¿Cumple su IA con la normativa? Regístrese hoy

Industria

Todo el mundo está comprando barreras de seguridad de IA. Pero los agentes tienen las llaves del coche.

June 8, 2026

Roey Eliyahu
CEO & Co-founder

La primera ola de seguridad de la IA se parecía mucho a un WAF para LLM: inspeccionar la instrucción, filtrar la salida, bloquear los patrones maliciosos obvios.

Eso fue útil. Y lo sigue siendo.

Pero fue diseñada para sistemas que principalmente conversaban.

Los agentes son diferentes. Utilizan herramientas, invocan APIs, acceden a datos y modifican cosas.

La confusión que sigo viendo es simple: muchos equipos creen que asegurar el modelo significa asegurar el agente. No es así.

La seguridad de la IA protege la conversación. La seguridad agéntica protege la consecuencia.

El mercado ha estado utilizando "seguridad de la IA" como un cajón de sastre para casi todo: inyección de instrucciones, jailbreaks, salidas inseguras, acceso a modelos, políticas de uso de IA, pasarelas LLM, DLP básico y gobernanza de modelos. Esos son problemas reales. Pero no son todo el problema.

Un chatbot conversa. Un agente actúa. Una mala respuesta de un chatbot es un problema, pero una mala acción de un agente puede convertirse en un incidente. Esa es la línea que la industria aún está aprendiendo a trazar.

Un chatbot puede alucinar, filtrar algo en una respuesta o ser manipulado para decir algo inseguro. Un agente puede hacer todo eso, pero también puede invocar una herramienta, recuperar datos de clientes, emitir un reembolso, actualizar un ticket, cambiar una configuración, activar un flujo de trabajo o interactuar con un sistema que realmente gestiona el negocio.

El modelo ya no solo está teniendo una conversación. Se está convirtiendo en parte de una ruta de ejecución.

El agente no es una sola cosa. Es un cuerpo.

La forma más sencilla de explicar un agente es con el cuerpo humano. El LLM es el cerebro. Razona, interpreta la intención y decide qué hacer a continuación. La instrucción son los oídos. Recibe la solicitud. La respuesta es la boca. Comunica el resultado. Las herramientas y los servidores MCP son las manos. Le dan capacidades al agente. Las APIs son los botones. Son la forma en que el agente interactúa con el negocio. Los sistemas detrás de esas APIs son lo que los botones controlan.

La mayoría de las conversaciones sobre seguridad de la IA se centran en los oídos, el cerebro y la boca. ¿Fue maliciosa la instrucción? ¿Fue segura la respuesta? ¿Dijo el modelo algo que no debería decir? Preguntas importantes. Pero incompletas.

Porque las manos aún pueden tener las llaves.

Puedes poner un casco al cerebro, instalar un filtro en los oídos y vigilar lo que dice la boca. Pero si las manos aún pueden pulsar el botón de reembolso, exportar la lista de clientes, actualizar la cuenta o invocar una API interna con autorización débil, sigues teniendo un problema grave.

Aseguraste la conversación. No aseguraste la acción.

La instrucción puede parecer limpia mientras que la ruta es peligrosa.

Imagina un agente de soporte al cliente. Un cliente pregunta: “Me cobraron dos veces. ¿Puede ayudarme?”. La instrucción parece normal. El modelo decide ayudar. El agente invoca una herramienta de facturación. La herramienta de facturación invoca una API interna. La API devuelve datos de la cuenta. El agente emite un crédito. La respuesta final parece inofensiva: “Revisé su cuenta y emití un crédito”.

Desde la capa del modelo, todo puede parecer bien. Ningún jailbreak obvio. Ninguna salida tóxica. Ningún dato sensible en la respuesta final. Pero la ruta intermedia puede contar una historia muy diferente.

Quizás la herramienta de facturación era demasiado permisiva. Quizás el servidor MCP tenía una clave API codificada. Quizás la API no tenía límite de velocidad. Quizás la API de reembolso nunca fue diseñada para acceso autónomo.

Ahora imagina que esto ocurre a velocidad de máquina cientos de miles de veces antes de que alguien se dé cuenta.

El modelo no dijo nada peligroso. El agente tomó medidas y afectó los ingresos.

Esa es la brecha. El riesgo no está solo en la instrucción o la respuesta. Está en la ruta de ejecución entre ellas.

La instrucción parecía segura. La respuesta parecía segura. La ruta intermedia no lo era.

La visibilidad, la gobernanza y la protección en tiempo de ejecución no son lo mismo.

La seguridad agéntica tiene tres funciones: visibilidad, gobernanza y protección en tiempo de ejecución. La visibilidad te dice qué existe, la gobernanza te dice qué debería permitirse y la protección en tiempo de ejecución te dice qué está ocurriendo realmente cuando el agente está activo.

La visibilidad puede decirte qué agentes existen, dónde se ejecutan, qué herramientas utilizan y a qué APIs pueden acceder. La gobernanza puede decirte qué herramientas están habilitadas, qué identidades se utilizan, qué políticas faltan y qué acciones son demasiado permisivas. La protección en tiempo de ejecución responde a la pregunta clave: ¿Está el agente haciendo algo inseguro ahora mismo?

Un panel de control no es protección en tiempo de ejecución. Un inventario no es protección en tiempo de ejecución. Un documento de política no es protección en tiempo de ejecución. Son necesarios, pero no son lo mismo que observar las manos mientras se mueven.

Los agentes necesitan visibilidad. Los agentes necesitan gobernanza. Pero los agentes también necesitan frenos.

El código te dice qué se construyó. La configuración te dice cómo se gobierna. El tiempo de ejecución te dice qué sucedió.

Para entender el riesgo agéntico, necesitas tres fuentes de verdad.

El código muestra qué se construyó: secretos codificados, herramientas inseguras, comprobaciones de autorización faltantes, patrones de API riesgosos.

La configuración muestra cómo se gobierna: qué herramientas están habilitadas, qué identidades se utilizan, qué políticas se aplican, quién lo posee y a qué APIs se puede acceder.

El tiempo de ejecución muestra qué sucedió: qué instrucción llevó a qué llamada de herramienta, qué herramienta llamó a qué API, qué datos se recibieron y qué acción se tomó.

Esto importa porque no todos los agentes viven dentro de una plataforma de IA gestionada y limpia. El caso fácil es un plano de control conocido donde puedes extraer la configuración y construir un panel de control útil. ¿Útil? Sí. ¿Suficiente? No.

El caso más difícil es un agente que parece software: un LLM ejecutándose en EC2 o Kubernetes, utilizando un servidor MCP personalizado, llamando a APIs internas detrás de un balanceador de carga F5 y accediendo a sistemas antiguos nunca diseñados para acceso autónomo.

Eso no es un producto de IA pulcro. Es una aplicación en producción.

Y como cualquier aplicación en producción, necesitas la ruta completa: del prompt al modelo, del modelo a la herramienta, de la herramienta a la API, de la API a los datos, y de vuelta.

Ese es el grafo agéntico: qué se construyó, cómo se gobernó y qué sucedió realmente.

La pregunta debería cambiar.

«¿Aseguras la IA?» es ahora una pregunta débil e insuficiente. De hecho, casi todo el mundo puede decir que sí.

La pregunta más acertada es: ¿dónde termina tu visibilidad? ¿Ves el modelo, o también las herramientas y las API? ¿Ofreces visibilidad, gobernanza y protección en tiempo de ejecución, o solo una de ellas? ¿Puedes seguir la ruta desde el prompt hasta la herramienta, la API y la acción posterior? ¿Puedes proteger un agente que se ejecuta como una carga de trabajo normal en EC2, Kubernetes, contenedores, máquinas virtuales o en local? ¿Puedes conectar el código, la configuración y el tiempo de ejecución en una sola imagen?

Y quizás lo más importante: ¿dónde tu respuesta se convierte en «Esa parte no la vemos»?

Cada control de seguridad tiene un límite. Los buenos proveedores saben dónde está ese límite. Los grandes equipos de seguridad lo preguntan directamente.

Los agentes todavía tienen las llaves del coche.

La primera ola de seguridad de la IA fue necesaria. Nos proporcionó barreras de seguridad para prompts, modelos y salidas. Pero los agentes cambiaron la pregunta de seguridad.

Ya no basta con preguntar: «¿Qué dijo el modelo?» Tenemos que preguntar qué hizo el agente, qué herramienta utilizó, a qué API llamó, qué datos se recuperaron, qué acción se tomó, si era lo esperado, si estaba permitido y si era seguro.

Esa es la línea entre la seguridad de la IA y la seguridad agéntica.

Y ahora mismo,  muchas empresas han protegido el modelo mientras los agentes todavía tienen las llaves del coche.

¿Listo para ver tu Grafo de Seguridad Agéntica? Salt Security ofrece una evaluación de seguridad agéntica gratuita para que puedas mapear toda tu superficie de ataque agéntica en minutos, no en meses. Obtén tu evaluación gratuita en salt.security/agentic-assessment

Blog de seguridad de Salt

Suscríbase al boletín de Salt para obtener los últimos recursos y publicaciones del blog.

Nuestras últimas publicaciones