Puntos clave
- El perímetro es poroso: La IA agéntica moderna y el Protocolo de Contexto del Modelo (MCP) han puesto patas arriba los centros de datos internos, dejando obsoleto el modelo de seguridad de "API interna".
- El riesgo del "agente confundido": Los agentes de IA legítimos actúan como entidades internas de confianza, pero pueden ser explotados para eludir las políticas de prevención de pérdida de datos (DLP), como se ha visto en vulnerabilidades recientes de Microsoft Office.
- Más allá del WAF: Los WAF tradicionales y las pasarelas API son ciegos al tráfico lateral "Este-Oeste" y no pueden detectar las sutiles anomalías de comportamiento inherentes a las interacciones de IA a API.
- La defensa de tres pilares de Salt: Para proteger la capa de acción agéntica, las organizaciones necesitan descubrimiento continuo, gobernanza adaptativa y protección conductual basada en la intención.
El mes pasado, Microsoft confirmó discretamente algo que debería quitarle el sueño a cada CISO.
Según lo informado por primera vez por BleepingComputer y detallado posteriormente por TechCrunch, un error en Microsoft Office permitió a Copilot, el asistente de IA integrado en millones de entornos empresariales, resumir correos electrónicos confidenciales y entregárselos a usuarios que no tenían por qué verlos. ¿Etiquetas de sensibilidad? Ignoradas. ¿Políticas de prevención de pérdida de datos (DLP)? Completamente eludidas.
Esto no fue obra de un hacker o malware. Fue una herramienta interna de confianza haciendo exactamente para lo que fue diseñada: procesar datos. La IA no irrumpió. Ya estaba dentro.
Obtenga el último informe: El estado de la seguridad de la IA y las API: Navegando la era agéntica
La ilusión de la zona segura interna
Durante años, los equipos de seguridad han operado bajo una suposición reconfortante: las API internas son seguras porque están detrás de la pasarela. Desafiamos este mito en nuestra última Guía de campo, pero el incidente de Microsoft demuestra que la realidad es mucho más volátil.
Cuando implementas un agente de IA, le estás entregando a una entidad altamente privilegiada las llaves de tus datos internos. Confías en que respetará cada política de acceso, etiqueta de sensibilidad y límite de permisos que hayas establecido. Cuando no lo hace: cuando procesa un contexto incorrectamente o malinterpreta una etiqueta, no hay alarma. No hay solicitudes bloqueadas en el perímetro. Solo datos sensibles, entregados silenciosamente a la persona equivocada.
El "Diputado Confundido" Ya está en tu nómina
Los investigadores de seguridad lo llaman el problema del diputado confundido. Ocurre cuando una entidad de confianza con acceso legítimo es engañada (o simplemente está mal configurada) para actuar en contra de tus intereses.
Con el auge del Model Context Protocol (MCP), este problema está a punto de empeorar drásticamente. MCP es el "USB-C para la IA", diseñado para permitir que los agentes se conecten a cualquier fuente de datos interna con una facilidad universal. Para la productividad, es un avance. Para la seguridad, es una pesadilla: cada conexión MCP es una nueva tubería que elude completamente tu perímetro.
Un desarrollador activa un servidor MCP para permitir que un agente de IA consulte una base de datos de clientes. Ese agente ahora tiene una conexión directa y autenticada a datos sensibles. No atraviesa tu pasarela API. No pasa por tu WAF. Simplemente se comunica con los datos, en lo profundo de tu red, en una conversación que tu pila de seguridad nunca ve.
Por qué tu WAF está vigilando la puerta equivocada
Aquí está la incómoda verdad: tu WAF y tu pasarela API fueron construidos para un mundo que ya no existe.
Analizan tráfico Norte-Sur: solicitudes que provienen del mundo exterior. Son excelentes para detectar firmas de ataque conocidas que llegan a tu puerta principal. Pero el error de Microsoft Copilot no entró por la puerta principal. Ocurrió en los pasillos.
tráfico Este-Oeste: la comunicación lateral entre microservicios, agentes de IA y almacenes de datos, es donde reside el verdadero riesgo ahora. Las herramientas de perímetro tradicionales son completamente ciegas a esto. La vulnerabilidad de Copilot no fue una carga maliciosa; fue un fallo de validación de contexto. Ninguna firma que detectar. Ninguna anomalía en el perímetro. Para cuando algo podría haberse marcado, los datos ya estaban expuestos.
Protegiendo las conversaciones que no puedes ver
Detener estos riesgos requiere un enfoque fundamentalmente diferente: uno que va más allá de la defensa perimetral y se adentra en la Capa de Acción Agéntica donde los agentes de IA realmente operan.
- Vea todo: No se pueden proteger las conexiones cuya existencia se desconoce. Salt descubre automáticamente cada servidor MCP, cada puente de IA a datos y cada agente en la sombra que un desarrollador implementó sin informar a seguridad. El descubrimiento continuo es la única base para la gobernanza de la IA.
- Imponga una gobernanza a la velocidad de las máquinas: Los agentes de IA no deberían tener pases de acceso total. Salt impone una gobernanza adaptativa para las identidades máquina a máquina, asegurando que un agente solo pueda llamar a las API específicas que necesita. Esto detiene a los "diputados confundidos" antes de que lleguen a datos sensibles.
- Supervise la intención, no solo el tráfico: Las herramientas tradicionales no pueden leer la intención de una conversación. El Análisis de Intención patentado de Salt establece la línea base de lo que es normal para cada agente. ¿Un agente que normalmente procesa diez correos electrónicos de repente resume miles? Eso es una anomalía de comportamiento. Salt marca y bloquea estas amenazas basadas en la lógica en tiempo real.
El fin del Modelo de Confianza Interna
La principal conclusión del incidente de Microsoft no es solo que Copilot tuviera un error. Los errores ocurren. La verdadera conclusión es que la arquitectura de la IA moderna: agentes operando en lo más profundo de redes de confianza, consumiendo API a escala, tomando decisiones contextuales de forma autónoma, ha roto fundamentalmente el modelo de confianza interna.
Sus usuarios más privilegiados ya no son humanos. Su perímetro es una ficción. Y la única defensa que funciona es comprender la intención.
Cada API es ahora una API de borde. La única pregunta es si puede ver lo que está sucediendo en ese borde.
Si desea obtener más información sobre Salt y cómo podemos ayudarle, por favor contáctenos, programe una demostración, o visite nuestro sitio web. También puede obtener una Evaluación gratuita de la Superficie de Ataque de API del equipo de investigación de Salt Security y descubra lo que los atacantes ya saben.
