)
Hemos encuestado a más de 160 CISOs y líderes de seguridad en todo el mundo y lo que hemos encontrado debería preocupar a todo ejecutivo responsable de la estrategia de IA: las organizaciones que avanzan más rápido en agentes IA son, casi por definición, las menos preparadas para asegurarlos.
Existe una versión de la historia de los agentes IA que suena a puro progreso. Las empresas que experimentaban con modelos de lenguaje hace apenas dos años han madurado rápidamente esos proyectos piloto en agentes autónomos, sistemas que no solo generan texto sino que toman acciones, recuperan datos en tiempo real, ejecutan decisiones e interactúan con clientes y herramientas internas a escala. Los números lo confirman: el 72% de las organizaciones encuestadas por NeuralTrust ya ha implementado agentes IA o los está escalando activamente.
Luego está la otra versión de la historia. Solo el 29% de esas mismas organizaciones declara tener controles de seguridad completos para gobernar esos agentes. Una de cada cinco ya ha experimentado una brecha de seguridad directamente atribuible a un agente IA. Y el 73% de los CISOs se describe como muy o críticamente preocupado por los riesgos de los agentes IA, incluso cuando la mayoría reconoce que sus salvaguardas no están preparadas para lo que esos riesgos representan realmente en producción.
Esa es la historia que cuenta este informe. No una historia sobre la IA siendo peligrosa en algún sentido abstracto y especulativo. Una historia sobre una brecha específica, medible y que se está ampliando: la diferencia entre la velocidad con la que las empresas despliegan sistemas IA autónomos y la lentitud con la que construyen los controles, la gobernanza y la preparación institucional para gestionar lo que esos sistemas pueden hacer mal.
Del copiloto al agente autónomo: entender qué ha cambiado
Para comprender por qué esta brecha es tan relevante, conviene entender qué diferencia fundamentalmente a un agente IA de las herramientas basadas en LLMs que la mayoría de las empresas desplegaron primero. Cuando una compañía lanza un asistente de escritura o una herramienta de resumen, el sistema es reactivo y está aislado. Genera un output en respuesta a un prompt; un humano lo revisa; el humano decide qué ocurre a continuación. El radio de daño de un fallo es limitado. Si el modelo alucina un dato en un borrador, una persona lo detecta antes de que llegue a un cliente.
Los agentes IA funcionan de forma diferente. Están diseñados para actuar: para recuperar información de bases de datos en tiempo real, llamar APIs externas, enviar formularios, activar flujos de trabajo, actualizar registros e interactuar con clientes sin que un humano revise cada paso. Esa autonomía es precisamente lo que los hace valiosos: pueden gestionar tareas complejas de múltiples pasos a una velocidad que ningún equipo humano puede igualar. Pero también es lo que hace que un fallo de seguridad sea mucho más peligroso. Cuando un agente actúa sobre un input manipulado, el daño no espera a que un humano revise un borrador. Ocurre.
"Las empresas deben ahora asegurar, monitorizar y gobernar sistemas que actúan, no solo que aconsejan."
Los datos de la encuesta reflejan lo lejos que ha llegado ya esta transición. El 70% de las organizaciones usa LLMs para la productividad interna, esencialmente la fase de copiloto, donde la IA asiste a los trabajadores humanos con investigación, redacción y generación de código. El 35% ha extendido los LLMs a roles de cara al cliente. Pero el 19% ya ha cruzado al territorio genuinamente agéntico, desplegando sistemas que no solo asisten sino que ejecutan tareas y decisiones definidas en flujos de trabajo internos. Y un 4% ha ido aún más lejos: agentes autónomos que interactúan directamente con clientes, gestionando consultas, transacciones y soporte sin ningún humano en el proceso.
Esta última cifra, un 4% operando ya agentes totalmente autónomos de cara al cliente, crecerá rápidamente. El 37% de los encuestados planea tener agentes IA en producción antes de finales de 2026. En 2027, otro 29% espera seguirles. La curva de adopción no es gradual; es una ola, y la mayoría de los equipos de seguridad la ven aproximarse sin la infraestructura para afrontarla.
)
La escala es el multiplicador que lo complica todo
Los datos de adopción por sí solos no capturan el alcance completo de lo que los equipos de seguridad están a punto de enfrentar. La pregunta más reveladora no es si las empresas están desplegando agentes IA, sino cuántos esperan gestionar, porque la escala cambia completamente la naturaleza del problema de gobernanza.
Hoy, el 20% de las empresas opera menos de 10 agentes. Es un volumen manejable. Un equipo de seguridad puede, en principio, rastrear los permisos de cada agente, monitorizar su comportamiento y revisar sus integraciones con algún grado de supervisión manual. El grupo más numeroso, el 35% de las organizaciones, opera actualmente entre 10 y 50 agentes, todavía dentro de un rango donde la supervisión centralizada es factible, aunque no siempre se practica.
"El 45% de las empresas espera gestionar más de 50 agentes IA en tres años, 5% ya anticipa operar más de 1.000 agentes, tratando la IA como infraestructura"
Lo que ocurre con 50, 100 o 500 agentes es cualitativamente diferente. Cada nuevo agente introduce una nueva identidad con sus propios permisos, sus propias integraciones y sus propios puntos de exposición potencial. Una red de 200 agentes interactuando entre sí y con sistemas externos no son 200 riesgos separados — es un sistema distribuido con comportamientos emergentes que ningún equipo puede monitorizar manualmente. Los marcos de gobernanza diseñados para software empresarial estático, donde los administradores humanos controlan cada cambio, no pueden contener a sistemas adaptativos que operan a velocidad de máquina.
Para 2028, uno de cada tres empresas (33%) espera operar más de 500 agentes IA. Para 2030, más de la mitad (56%) tratará a los agentes IA como infraestructura operativa central, comparable a sus plataformas de datos o entornos cloud. La implicación para los responsables de seguridad es contundente: la ventana para construir la arquitectura de gobernanza antes de que la escala la haga exponencialmente más difícil no está a años de distancia. Para muchas organizaciones, ya se ha cerrado.
De qué tienen miedo realmente los CISOs, y por qué tienen razón
La encuesta preguntó a los líderes de seguridad qué riesgos de agentes IA les preocupan más. Las respuestas revelan una comprensión lúcida de lo que hace peligrosos a los sistemas autónomos de maneras que el software tradicional no contempla.
La filtración de datos encabeza la lista con un 62%. No es una preocupación abstracta. Cuando un agente IA tiene acceso a la base de datos de clientes de una empresa, a sus comunicaciones internas o a sus registros financieros regulados — y ese agente procesa miles de consultas al día — la superficie para la exposición involuntaria de datos es enorme. El riesgo no está principalmente en que un atacante entre y robe datos. Está en que un agente configurado con permisos demasiado amplios muestre información sensible en respuesta a una consulta aparentemente inocente, o la transfiera a una integración de terceros que nunca debía recibirla.
)
El prompt injection, con un 58%, es quizás el riesgo técnicamente más característico de la lista, y el que no tiene equivalente real en la seguridad de aplicaciones tradicionales. En un ataque de prompt injection, un actor malicioso inserta instrucciones dentro del contenido que el agente va a procesar: un documento que lee, una página web que visita, un email que resume. Si el agente sigue esas instrucciones embebidas en lugar de rechazarlas, un atacante puede secuestrar su comportamiento sin tocar jamás el modelo subyacente ni la infraestructura. Los primeros incidentes ya confirman que esto no es teórico, el 68% de los eventos de seguridad de agentes IA reportados en la encuesta involucraron prompt injection.
La preocupación por las acciones no autorizadas (47%) habla de algo más profundo que cualquier vector de ataque individual. Refleja una ansiedad fundamental ante el despliegue de sistemas cuyos procesos de toma de decisiones no son completamente interpretables, en entornos donde las consecuencias de acciones inesperadas son reales y a veces irreversibles. Un agente que reserva el viaje equivocado, actualiza el registro de cliente incorrecto o activa la transacción financiera incorrecta no es solo un fallo técnico, es un fallo de gobernanza con consecuencias empresariales que pueden propagarse en cascada antes de que nadie note que algo salió mal.
Los controles de seguridad en marcha: herramientas adaptadas y brechas peligrosas
Dada la seriedad con que los CISOs toman estos riesgos, uno podría esperar una infraestructura protectora robusta. La realidad es significativamente más frágil. La encuesta revela una postura de seguridad definida en gran parte por herramientas IT existentes reutilizadas para un nuevo contexto, no por arquitecturas de gobernanza de agentes construidas específicamente para ello.
La monitorización de actividad (42%) y el control de acceso basado en roles (38%) lideran la adopción. Son fundamentos necesarios, pero fueron diseñados para entornos donde los humanos desencadenan acciones y los administradores asignan permisos deliberadamente. Aplicarlos a agentes autónomos que operan a escala introduce brechas de cobertura que ninguna de las dos capacidades fue diseñada para cerrar. Un agente puede estar operando técnicamente dentro de sus permisos de rol asignados y aun así tomar acciones que ningún humano autorizó, porque el modelo de permisos no fue diseñado pensando en el comportamiento agéntico.
El 25% de las empresas no tiene ningún control de seguridad específico para IA, dejando a los agentes sin monitorización, sin pruebas y sin gobernanza en entornos de producción."
La prevención de pérdida de datos (31%) y el filtrado de prompt injection (27%) muestran adopción temprana, pero la brecha entre reconocimiento e implementación es llamativa. El red teaming, la práctica de simular activamente ataques adversariales para encontrar vulnerabilidades antes de que lo hagan los atacantes, solo lo practica el 19% de las organizaciones, a pesar de ser una de las formas más efectivas de entender cómo se comportan los agentes bajo condiciones adversas. La protección de la integridad de la cadena de suministro (16%) es aún más escasa, dejando a la mayoría de las empresas incapaces de verificar las propiedades de seguridad de los modelos, plugins y APIs de terceros de los que dependen sus agentes.
Lo que esto suma es un panorama de seguridad que NeuralTrust describe como definido por la intención, no por la madurez. Las organizaciones conocen las amenazas a las que se enfrentan. Todavía no han construido la infraestructura para detectarlas, contenerlas o prevenirlas de forma fiable en el contexto de sistemas IA autónomos.
Los incidentes han comenzado. Los costes son comparables al ransomware.
Para algunas organizaciones, la brecha de preparación ya ha producido consecuencias. El 19,5% de los CISOs reporta al menos un incidente de seguridad relacionado con agentes IA en su organización. No son casi-fallos o vulnerabilidades teóricas: son eventos que ocurrieron, con impacto operativo y financiero real.
El perfil de los incidentes es coherente con los riesgos que los CISOs identificaron. El 68% de los incidentes reportados involucraron prompt injection o manipulación adversarial. El 61% resultó en filtración de datos sensibles o regulados. El 52% involucró acciones no autorizadas de agentes o escalada de privilegios, agentes haciendo cosas que no debían hacer, en sistemas que no debían tocar. El 46% produjo interacciones dañinas o falsas con clientes.
"El 40% de los CISOs estima que un incidente grave costaría entre 1M y 10M de dólares y el 13% anticipa pérdidas superiores a 10M, comparables al ransomware a gran escala."
Estas cifras exigen contexto. El rango de 1 a 10 millones de dólares no es un caso extremo; es la expectativa modal entre los líderes de seguridad que mejor conocen estos sistemas. Y el 13% que anticipa pérdidas por encima de los 10 millones sitúa los fallos de agentes IA en la misma categoría de gravedad financiera que los ataques de ransomware que han dominado la planificación de seguridad empresarial durante la última década. La diferencia es que el ransomware impulsó una década de inversión, productos de seguros, libros de respuesta a incidentes y marcos regulatorios. La seguridad de agentes IA ha recibido una fracción de esa atención, mientras la superficie de ataque ha crecido de forma comparable.
Hay también una dinámica de agravamiento que las estimaciones financieras no capturan por sí solas. Los incidentes con agentes IA tienden a descubrirse tarde, porque los sistemas operan a velocidades y escalas que hacen el comportamiento anómalo más difícil de detectar que un evento de cifrado por ransomware. Un prompt injection que hace que un agente filtre datos de clientes en miles de transacciones puede ser invisible hasta que una auditoría de cumplimiento, una queja de cliente o una investigación regulatoria lo saque a la luz, momento en el que la ventana de remediación ya ha pasado hace tiempo.
La madurez está desigualmente distribuida, y la brecha se amplía
Nuestro Modelo de Madurez en Seguridad IA mapea el panorama en cuatro niveles, y la distribución cuenta una historia preocupante sobre dónde se encuentran realmente la mayoría de las empresas.
)
La implicación práctica de esta distribución es que el 71% de las empresas opera agentes IA sin ningún control o con controles que nunca fueron diseñados para sistemas autónomos. Esa mayoría se reducirá a medida que se acumulen los incidentes y se endurezca la regulación. Pero las organizaciones que esperen a la presión externa para invertir ya habrán absorbido daños prevenibles, pagado multas evitables y agotado la confianza de sus consejos en un incidente que podían haber anticipado.
Europa vs. Norteamérica: dos apuestas diferentes sobre el mismo futuro
La división geográfica en los datos es una de sus dimensiones más instructivas. Las empresas norteamericanas lideran en velocidad de despliegue: el 74% está pilotando o escalando agentes IA, frente al 68% en Europa. Pero las empresas europeas lideran significativamente en madurez de controles: el 34% declara controles de seguridad completos, frente a solo el 23% en Norteamérica.
La explicación no es que los líderes tecnológicos europeos sean más cautelosos por temperamento. Es que operan bajo una presión regulatoria que las empresas norteamericanas aún no afrontan con la misma intensidad. El Reglamento IA de la UE, DORA y NIS2 han creado colectivamente un entorno de cumplimiento que obliga a las empresas a evaluar el riesgo IA de forma sistemática, documentar su gobernanza y demostrar responsabilidad, o enfrentar consecuencias regulatorias. Esa presión, independientemente de sus costes, produce un impulso de madurez que los estándares voluntarios por sí solos no generan.
La implicación para los CISOs norteamericanos merece reflexión. La brecha regulatoria entre Europa y Norteamérica no durará indefinidamente. Para 2030, se espera que el 80% de las empresas globales operen bajo regulación específica para IA. Las organizaciones que han aprovechado la ventana pre-regulatoria para construir una madurez de seguridad genuina absorberán los requisitos de cumplimiento con relativa facilidad. Las que la han usado para acelerar el despliegue sin construir gobernanza enfrentarán la doble carga de la recuperación de incidentes y la remediación regulatoria al mismo tiempo.
Qué hacer realmente al respecto: cinco pasos concretos
El informe no es pesimista sobre la capacidad de las empresas para cerrar la brecha de preparación, pero sí es directo sobre lo que requiere cerrarla. Estas no son recomendaciones aspiracionales; son las capacidades específicas que separan al 29% de organizaciones con controles completos del 71% sin ellos.
1. Selecciona modelos, protocolos (MCPs, A2A) y herramientas seguros.
Cada agente en tu entorno es tan seguro como los componentes de los que depende. Analiza vulnerabilidades en la cadena de suministro antes del despliegue y mantén un registro de cada modelo, herramienta y API a los que pueden acceder tus agentes. Las integraciones de terceros que no han sido verificadas son puertas abiertas.
2. Aplica control de identidad y acceso a herramientas a nivel de agente.
Cada agente debe tener una identidad definida con los permisos mínimos necesarios para su función específica, no acceso amplio heredado de una cuenta de servicio o de administrador. Un gateway MCP te proporciona el plano de control para aplicar esto a escala, restringiendo lo que cada agente puede hacer en lugar de confiar en que permanezca dentro de los límites previstos.
3. Despliega un Agent Firewall para protección en tiempo real.
La seguridad perimetral tradicional no opera a la velocidad o granularidad que requieren las interacciones de los agentes. Un Agent Firewall inspecciona las interacciones agente-agente (A2A) y humano-agente (H2A) en tiempo real, filtrando outputs inseguros, bloqueando inputs adversariales y reduciendo alucinaciones antes de que produzcan daño posterior. Esta es la capacidad que detiene los ataques de prompt injection, la causa principal de los incidentes de seguridad de agentes IA en tránsito.
4. Construye infraestructura de cumplimiento y supervisión desde el primer día.
Envía logs, alertas y trazas de agentes a tus plataformas SIEM y de monitorización en la nube. Establece trazas de auditoría que permitan reconstruir lo que un agente hizo, cuándo y por qué — porque los reguladores e investigadores de incidentes lo requerirán, y porque es operativamente necesario para diagnosticar fallos. Las organizaciones que implementan esto desde el despliegue, en lugar de incorporarlo tras un incidente, controlan su narrativa cuando algo sale mal.
5. Prueba tus agentes de forma adversarial y continua.
El red teaming de agentes IA no es lo mismo que el pentesting de software tradicional, y el 81% de las empresas que no lo practica deja abierta una brecha de visibilidad crítica. La simulación adversarial regular revela cómo se comportan los agentes bajo manipulación, qué acciones tomarán cuando se les incite de forma inesperada, y dónde están realmente los límites de su autonomía frente a donde asumiste que estaban. No son preguntas que quieras que te respondan en producción un atacante.
La ventana se estrecha
La conclusión honesta de estos datos es que el problema de seguridad de los agentes IA no está por llegar, ya está aquí. Se están reportando incidentes. Se están absorbiendo costes. Las empresas que ya han experimentado una brecha están descubriendo, a menudo dolorosamente, que los controles que tenían no estaban diseñados para sistemas autónomos que actúan en lugar de sistemas que aconsejan.
Lo que los datos todavía no muestran es el coste total de la brecha. La mayoría de las organizaciones no ha sufrido un incidente grave. Pero el 80% de las que no lo han hecho aún espera uno en los próximos 18 meses. La ausencia de una brecha seria hasta ahora refleja una escala de despliegue limitada más que una seguridad robusta. A medida que esa escala crece, a medida que las organizaciones pasan de 10 agentes a 100, de 100 a 500, la probabilidad de un fallo consecuente crece con ella, y el coste de cerrar la brecha después de un incidente es exponencialmente mayor que cerrarla antes.
La próxima fase de la IA empresarial no estará definida por qué organizaciones despliegan más agentes. Estará definida por cuáles pueden demostrar que sus agentes son de confianza, que se comportan como está previsto, que su acceso está gobernado, que sus fallos se detectan y contienen, y que existe responsabilidad por lo que hacen. Eso es lo que significa la madurez de seguridad en la era de la IA autónoma. Y las organizaciones que la están construyendo ahora tendrán una ventaja que se compone con el tiempo.
Preguntas frecuentes (FAQs) acerca de El Estado de la Seguridad de Agentes de IA en 2026
1. ¿Qué porcentaje de empresas tiene agentes IA en producción en 2026?
El 10% de las empresas ya tiene agentes IA en producción completa hoy. El 37% planea desplegarlos antes de finales de 2026, y el 29% espera hacerlo en 2027. En conjunto con etapas anteriores de adopción, el 72% de las organizaciones ya ha implementado o está escalando activamente agentes IA en sus operaciones.
2. ¿Cuáles son los mayores riesgos de seguridad de agentes IA en 2026?
Según nuestra encuesta a más de 160 CISOs, los principales riesgos por nivel de preocupación son: filtración de datos sensibles o regulados (62%), prompt injection y manipulación adversarial (58%), outputs dañinos o falsos (53%), acciones no autorizadas y autonomía excesiva (47%), y uso indebido o abuso de agentes por parte de usuarios (44%). La exposición regulatoria y de responsabilidad cierra la lista con un 39%.
3. ¿Cuánto puede costar una brecha de seguridad de agentes IA?
El 40% de los CISOs estima que un incidente grave de agentes IA costaría entre 1 y 10 millones de dólares. El 13% anticipa pérdidas superiores a 10 millones, situando los fallos de agentes IA en la misma categoría de gravedad financiera que los ataques de ransomware a gran escala. Solo el 3% cree que un incidente no tendría impacto financiero material.
4. ¿Qué porcentaje de empresas ya experimentó una brecha de agentes IA?
El 19,5% declara haber experimentado al menos un incidente de seguridad relacionado con agentes IA. Las causas más comunes son los ataques de prompt injection (68% de los incidentes) y la filtración de datos sensibles o regulados (61%). Las acciones no autorizadas de agentes o la escalada de privilegios suponen el 52% de los eventos reportados.
5. ¿Qué controles de seguridad específicos para IA tienen las empresas?
Los controles más extendidos son la monitorización de actividad y alertas (42%), el control de acceso basado en roles RBAC (38%) y la prevención de pérdida de datos DLP (31%). Capacidades más avanzadas como el filtrado de prompt injection (27%), la monitorización de postura IA (24%), el red teaming (19%) o la protección de la cadena de suministro IA (16%) son mucho menos comunes. Críticamente, el 25% de las empresas no tiene ningún control específico para IA.
6. ¿Cómo afecta el Reglamento IA europeo a la preparación en seguridad de agentes IA?
De forma significativa. Las empresas europeas que operan bajo el Reglamento IA de la UE, DORA y NIS2 declaran un 34% de adopción de controles de seguridad completos, frente al 23% en Norteamérica. La presión regulatoria actúa como acelerador de madurez. Para 2030, se espera que el 80% de las empresas globales operen bajo regulación específica para IA, convirtiendo las inversiones en cumplimiento realizadas hoy en una ventaja competitiva.