Su agente ya no es solo un chatbot: ¿por qué sigue tratándolo como tal?

En los primeros días de la IA generativa, el peor escenario para un chatbot con mal comportamiento era a menudo poco más que la vergüenza pública. Un chatbot podría alucinar hechos, escribir textos tendenciosos o incluso insultarte. Eso ya era bastante malo. Pero ahora, hemos entregado las llaves.

Bienvenido a la era del agente.

De chatbot a agente: el cambio hacia la autonomía

Los chatbots eran reactivos. Se mantenían en su línea. Preguntaban y obtenían una respuesta. Pero los agentes de IA, especialmente aquellos con uso de herramientas, ejecución de código y memoria persistente, pueden realizar tareas de varios pasos, invocar API, ejecutar comandos y escribir e implementar código de forma autónoma.

En otras palabras, no solo responden a indicaciones, sino que toman decisiones. Y como cualquier profesional de seguridad te dirá, una vez que un sistema empieza a actuar en el mundo, es mejor tomarse en serio la seguridad y el control.

Lo que advertimos en 2023

En OWASP, comenzamos a advertir sobre este cambio hace más de dos años. En la primera publicación del Top 10 de OWASP para solicitudes de LLM, acuñamos el término: Exceso de Agencia.

La idea era simple: cuando se le otorga a un modelo demasiada autonomía (demasiadas herramientas, demasiada autoridad, muy poca supervisión), empieza a actuar más como un agente libre que como un asistente limitado. Quizás programa tus reuniones. Quizás borra un archivo. Quizás aprovisiona una infraestructura en la nube excesiva y costosa.

Si no tienes cuidado, empieza a comportarse como un agente confundido... o peor aún, como un agente encubierto enemigo a la espera de ser explotado en un incidente de ciberseguridad. En ejemplos reales recientes, agentes de importantes productos de software como... copiloto de microsoft, El producto Slack de Salesforce Se demostró que ambos eran vulnerables a ser engañados y obligados a usar sus privilegios aumentados para exfiltrar datos confidenciales.

Y ahora, esa hipótesis parece menos ciencia ficción y más parecida a su próxima hoja de ruta para el tercer trimestre.

Conozca MCP: La capa de control del agente (¿o no?)

En 2025, presenciamos una oleada de nuevos estándares y protocolos diseñados para gestionar esta explosión de funcionalidades de los agentes. El más destacado es el Protocolo de Contexto de Modelo (MCP) de Anthropic, un mecanismo para mantener la memoria compartida, las estructuras de tareas y el acceso a herramientas en sesiones de agentes de IA de larga duración.

Piensa en MCP como el pegamento que mantiene unido el contexto de un agente a través de las herramientas y el tiempo. Es una forma de decirle a tu asistente de programación: «Esto es lo que has hecho hasta ahora. Esto es lo que puedes hacer. Esto es lo que debes recordar».

Es un paso muy necesario. Pero también plantea nuevas preguntas.

MCP es un facilitador de capacidades. ¿Dónde están las barreras?

Hasta ahora, el enfoque de MCP se ha centrado en ampliar lo que los agentes pueden hacer, no en limitarlos.

Si bien el protocolo ayuda a coordinar el uso de herramientas y a preservar la memoria en las tareas del agente, aún no aborda cuestiones críticas como:

• Resistencia a la inyección rápida¿Qué sucede si un atacante manipula la memoria compartida?
• Alcance del comando¿Es posible engañar al agente para que exceda sus permisos?
• Abuso de tokens: ¿Podría una filtración de memoria exponer credenciales de API o datos de usuario?

Estos no son problemas teóricos. Un análisis reciente de las implicaciones de seguridad reveló que las arquitecturas de tipo MCP son vulnerables a la inyección de comandos, el uso indebido de comandos e incluso el envenenamiento de memoria, especialmente cuando la memoria compartida no tiene un alcance ni un cifrado adecuados.

Este es el clásico problema de "poder sin supervisión". Hemos construido el exoesqueleto, pero aún no sabemos dónde está el interruptor de apagado.

Por qué los CISO deberían prestar atención ahora

No hablamos de tecnología del futuro. Nos referimos a herramientas que sus desarrolladores ya utilizan, y esto es solo el comienzo de una implementación masiva que veremos en las empresas.

Agentes de codificación como Claude Code y Cursor están ganando terreno en los flujos de trabajo empresariales. Un estudio interno de GitHub demostró que Copilot podía acelerar las tareas en un 55 %. Más recientemente, Anthropic informó que el 79 % del uso de Claude Code se centraba en... ejecución automatizada de tareas, no solo sugerencias de código.

Eso es productividad real. Pero también es automatización real. Ya no son copilotos. Cada vez vuelan más solos. ¿Y la cabina? Está vacía.

El director ejecutivo de Microsoft, Satya Nadella, afirmó recientemente que la IA ahora escribe hasta el 30 % del código de Microsoft. El director ejecutivo de Anthropic, Dario Amodei, fue aún más allá y predijo que la IA generará el 90 % del código nuevo en seis meses.

Y no se trata solo del desarrollo de software. El Protocolo de Contexto de Modelo (MCP) se está integrando en herramientas que van más allá de la programación, abarcando la clasificación de correos electrónicos, la preparación de reuniones, la planificación de ventas, el resumen de documentos y otras tareas de productividad de alto impacto para usuarios generales. Si bien muchos de estos casos de uso aún se encuentran en sus etapas iniciales, están madurando rápidamente. Esto cambia las cosas. Esto ya no es solo una conversación para el CTO o el vicepresidente de ingeniería. Requiere la atención de los líderes de las unidades de negocio, los CIO, los CISO y los directores de inteligencia artificial por igual. A medida que estos agentes comienzan a interactuar con datos confidenciales y a ejecutar flujos de trabajo multifuncionales, las organizaciones deben garantizar que la gobernanza, la gestión de riesgos y la planificación estratégica sean parte integral de la conversación desde el principio.

¿Qué debe suceder a continuación?

Es hora de dejar de pensar en estos agentes como chatbots y empezar a verlos como sistemas autónomos con requisitos de seguridad reales. Esto significa:

• Límites de privilegios del agente:Al igual que usted no ejecuta todos los procesos como root, los agentes necesitan acceso limitado a herramientas y comandos.
• Gobernanza de memoria compartida:La persistencia del contexto debe ser auditada, versionada y cifrada, especialmente cuando se comparte entre sesiones o equipos.
• Simulaciones de ataque y equipos rojosLa inyección rápida, el envenenamiento de memoria y el uso indebido de comandos deben tratarse como amenazas de seguridad de primer nivel.
• Formación de los empleadosEl uso seguro y eficaz de agentes de IA es una habilidad nueva, y las personas necesitan capacitación. Esto les ayudará a ser más productivos y a mantener su propiedad intelectual más segura.

A medida que su organización se adentra en los agentes inteligentes, suele ser mejor actuar antes de correr. Adquiera experiencia con agentes con alcance, datos y permisos limitados. Aprenda a medida que construye barreras organizativas y experiencia, y luego avance hacia casos de uso más complejos, autónomos y ambiciosos.

No puedes quedarte fuera de esto

Tanto si eres director de IA como director de información, puede que tengas diferentes inquietudes iniciales, pero el camino a seguir es el mismo. Las mejoras de productividad derivadas de los agentes de codificación y los sistemas de IA autónomos son demasiado convincentes como para ignorarlas. Si sigues adoptando una actitud de "esperar y ver", ya te estás quedando atrás.

Estas herramientas ya no son solo experimentales, sino que se están convirtiendo rápidamente en una apuesta segura. Empresas como Microsoft generan una gran cantidad de código mediante IA, mejorando así su competitividad. Herramientas como Claude Code están reduciendo drásticamente el tiempo de desarrollo y automatizando flujos de trabajo complejos en numerosas empresas de todo el mundo. Las empresas que aprendan a aprovechar estos agentes de forma segura entregarán sus productos con mayor rapidez, se adaptarán con mayor celeridad y superarán a sus competidores.

Pero la velocidad sin seguridad es una trampa. Integrar agentes autónomos en su negocio sin los controles adecuados es una receta para interrupciones, filtraciones de datos y consecuencias regulatorias.

Este es el momento de actuar, pero actúe con inteligencia:

• Programas piloto de agentes de lanzamiento, pero requieren revisiones de código, permisos de herramientas y espacio aislado.
• Limitar la autonomía a lo necesario—No todos los agentes necesitan acceso root o memoria a largo plazo.
• Auditar la memoria compartida y las llamadas a herramientas, especialmente en sesiones de larga duración o contextos colaborativos.
• Simular ataques utilizando inyección rápida y abuso de comandos para descubrir riesgos del mundo real antes que los atacantes lo hagan.
• Capacite a sus desarrolladores y equipos de productos sobre patrones de uso seguro, incluido el control del alcance, los comportamientos de respaldo y las rutas de escalamiento.

La seguridad y la velocidad no son mutuamente excluyentes, si se construye con intención.

Las empresas que traten a los agentes de IA como infraestructura central, no como juguetes o juguetes convertidos en amenazas, serán las que prosperen. El resto se quedará solucionando los problemas, o peor aún, observando desde la barrera.

La era de los agentes ya está aquí. No te limites a reaccionar. Prepárate. Integra. Asegura.