Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Gestión de Riesgos de Ciberseguridad > Incidentes con agentes de IA: riesgos sin control afectan al 65% de las organizaciones

Incidentes con agentes de IA: riesgos sin control afectan al 65% de las organizaciones

by Patrick Spencer updated mayo 8, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 9 minutes

La Cloud Security Alliance y Token Security publicaron el 21 de abril de 2026 una investigación titulada Autónomos pero no controlados: los incidentes con agentes de IA ya son comunes en las empresas. El hallazgo principal es contundente: el 65% de las organizaciones ha experimentado al menos un incidente de ciberseguridad en el último año causado por agentes de IA operando en redes corporativas.

Conclusiones clave

  1. Los incidentes con agentes de IA ya son la norma, no la excepción. Nuevas investigaciones encontraron que el 65% de las organizaciones experimentaron al menos un incidente de ciberseguridad vinculado a un agente de IA en el último año. Esto redefine toda la conversación sobre riesgos de IA: de hipotética a histórica.
  2. La exposición de datos es el principal modo de fallo. Entre los incidentes relacionados con agentes de IA, el 61% involucró exposición de datos sensibles, el 43% causó interrupciones operativas y el 41% resultó en acciones no intencionadas en procesos empresariales. El agente no está «fallando»: está haciendo exactamente lo que sus permisos permiten.
  3. La mayoría de las organizaciones no puede detener un agente cuando se comporta mal. Investigaciones de Kiteworks muestran que el 63% de las organizaciones no puede imponer limitaciones de propósito a los agentes de IA y el 60% no puede terminar un agente que se comporta de manera indebida. La contención es la capacidad que falta.
  4. Solo el 19% de las organizaciones trata a los agentes de IA como equivalentes a insiders humanos. La brecha de clasificación es la brecha de gobernanza. Si un agente no está en el radar de riesgo interno, no está gobernado por el programa de riesgo interno.
  5. La solución es arquitectónica, no administrativa. La gobernanza a nivel de datos —acceso de mínimo privilegio, limitado por propósito y tiempo, aplicado en el punto donde el agente accede a los datos— es la única respuesta escalable a un problema de control que ahora afecta a todas las redes corporativas.

Esto no es una predicción. Es una retrospectiva. Los incidentes ya ocurrieron.

El desglose es tan importante como el titular. Entre las organizaciones que reportaron incidentes impulsados por agentes de IA, el 61% involucró exposición de datos. El 43% causó interrupciones operativas. El 41% resultó en acciones no intencionadas en procesos empresariales. El 35% produjo pérdidas financieras. El 31% provocó retrasos en servicios.

Lee eso de nuevo. El resultado más común de un agente de IA sin gobernanza en una red corporativa es que filtra datos. No que falle: que filtra. El agente está haciendo su trabajo. El problema es que la descripción de su trabajo nunca estuvo limitada por una política de gobernanza de datos.

Por qué esto no es un problema nuevo — solo más rápido

Las empresas ya han pasado por esto. Cuando la adopción de SaaS se disparó hace una década, el shadow IT se convirtió en el principal canal de exfiltración de datos. Cuando el trabajo remoto creció, los endpoints no gestionados se volvieron el vector dominante de robo de credenciales. El patrón es consistente: la adopción tecnológica supera a la gobernanza, y los datos de brechas eventualmente fuerzan una corrección.

Los agentes de IA comprimen ese cronograma drásticamente. Según el DTEX 2026 Insider Threat Report, el 92% de las organizaciones afirma que la IA generativa ha cambiado fundamentalmente cómo los empleados acceden e intercambian información, pero solo el 13% ha integrado formalmente la IA en sus estrategias empresariales. DTEX identifica el shadow AI como el principal impulsor de incidentes internos negligentes, por encima del uso compartido de archivos no monitoreado y el correo web personal.

El mismo informe revela que el 73% de las organizaciones teme que el uso no autorizado de IA esté creando rutas invisibles de pérdida de datos, y solo el 19% clasifica a los agentes de IA como equivalentes a insiders humanos. La categoría de gobernanza existe. Los agentes no están en ella.

La brecha se refleja en los datos de brechas. Según el IBM Cost of a Data Breach Report 2025, el 97% de las organizaciones que reportaron una brecha relacionada con IA carecían de controles de acceso adecuados para IA. El shadow AI añade aproximadamente $670,000 al costo promedio de una brecha. El costo promedio de una brecha en EE. UU. ya supera los $10 millones, impulsado en gran parte por sanciones regulatorias.

Ese es el precio de la brecha de clasificación, en dólares.

Cómo se ve en la práctica un «agente de IA sin control»

Piensa cómo sucede esto dentro de una empresa típica. Un equipo de ingeniería implementa un asistente de codificación con IA. Necesita acceso de lectura al repositorio. Ese acceso funciona, así que permanece. Alguien de otro equipo le da al mismo agente acceso de lectura al sistema de tickets, porque ayuda a priorizar incidencias. Luego obtiene acceso de lectura a los documentos de diseño, para contexto. Después, al buzón de soporte al cliente, para redactar respuestas.

Seis meses después, el agente ha acumulado acceso de lectura a código fuente, tickets de clientes, hojas de ruta de diseño y correspondencia con clientes. Ningún permiso de acceso individual era irrazonable. Ningún equipo tenía la visión completa. Y nadie ha revisado a qué puede acceder el agente en conjunto.

Ahora el agente es comprometido —ya sea por inyección de prompts, un ataque a la cadena de suministro en su proveedor, o una filtración de credenciales. El atacante hereda todo lo que tenía el agente. La brecha de Vercel divulgada el 21 de abril de 2026 demostró exactamente este patrón: los atacantes pivotaron desde una herramienta de IA de terceros comprometida (Context.ai) hacia los sistemas internos de Vercel a través de los accesos que el empleado había concedido.

El atacante no necesitó vulnerar Vercel. Vulneró la herramienta de IA en la que confiaba el empleado.

Las tres fallas de gobernanza detrás del 65%

El Kiteworks Data Security and Compliance Risk: 2026 Forecast Report cuantificó tres brechas de control específicas que explican la tasa de incidentes de la CSA. No son carencias abstractas: son las razones mecánicas por las que los agentes de IA siguen provocando incidentes de exposición de datos.

Falta vinculación de propósito. El 63% de las organizaciones no puede imponer limitaciones de propósito a los agentes de IA. Un agente con acceso a un sistema de atención al cliente para redactar respuestas no tiene control técnico que le impida leer registros financieros de clientes en ese mismo sistema. El propósito, en la mayoría de los entornos, es aspiracional: está documentado en la política, pero no se aplica a nivel de datos.

Falta contención. El 60% de las organizaciones no puede terminar un agente de IA que se comporta de manera indebida. Monitorear un agente que está exfiltrando datos activamente no sirve si no hay un mecanismo para detenerlo. El 2026 Forecast Report señala que esta es la brecha más relevante: las organizaciones han invertido en observar agentes, pero no en detenerlos.

Falta evidencia. El 67% tiene registros de auditoría en teoría, pero según el 2026 Forecast Report, solo una fracción cuenta con registros auditables de calidad que abarquen todos los canales que un agente de IA puede tocar (correo electrónico, uso compartido de archivos, APIs, servidores MCP, bases de datos). Cuando el regulador pregunta «¿qué hizo este agente con los datos regulados?», los registros fragmentados no son una respuesta.

Cada una de estas brechas es una razón concreta por la que un programa de gobernanza que existe en papel falla en la práctica.

Por qué la «seguridad del modelo» no resolverá esto

La industria de seguridad de IA ha invertido enormes esfuerzos en controles a nivel de modelo: defensas contra inyección de prompts, filtrado de salidas, pruebas de alineación, técnicas de IA constitucional. Todo esto importa. Pero no resuelve el problema que muestran los datos de la CSA.

La razón es la siguiente. Los controles a nivel de modelo buscan evitar que la IA haga algo dañino con los datos a los que ya tiene acceso. Eso es valioso, pero asume que el modelo de acceso es correcto. El 65% de las organizaciones con incidentes de agentes de IA no sufren principalmente por modelos desalineados que producen resultados dañinos. Sufren porque modelos que funcionan correctamente acceden a datos que nunca debieron tener.

Según el 2026 Thales Data Threat Report, la exposición de datos sensibles es el tipo de ataque basado en IA/LLM que más crece, y solo el 33% de las organizaciones sabe con certeza dónde se encuentran sus datos sensibles. No puedes gobernar el acceso de IA a datos que no puedes localizar.

La seguridad en tiempo de ejecución y la seguridad de datos son disciplinas complementarias, no sustitutas. La seguridad en tiempo de ejecución hace que el agente sea más seguro como sistema. La seguridad de datos protege los datos frente al agente. La IA empresarial necesita ambas. La mayoría de las empresas ha invertido en una y ha ignorado la otra, y la tasa de incidentes del 65% es el resultado.

El enfoque de Kiteworks: gobernanza a nivel de datos para agentes de IA

Kiteworks aborda la brecha de gobernanza en la capa de datos, donde la investigación de la CSA muestra que ocurren los fallos reales. El enfoque es arquitectónico, no un complemento.

Acceso limitado por propósito. Cada agente de IA se conecta a datos regulados a través de la puerta de enlace de datos IA de Kiteworks, que aplica control de acceso basado en atributos (ABAC) en el momento de la recuperación de datos. Se evalúan la identidad del agente, la clasificación de los datos, el propósito previsto y el contexto de la solicitud antes de que los datos fluyan. Un agente no puede acceder accidentalmente a registros fuera de su propósito, porque el propósito está codificado en el motor de políticas, no en el prompt.

Integración MCP acotada. El servidor MCP seguro de Kiteworks da a los agentes de IA acceso controlado a los datos empresariales a través del Model Context Protocol, manteniendo el mínimo privilegio. El agente recibe exactamente el contexto que necesita para su tarea, nada más, y cada recuperación queda registrada.

Contención y kill switches. La aplicación de políticas se realiza a nivel de plataforma, no a nivel de agente. Si el comportamiento de un agente se desvía de su propósito autorizado, el acceso puede revocarse de inmediato en todos los canales de datos que toca. No hace falta perseguir al agente por sistemas separados para contenerlo.

Registros de auditoría de calidad probatoria. Cada interacción de un agente de IA con datos regulados genera registros de auditoría inalterables que se unifican entre correo electrónico, uso compartido de archivos, SFTP, MFT, APIs, formularios web y MCP. Los mismos registros permiten integración con SIEM, auditorías regulatorias y retención legal. Cuando un regulador pregunta qué hizo el agente, la respuesta está a una consulta de distancia, no en un proyecto de reconstrucción entre cinco sistemas.

Este es el patrón arquitectónico que la industria necesita para cerrar la brecha entre adopción de IA y gobernanza de datos de IA. También es el único patrón que escala a miles de agentes en docenas de procesos empresariales, que es hacia donde se dirigen la mayoría de las empresas en los próximos veinticuatro meses.

Qué deben hacer las organizaciones ahora

Primero, inventaría cada agente de IA con acceso a datos regulados. Esto incluye asistentes de codificación, copilotos de atención al cliente, agentes de analítica, procesadores de documentos y cualquier herramienta de IA de terceros con acceso OAuth o API a sistemas internos. Cruza esta información con el hallazgo de la CSA de que la mayoría de las organizaciones no tiene una estrategia de desmantelamiento: trata cada agente inventariado como una obligación de gobernanza.

Segundo, clasifica a los agentes de IA como insiders no humanos en el programa de riesgo interno existente. El informe DTEX 2026 muestra que solo el 19% de las organizaciones lo hace hoy. La solución es una actualización de políticas y un cambio técnico: aplica las mismas revisiones de acceso, líneas base de monitoreo y procedimientos de terminación que usas para usuarios privilegiados humanos, adaptados a la escala y velocidad de acción de los agentes.

Tercero, aplica limitaciones de propósito en la capa de datos, no en la capa de agente. El propósito del agente debe estar codificado en una política que se evalúa en cada solicitud de acceso a datos. Confiar en que el agente «se mantenga en su carril» no es un control. El 2026 Forecast Report muestra que el 63% no puede hacer esto hoy: cerrar la brecha es la inversión de control de mayor impacto disponible.

Cuarto, implementa capacidad de contención antes de escalar la implementación de agentes. Si no hay forma de terminar un agente de IA que está exfiltrando datos activamente, el programa de gobernanza está incompleto. Los kill switches, el aislamiento de red y la revocación de credenciales deben estar en funcionamiento y probados, no solo en papel.

Quinto, construye registros de auditoría de calidad probatoria que se unifiquen en todos los canales que puede tocar el agente. Reguladores, auditores y abogados de la parte demandante preguntarán qué hizo el agente y bajo qué autorización. Según el CrowdStrike 2026 Global Threat Report, los actores con nexos estatales abusan cada vez más de identidades legítimas para acceder a datos de forma prolongada y silenciosa, haciendo que la calidad de los registros de auditoría marque la diferencia entre detectar en días o en meses.

Sexto, alinea la gobernanza de agentes de IA con los marcos regulatorios que ya aplican. HIPAA, CMMC, PCI DSS, SEC y SOX especifican requisitos para controles de acceso a datos, registros de auditoría y acceso mínimo necesario. Ninguno contiene una excepción para agentes de IA. El camino más rápido hacia el cumplimiento de agentes de IA es reconocer que el marco de cumplimiento ya existe: lo que falta son los controles.

La investigación de la CSA no es una advertencia sobre lo que podría pasar. Es un informe de lo que ya sucedió. Las organizaciones que destacarán en 2026 y 2027 serán las que respondan a los datos con cambios arquitectónicos, no solo actualizaciones de políticas.

La respuesta regulatoria de 2026 llegará antes de lo que muchos esperan

Los reguladores están leyendo la misma investigación que los CISOs. Según el 2026 Forecast Report, las disposiciones de alto riesgo de la Ley de IA de la UE serán plenamente exigibles en agosto de 2026 y contemplan multas de hasta 35 millones de euros o el 7% de la facturación anual global por incumplimiento. La ley exige que los sistemas de IA de alto riesgo mantengan documentación detallada, pasen evaluaciones de conformidad y se registren en una base de datos pública de la UE.

Esa es la vía europea. En EE. UU., el desarrollo avanza mediante legislación estatal, acciones de la FTC y guías sectoriales. La Ley de IA de Colorado, la legislación de IA de Texas y enmiendas en California, Kentucky y Delaware están ampliando la definición de datos sensibles para incluir categorías inferidas por IA. El 2025 Cisco Data Privacy Benchmark Study encontró que la madurez de los programas de privacidad está cada vez más ligada a la postura de gobernanza de datos de IA, y no se trata como disciplinas separadas.

El patrón es el mismo en todas las jurisdicciones: los reguladores coinciden en que los sistemas de IA que interactúan con datos personales o regulados deben demostrar acceso gobernado, comportamiento auditable y modos de fallo contenibles. Las organizaciones que puedan aportar documentación de calidad probatoria pasarán. Las que no, enfrentarán sanciones.

La investigación de la CSA es relevante porque establece la previsibilidad. Cuando un regulador pregunte si una organización «sabía o debía saber» que los agentes de IA sin gobernanza causaban incidentes de exposición de datos, la respuesta después de abril de 2026 está documentada: dos tercios de las empresas ya habían experimentado tales incidentes cuando se publicó la investigación. «No lo sabíamos» ya no es una defensa válida. Tampoco lo es «es la práctica estándar de la industria», porque la práctica estándar, según los datos, está causando incidentes.

Preguntas frecuentes

La investigación de CSA y Token Security define agentes de IA de forma amplia como sistemas autónomos o semi-autónomos que operan en redes corporativas con acceso a datos y sistemas empresariales. Esto incluye asistentes de codificación, copilotos de atención al cliente, agentes de analítica, bots de procesamiento de documentos, aplicaciones LLM con RAG y herramientas de IA de terceros con acceso OAuth o API. El denominador común es la acción autónoma sobre datos cuya gobernanza es responsabilidad de la organización.

La mayoría de los incidentes de exposición de datos por agentes de IA siguen tres patrones: el agente accede a datos fuera de su propósito porque este no se aplica a nivel de datos; las credenciales o tokens API del agente son comprometidos, permitiendo al atacante todo el acceso que tenía el agente; o el agente es manipulado mediante inyección de prompts para exfiltrar datos que estaba autorizado a leer. El IBM Cost of a Data Breach Report 2025 encontró que el 97% de las brechas relacionadas con IA involucraron organizaciones sin controles de acceso adecuados para IA.

Sí. Estas regulaciones especifican requisitos para controles de acceso a datos, registros de auditoría, cifrado y acceso mínimo necesario, y no contienen excepciones para agentes de IA. Si un agente de IA accede a información de salud protegida, datos de tarjetas o información no clasificada controlada, se aplica toda la obligación regulatoria. El Kiteworks Data Security and Compliance Risk: 2026 Forecast Report documenta las brechas de control que dificultan cumplir las obligaciones regulatorias existentes cuando se añaden agentes de IA al entorno.

La seguridad de IA en tiempo de ejecución se centra en el agente como sistema: prevenir inyección de prompts, filtrar salidas, aplicar alineación. La gobernanza de IA a nivel de datos se enfoca en los datos a los que accede el agente: aplicar propósito, registrar recuperaciones y contener el comportamiento en el punto de acceso a datos. El Thales 2026 Data Threat Report identifica ambas como disciplinas necesarias pero separadas. La mayoría de las empresas ha invertido en seguridad en tiempo de ejecución y ha descuidado la gobernanza a nivel de datos, que es donde surge la tasa de incidentes de la CSA.

La primera fase —inventario, clasificación como insiders no humanos y auditorías iniciales de acceso— suele lograrse en cuatro a ocho semanas. La segunda fase —implementar acceso limitado por propósito, capacidad de contención y registros de auditoría unificados— requiere una plataforma de gobernanza a nivel de datos y normalmente de tres a seis meses, según la complejidad del entorno. El Kiteworks Data Security and Compliance Risk: 2026 Forecast Report señala que las organizaciones con gobernanza madura de IA resuelven brechas aproximadamente 70 días más rápido que aquellas sin ella, según datos de IBM, lo que convierte la inversión tanto en una medida de reducción de riesgos como de ahorro en costos de incidentes.

Preguntas frecuentes

Según la investigación de Cloud Security Alliance y Token Security publicada el 21 de abril de 2026, el 65% de las organizaciones ha experimentado al menos un incidente de ciberseguridad causado por agentes de IA operando en redes corporativas en el último año.

El resultado más común de un incidente con un agente de IA sin gobernanza es la exposición de datos, con un 61% de los incidentes reportados involucrando filtraciones de datos sensibles. Esto resalta la necesidad crítica de políticas de gobernanza de datos que limiten el alcance del acceso de los agentes de IA.

La investigación de Kiteworks indica que el 63% de las organizaciones no puede imponer limitaciones de propósito a los agentes de IA y el 60% carece de la capacidad de terminar un agente que se comporta de manera indebida. Esta falta de capacidad de contención es una brecha significativa en los marcos de gobernanza actuales.

La gobernanza a nivel de datos aplica acceso de mínimo privilegio, limitado por propósito y tiempo, en el punto donde los agentes de IA interactúan con los datos. Este enfoque arquitectónico, promovido por Kiteworks, asegura que los agentes solo accedan a los datos necesarios para sus tareas, reduciendo el riesgo de exposición o uso indebido no autorizado.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks