¿Cumple su IA con la normativa? Regístrese hoy

Industria

La pila agéntica explicada: Cómo funcionan juntos los LLM, los servidores MCP y las API

April 2, 2026

Eric Schwake
Head of Product Marketing

Resumen Ejecutivo

  • La Pila Agéntica consta de tres capas: El Cerebro (LLM), Las Manos (Servidores MCP) y la Capa de Acción (APIs).
  • Agentes de IA se diferencian de los chatbots porque no solo hablan; ejecutan de forma autónoma flujos de trabajo de varios pasos a través de estas capas.
  • Riesgo de Seguridad se propaga por toda la pila, lo que significa que un "cerebro sano" aún puede ejecutar acciones maliciosas si las Manos o la Capa de Acción no están protegidas.
  • La Capa de Acción es el plano de control principal para la seguridad, ya que es donde la intención autónoma se convierte en una consecuencia empresarial.

El término agente de IA es dominante en el discurso actual de ciberseguridad. Proveedores, analistas y CISOs utilizan la etiqueta, pero persiste la confusión técnica sobre cómo operan realmente los agentes y dónde residen los riesgos de seguridad. Debajo de la familiaridad superficial, a menudo existe una confusión significativa sobre qué es realmente un agente de IA, cómo opera técnicamente y, lo más importante para los equipos de seguridad, dónde reside realmente el riesgo.

Para tomar decisiones de seguridad informadas, las organizaciones deben ir más allá de la interfaz y comprender la arquitectura subyacente. Este marco arquitectónico se conoce como la Pila Agéntica. Este artículo no trata sobre ningún proveedor o plataforma en particular. Es un intento de mapear la arquitectura claramente, porque no se pueden tomar buenas decisiones de seguridad sobre un sistema que no se comprende completamente.

¿Qué es un agente de IA?

Un agente de IA es un sistema de software diseñado para perseguir objetivos de forma autónoma razonando a través de una tarea y ejecutando acciones utilizando herramientas externas.

A un alto nivel, podemos describir un agente de IA como un sistema capaz de razonar sobre su entorno para perseguir un objetivo de forma autónoma seleccionando acciones y ejecutándolas utilizando las herramientas y servicios a los que tiene acceso. La capacidad de ejecutar acciones distingue a un agente de un chatbot estándar o un asistente de IA básico. Mientras que un chatbot genera respuestas de texto, un agente realiza trabajo.

Estas acciones pueden incluir buscar en internet, ejecutar una consulta de base de datos, enviar un correo electrónico, actualizar un registro de CRM, activar un flujo de trabajo financiero o llamar a un servicio web externo. El agente puede encadenar muchas acciones para perseguir un objetivo. Puede decidir qué hacer en cada paso basándose en el resultado del paso anterior.

Esa capacidad es también lo que hace que los agentes sean lo suficientemente potentes como para valer la pena desplegarlos a escala empresarial. Y es lo que los hace fundamentalmente diferentes de los sistemas de IA que los precedieron. Esta autonomía crea un cambio fundamental en la superficie de ataque empresarial. Los equipos de seguridad ya no solo protegen el tráfico de usuario a aplicación. Están protegiendo los flujos de trabajo de agente a agente (A2A) y de agente a API.

Las Tres Capas de la Pila Agéntica

Para entender cómo funcionan los agentes y dónde pueden fallar, ayuda pensarlos como un sistema de tres capas. Cada capa tiene una función distinta, un conjunto de tecnologías distinto y un perfil de riesgo distinto. La Pila Agéntica consta del cerebro, las manos y la capa de acción.

Capa 1: El Cerebro (El LLM)

El Modelo de Lenguaje Grande (LLM) funciona como el cerebro del agente. Dada una meta o instrucción, razona sobre los pasos que debe seguir para lograrla y las herramientas que debería usar en cada paso. Aprende y se adapta basándose en los resultados de sus acciones previas y el contexto de su entorno.

El LLM es la capa que la mayoría de la gente imagina cuando piensa en la seguridad de la IA. Las preocupaciones sobre la inyección de prompts, donde el contenido malicioso en el entorno manipula el comportamiento del modelo, residen aquí. También lo hacen las preguntas sobre la alineación del modelo, la seguridad de la salida y las barreras de protección. Estas son preocupaciones reales e importantes.

Sin embargo, son solo una de las tres capas. Un LLM bien protegido conectado a herramientas y servicios mal protegidos sigue siendo vulnerable. El cerebro puede estar perfectamente sano mientras las manos y la capa de acción permanecen expuestas. El modelo proporciona la intención, pero no ejecuta el cambio. Si un atacante puede manipular el proceso de razonamiento, puede, en teoría, forzar al agente a "alucinar" la necesidad de realizar una acción maliciosa, pero el daño real ocurre en otra parte de la pila.

Capa 2: Las Manos (Servidores MCP)

El Protocolo de Contexto del Modelo (MCP) es un estándar abierto que ha surgido como la forma principal en que los agentes de IA se conectan a herramientas externas, fuentes de datos y servicios. Si el LLM es el cerebro, los servidores MCP son las manos.

El servidor MCP actúa como intermediario entre el LLM y el mundo exterior. Expone una lista de capacidades que el agente puede invocar. Estas capacidades pueden incluir leer un sistema de archivos, realizar una consulta a una base de datos, llamar a un servicio, enviar una notificación o activar un flujo de trabajo. Sin servidores MCP, un agente puede pensar pero no puede actuar. Con ellos, puede acceder virtualmente a cualquier sistema al que la organización lo conecte.

Desde una perspectiva de seguridad, los servidores MCP son importantes por varias razones:

  • Alcance de la autorización: Define el alcance de lo que un agente puede hacer y gestiona la autenticación a los servicios a los que se conecta.
  • Gestión de credenciales: Pueden llevar sus propias configuraciones, credenciales y ajustes de permisos.
  • Brechas de visibilidad: Debido a que se sitúan entre el modelo y los sistemas con los que interactúa, un servidor MCP mal configurado o comprometido le da a un atacante una ventaja sobre todo lo que el agente puede alcanzar.

El ecosistema MCP se está expandiendo rápidamente. Los equipos los están integrando en los flujos de trabajo de los agentes, a menudo sin una supervisión centralizada. Esto significa que el conjunto de herramientas a las que cualquier agente dado puede acceder está creciendo más rápido de lo que la mayoría de las organizaciones pueden seguir. Los servidores MCP determinan lo que un agente puede tocar, convirtiéndolos en uno de los puntos de mayor influencia en toda la pila.

Capa 3: La Capa de Acción (APIs)

Las APIs representan la Capa de Acción. Esta es la interfaz real a través de la cual los agentes interactúan con los sistemas empresariales, los datos y los flujos de trabajo. Cuando un agente lee un registro de cliente, llama a una API. Cuando escribe en una base de datos, llama a una API. Cuando activa una transacción financiera, inicia una implementación o envía un mensaje, llama a una API.

Las APIs no son nuevas. Las empresas han estado construyendo y gestionando conjuntos de APIs durante décadas. Pero los agentes de IA cambian la naturaleza del riesgo de las APIs de dos maneras importantes.

Primero, los agentes aumentan drásticamente el volumen y la velocidad de las llamadas a la API. Mientras que un usuario humano podría realizar un puñado de llamadas a la API por sesión, un agente que persigue un objetivo complejo podría realizar cientos en cuestión de minutos. Esa escala amplifica las consecuencias de cualquier vulnerabilidad o mala configuración en las APIs a las que el agente puede acceder. Si una API tiene una vulnerabilidad de Autorización a Nivel de Objeto Rota (BOLA), un agente puede explotarla a una escala y velocidad que ningún humano podría lograr.

En segundo lugar, los agentes realizan llamadas a la API de forma autónoma, sin que un humano revise cada acción antes de su ejecución. Las decisiones importantes de autorización, como si un sistema debe realizar una acción específica en un momento dado, las toma el agente basándose en su objetivo y permisos. Si esos permisos son demasiado permisivos, o los puntos finales de la API a los que tienen acceso no están debidamente protegidos, existe una amplia oportunidad para acciones indebidas, ya sean no intencionadas o intencionadas.

También cabe destacar dónde se produce realmente la actividad de la API. La mayor parte del tráfico de API agéntico es comunicación interna "este-oeste" entre servicios dentro del entorno empresarial. Este tráfico se mueve a través de sistemas que las herramientas de seguridad perimetral nunca fueron diseñadas para observar. La seguridad basada en el perímetro, como WAFs, gateways y proxies de API en el límite de la red, simplemente no ve la mayor parte de lo que los agentes están haciendo en la capa de acción.

Cómo el Grafo de Seguridad Agéntica Conecta las Capas

Comprender las tres capas individualmente es importante. Pero la visión más significativa es cómo interactúan, porque las vulnerabilidades en una capa crean un riesgo que se propaga a través de las otras.

Un cerebro manipulado emite instrucciones maliciosas a las manos (el servidor MCP). Esas manos ejecutan luego esas instrucciones mediante una llamada a la API en la capa de acción. Un servidor MCP comprometido puede redirigir qué APIs llama el agente y qué acciones realiza, independientemente de lo que el LLM pretendiera. Y las APIs vulnerables en la capa de acción pueden ser explotadas directamente, eludiendo por completo las capas del modelo y del MCP, por cualquier sistema o agente que pueda alcanzarlas.

Esta interdependencia es lo que convierte la pila agéntica en un desafío de seguridad genuinamente nuevo, en lugar de una variación de los existentes. Las soluciones puntuales que abordan solo una capa dejan las otras dos expuestas. Además, dado que cada capa conecta y depende de las otras capas, un fallo en un pilar es un fallo del propio marco.

Para detener estos ataques, los equipos de seguridad necesitan visibilidad de la "Secuencia de Intención". Esto requiere mapear las relaciones entre agentes específicos, los servidores MCP que utilizan y las APIs que llaman. Nos referimos a este mapa como el Grafo de Seguridad Agéntica. Sin este contexto, un equipo de seguridad no puede distinguir entre un flujo de trabajo complejo legítimo y una explotación maliciosa de la pila.

Qué Significa Esto para los Equipos de Seguridad

Para los profesionales de la seguridad que intentan adelantarse al riesgo agéntico, la arquitectura aquí descrita apunta a un conjunto claro de requisitos:

  • Visibilidad en las Tres Capas: La seguridad no puede estar aislada solo en el modelo o solo en el perímetro. Es necesario ver la ruta completa desde la instrucción del LLM hasta la llamada final a la API.
  • Inventario Completo: Debe mantener un inventario de todos los agentes, servidores MCP y APIs que operan en el entorno. No se puede proteger lo que no se ve.
  • Mapeo de Relaciones: Es esencial comprender el "margen de acción" que tiene cada agente. ¿Qué agentes se conectan a qué servidores MCP? ¿Qué servidores MCP llaman a qué APIs? ¿A qué datos y sistemas acceden esas APIs?
  • Monitoreo Continuo del Comportamiento: El monitoreo debe realizarse en toda la pila, no solo en el perímetro. Esto requiere analizar la intención detrás de las llamadas a la API para identificar cuándo un agente está siendo manipulado o está funcionando mal.
  • Evaluación de Riesgos Contextual: El riesgo debe evaluarse en función de lo que cada agente puede hacer realmente (su impacto potencial en la capa de acción), no solo por su existencia.

La pila agéntica no es especialmente complicada una vez que se ve con claridad. Pero la mayoría de los marcos y herramientas de seguridad se crearon antes de que existiera, y eso se refleja en ellos. Para cerrar la brecha, hay que empezar por entender la arquitectura, sus tres capas, y desarrollar un enfoque de seguridad que abarque todo el panorama.

Si desea obtener más información sobre Salt y cómo podemos ayudarle, póngase en contacto con nosotros, programe una demostración, o visite nuestro sitio web. También puede obtener una evaluación gratuita de la superficie de ataque de API del equipo de investigación de Salt Security y descubrir lo que los atacantes ya saben.

Blog de seguridad de Salt

Suscríbase al boletín de Salt para obtener los últimos recursos y publicaciones del blog.

Nuestras últimas publicaciones