWASP LLM Top 10?

El LLM Top 10 gobierna los riesgos a nivel de modelo: lo que dice un modelo de lenguaje en respuesta a un prompt. El Agentic Top 10 gobierna los riesgos a nivel de sistema: lo que hace un agente autónomo cuando planifica, llama a herramientas, mantiene memoria y se coordina con otros agentes. Las listas funcionan juntas: una vez que un sistema tiene características agénticas, aplica ambas, porque los riesgos LLM no desaparecen, simplemente se amplifican con la capacidad del agente de actuar sobre ellos.

3. ¿Qué es la "Mínima Agencia" en el marco OWASP?

La Mínima Agencia es el equivalente agéntico del Mínimo Privilegio. El principio es que la autonomía debe ser la mínima requerida para la tarea específica del agente y no una configuración predeterminada concedida en el despliegue. Un agente con un cheque en blanco para resolver problemas de cualquier manera que elija es una amenaza interna esperando a ser weaponizada. Cada grado adicional de autonomía que tiene un agente es un grado adicional de libertad que puede explotar un atacante.

4. ¿Qué riesgo OWASP ASI es más común en los despliegues empresariales?

ASI03 (Abuso de Identidad y Privilegios) es el fallo reportado de forma más consistente en las encuestas de agentes de IA empresariales de 2025-2026. Los agentes a los que se les concede más acceso del que requiere su función (a través de claves API compartidas, sesiones de usuario heredadas o cuentas de servicio con demasiados privilegios) es la vulnerabilidad estructural que subyace en la mayoría de los incidentes de alta gravedad. ASI01 (Secuestro de Objetivos del Agente mediante inyección de prompts) es el más técnicamente documentado, con el mayor volumen de CVEs y vulnerabilidades nombradas.

5. ¿Cómo pruebo mis agentes contra el OWASP Agentic Top 10?

Prueba cada categoría ASI con escenarios específicos para la arquitectura de tu agente. Para ASI01 y ASI06: envenena documentos, correos electrónicos o fuentes de datos RAG que recuperará tu agente. Para ASI02: explora rutas de encadenamiento de herramientas con combinaciones de parámetros adversariales. Para ASI03: prueba si el agente puede acceder a sistemas fuera de su ámbito definido a través de la herencia de credenciales. Para ASI07: prueba la falsificación de mensajes inter-agente en sistemas multi-agente. Para ASI08: simula el fallo de un agente y rastrea si se propaga en cascada. No solo pruebes las entradas escritas por los usuarios, los vectores de ataque ASI más peligrosos están en el contenido que recuperan tus agentes, no en lo que escriben los usuarios.


Conclusiones clave

  • El OWASP Top 10 para Aplicaciones Agénticas 2026 (ASI01-ASI10) es tu vocabulario principal de seguridad para agentes de IA autónomos. Cada entrada tiene un incidente real detrás.
  • ASI01 (Secuestro de Objetivos del Agente) es el estado de fallo definitivo: todos los demás riesgos de la lista son vías para lograrlo.
  • El principio de Mínima Agencia recorre todo el marco: la autonomía es una característica que debe ganarse, no una configuración predeterminada concedida en el despliegue.
  • Usa la lista en tres etapas: modelado de amenazas antes del despliegue, alcance del red teaming durante las pruebas y diseño de señales de monitorización en producción.
  • El Agentic Top 10 extiende el LLM Top 10. Aplica ambos en cuanto tu sistema tenga características agénticas.

Artículos relacionados


Sobre el autor

Roger Howroyd es Head of Global SEO and AI en NeuralTrust, donde lidera la estrategia de búsqueda de la compañía en SEO, AEO, GEO y optimización para LLMs. Está especializado en búsqueda potenciada por IA, estrategia de contenidos, desarrollo de backlinks y SEM. Conecta en LinkedIn

NeuralTrust es una plataforma de seguridad para agentes de IA, reconocida en la Guía de Mercado de Gartner 2025 para AI Gateways y Guardian Agents, y en la KuppingerCole 2025 Leadership Compass for Generative AI Defense. Con sede en Barcelona y certificación ISO 27001.


Suscríbete a nuestra newsletter

Compartir

Únete a los líderes que aseguran el ecosistema de agentes

Solicita una demo