Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > CISA marcó los límites para la IA agente — la mayoría ya los ha cruzado

CISA marcó los límites para la IA agente — la mayoría ya los ha cruzado

by Uri Kedem updated mayo 28, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 7 minutes

El 30 de abril y el 1 de mayo de 2026, seis agencias nacionales de ciberseguridad publicaron conjuntamente la Adopción Cuidadosa de Servicios de IA Agéntica, un documento de 28 páginas sobre la protección de agentes autónomos de IA — la primera vez que estas agencias coordinan esfuerzos sobre una superficie de ataque de IA específica. El lenguaje es inusualmente directo: no otorgues a los agentes acceso amplio o sin restricciones, comienza solo con casos de uso de bajo riesgo y no sensibles, e integra la IA agéntica en el modelo de seguridad existente en vez de tratarla como un experimento.

Como informó CSO Online, las agencias enfatizaron que la aplicación estricta del principio de menor privilegio es fundamental para la IA agéntica — señalando el riesgo de privilegios como la principal preocupación. Esa frase es un problema para la mayoría de las empresas. El Informe de Perspectivas Kiteworks 2026 reveló que el 63% de las organizaciones no pueden imponer limitaciones de propósito a los agentes de IA, el 60% no puede terminar rápidamente un agente que se comporta de forma indebida y el 55% no puede aislar los sistemas de IA del acceso general a la red. Esos son exactamente los controles que ahora exige la recomendación — y los convierte de una brecha respaldada por la investigación en una brecha de cumplimiento.

5 conclusiones clave

1. La recomendación conjunta de Five Eyes eleva el estándar para la IA agéntica.

Seis agencias nacionales de ciberseguridad — CISA, NSA, ASD ACSC de Australia, el Canadian Centre for Cyber Security, el NCSC del Reino Unido y el NCSC de Nueva Zelanda — publicaron conjuntamente la Adopción Cuidadosa de Servicios de IA Agéntica. Seis agencias no coordinan una guía a la ligera. El efecto práctico: la «mejor práctica» se convierte casi de inmediato en «práctica esperada». Los auditores internos la citan. Los reguladores la mencionan. Los abogados de los demandantes la adjuntan a solicitudes de descubrimiento. La brecha de gobernanza de IA que documenta ahora es una brecha de cumplimiento.

2. El aumento de privilegios es el riesgo principal.

La recomendación sitúa la aplicación de menor privilegio, los inventarios de capacidades y el acceso a datos estrictamente delimitado en la cima del conjunto de controles para IA agéntica. Esto es un problema para la mayoría de las empresas: el aumento de privilegios es precisamente lo que suelen generar las implementaciones de IA agéntica. El Informe de Perspectivas Kiteworks 2026 reveló que el 63% de las organizaciones no pueden imponer limitaciones de propósito a los agentes de IA — el control exacto que ahora espera la recomendación. Una brecha respaldada por la investigación ahora es un hallazgo de auditoría esperando ser documentado.

3. La auditoría continua ya no es opcional.

Se espera que los operadores mantengan la trazabilidad de cada decisión y acción que realiza un agente. El Informe de Perspectivas Kiteworks 2026 reveló que el 33% de las organizaciones carecen de registros de auditoría con calidad probatoria y el 61% opera con registros fragmentados que no son útiles. Un regulador que solicite pruebas de que un agente específico no accedió a un registro concreto en una fecha determinada no aceptará «el prompt del sistema decía que no debía hacerlo». La categoría de rendición de cuentas es donde la mayoría de los programas fracasan.

4. Cinco categorías de riesgo ahora definen la seguridad de la IA agéntica.

Privilegios, diseño y configuración, comportamiento, estructura y rendición de cuentas son el nuevo marco. Cada una corresponde a una pregunta que hará un auditor: ¿Quién autorizó esto? ¿A qué accedió el agente? ¿Puedes mostrar el registro? ¿Puedes explicar la decisión? Si la respuesta a alguna de estas es «no estamos seguros», el programa no cumple con el estándar que acaba de establecer la recomendación. La categoría de rendición de cuentas es la más difícil de adaptar y la más importante de hacer bien.

5. La capa de datos es donde esto se vuelve real.

Los prompts del sistema son instrucciones, no controles. Los límites en tiempo de ejecución operan en el host, no en los datos. Ambos pueden ser eludidos. Solo la aplicación en la capa de datos — controles de acceso basados en atributos independientes del modelo, registros de auditoría a prueba de manipulaciones e identidad criptográfica — genera pruebas que los reguladores aceptarán después de que el modelo haya sido actualizado o retirado.

Confías en que tu organización es segura. Pero ¿puedes demostrarlo?

Leer ahora

Cinco categorías de riesgo que definirán los programas de IA agéntica

La guía conjunta organiza el riesgo de la IA agéntica en cinco categorías, como cubrió CyberScoop. Cada una corresponde directamente a preguntas que hará un auditor, regulador o perito de la parte demandante.

Riesgos de privilegios. Otorgar demasiado acceso a los agentes convierte una sola vulnerabilidad en una brecha de gran alcance. La recomendación exige inventarios de capacidades, permisos delimitados e identidad criptográfica verificada por agente.

Riesgos de diseño y configuración. Una mala configuración crea brechas de seguridad antes de que el sistema entre en funcionamiento. El modelado de amenazas, una arquitectura segura por diseño y la validación de la configuración deben realizarse antes de la implementación.

Riesgos de comportamiento. Los agentes persiguen objetivos de formas que sus diseñadores nunca previeron. La desalineación de objetivos y el comportamiento engañoso se mencionan explícitamente — la recomendación no pretende que la inyección de prompts esté resuelta.

Riesgos estructurales. Las redes de agentes interconectados provocan fallos en cascada. Cuando la salida comprometida de un agente se convierte en la entrada de otro, el radio de impacto se multiplica. El 55% de las organizaciones que no pueden aislar los sistemas de IA del acceso general a la red no tienen forma práctica de limitar esta categoría de riesgo.

Riesgos de rendición de cuentas. Decisiones a través de procesos opacos, registros difíciles de analizar y cadenas de acciones que no pueden reconstruirse a posteriori. Aquí es donde la mayoría de los programas fracasan. También es la categoría más difícil de adaptar una vez que los agentes ya están en producción.

Por qué los prompts del sistema y los límites en tiempo de ejecución no pasarán una auditoría

La guía conjunta exige que la IA agéntica se integre en los marcos existentes de confianza cero, defensa en profundidad y menor privilegio. Los prompts del sistema son instrucciones, no controles. Los límites en tiempo de ejecución operan en el host, no en los datos. Ambos pueden ser eludidos mediante inyección indirecta de prompts, actualizaciones del modelo o un adversario que controle las entradas que procesa el agente. La investigación fundamental sobre la inyección indirecta de prompts demostró hace años que instrucciones invisibles ocultas en el contenido recuperado pueden secuestrar aplicaciones integradas con LLM. El problema no se ha resuelto y varias grandes empresas de IA han admitido públicamente que puede que nunca se resuelva por completo.

El problema de la rendición de cuentas agrava esto. Cuando un modelo se actualiza, retira o reemplaza — lo que ocurre con frecuencia — la pista de auditoría vinculada a ese modelo desaparece. Un regulador dentro de tres años que solicite pruebas sobre una acción específica de un agente no aceptará «el prompt del sistema decía que no debía hacerlo». Los controles en la capa del modelo no pueden generar pruebas defendibles en auditoría. Los controles en la capa de ejecución no pueden imponer políticas de manejo de datos. La única capa que satisface tanto a la recomendación como a un auditor posterior es la capa de datos — donde cada decisión de acceso queda registrada, cada autorización se verifica y cada acción se atribuye a una sesión autorizada por una persona.

Dónde está hoy la brecha de contención

Los cinco controles de contención que la recomendación exige implícitamente se corresponden directamente con las brechas medidas en el Informe de Perspectivas Kiteworks 2026:

Vinculación de propósito. El 63% no puede imponer limitaciones de propósito a los agentes de IA. El requisito de menor privilegio de la recomendación asume que sí puedes.

Capacidad de kill switch. El 60% no puede terminar rápidamente un agente que se comporta de forma indebida. La guía de intervención humana de la recomendación asume una capacidad real de detener la acción.

Aislamiento de red. El 55% no puede aislar los sistemas de IA del acceso general a la red. Sin aislamiento, la categoría de riesgo estructural — fallos en cascada entre agentes interconectados — no puede limitarse.

Validación de entradas. La mayoría no puede validar las entradas de IA. La inyección indirecta de prompts sobrevive a cualquier otro control si no se validan las entradas.

Monitoreo continuo. Aproximadamente dos de cada cinco organizaciones no monitorean de forma continua la actividad de IA. El requisito de trazabilidad de la recomendación es imposible sin ello.

Estos no son fallos de productos puntuales. Son fallos de arquitectura de gobernanza — la ausencia de un lugar unificado donde se pueda imponer y demostrar el acceso, la identidad, la política y la auditoría de los agentes de IA.

Arquitectura antes que aspiraciones: dónde debe vivir la gobernanza de la IA agéntica

La respuesta arquitectónica a la recomendación conjunta es la gobernanza en la capa de datos, independiente del modelo y del entorno de ejecución. El modelo puede actualizarse, verse comprometido o reemplazarse. El entorno de ejecución puede ser eludido. La capa de datos es la única donde se pueden garantizar las decisiones de acceso, la verificación de identidad, la aplicación de políticas y el registro a prueba de manipulaciones en cada interacción de agente — sin importar qué modelo esté en funcionamiento, qué prompt se procese o qué marco de agente se utilice.

Kiteworks Secure MCP Server y AI Data Gateway implementan este patrón: cada solicitud de agente se autentica mediante OAuth 2.0, se evalúa según la política ABAC en el Data Policy Engine de Kiteworks, se cifra con criptografía validada FIPS 140-3 y se registra en una pista de auditoría a prueba de manipulaciones que alimenta la infraestructura existente de SIEM y cumplimiento. Kiteworks Private Data Network extiende esa gobernanza a correo electrónico, uso compartido de archivos, MFT, SFTP, formularios web y APIs bajo un solo motor de políticas y un registro de auditoría consolidado.

Menos de la mitad de las empresas hoy cuentan con una puerta de enlace de datos IA centralizada — la base arquitectónica que ahora exige de facto la recomendación. Los controles que viven por encima de esa capa pueden ser discutidos. La capa de datos no.

Qué deben hacer las organizaciones antes de la próxima auditoría

Primero, inventaría cada agente. Crea un mapa completo de todos los sistemas de IA agéntica que operan actualmente — copilotos internos, agentes SaaS integrados, pilotos departamentales, herramientas de terceros. La mayoría de las organizaciones descubrirán IA oculta que no sabían que existía. Hasta que el inventario esté completo, ningún otro control importa.

Segundo, realiza un análisis de distancia. Compara las capacidades actuales con las cinco categorías de riesgo e identifica qué controles fallarían una auditoría hoy. La mayoría de las organizaciones descubrirán que no pueden imponer limitaciones de propósito y carecen de una vía clara de terminación. Ese resultado se convierte en la hoja de ruta para la IA agéntica.

Tercero, aplica el principio de menor privilegio en la capa de datos. Las decisiones de autorización para el acceso de agentes de IA a datos confidenciales deben ocurrir en la capa de datos, con controles de acceso basados en atributos que respeten la clasificación de datos, la jurisdicción y el usuario humano en cuyo nombre actúa el agente. Una puerta de enlace de datos IA centralizada es la base arquitectónica que ahora exige la recomendación.

Cuarto, crea registros de auditoría a prueba de manipulaciones para cada acción de agente. Cada interacción de agente con datos regulados debe registrarse con suficiente detalle para reconstruir quién autorizó qué, cuándo y por qué — a lo largo de todo el ciclo de vida de los datos, no solo del modelo.

Quinto, trata la recomendación conjunta como el punto de partida, no el techo. Las organizaciones bajo presión de la Ley de IA de la UE están notablemente adelantadas en todos los controles clave de IA. La recomendación elevará el estándar a nivel global. Adelántate antes de que se convierta en norma — quienes esperen a la aplicación regional tendrán que adaptar la gobernanza bajo presión de plazos.

Para saber más sobre cómo minimizar el riesgo de la IA agéntica, agenda una demo personalizada hoy mismo.

Preguntas frecuentes

Aplica las cinco categorías de riesgo: privilegios, diseño y configuración, comportamiento, estructura y rendición de cuentas. Exige un inventario de capacidades, delimitación de privilegios, monitoreo continuo, puntos de control con intervención humana para acciones sensibles y registros de auditoría a prueba de manipulaciones antes de aprobar la implementación. La mayoría de las implementaciones de IA agéntica para atención al cliente fallarán en uno o más de estos puntos en la primera revisión — identificar esas brechas antes de la implementación es el valor del marco de la recomendación.

La defensa en auditoría para el acceso de agentes de IA a información de salud protegida ahora cuenta con un estándar federal explícito. El 63% de las organizaciones no puede imponer limitaciones de propósito a los agentes de IA — un control que exige de hecho el estándar de mínimo necesario de HIPAA. La aplicación de ABAC en la capa de datos y los registros de auditoría a prueba de manipulaciones cumplen tanto con HIPAA como con la recomendación conjunta al mismo tiempo.

Las familias AC, AU e IA de CMMC Nivel 2 requieren autorización aplicada para agentes de IA que acceden a información no clasificada controlada (CUI). Solo el 46% de las organizaciones de la Base Industrial de Defensa se considera preparada según el Informe de Preparación CMMC 2025 de Kiteworks, y la recomendación conjunta añade controles de IA agéntica adicionales. La gobernanza en la capa de datos con aplicación ABAC cumple simultáneamente con las tres familias de control y genera la evidencia que requieren los evaluadores.

Sí. La recomendación aplica a cualquier IA agéntica que pueda planificar, decidir o actuar de forma autónoma — lo que incluye a Copilot cuando se usa con permisos amplios. Menos de la mitad de las empresas cuentan con una puerta de enlace de datos IA centralizada. Sin ella, las implementaciones de Copilot no pueden demostrar los controles de menor privilegio y trazabilidad que ahora exige la recomendación para cualquier sistema de IA agéntica.

Empieza con un inventario completo de cada sistema de IA agéntica en el entorno y luego compara los controles con las cinco categorías de riesgo de la recomendación de CISA. Los dos hallazgos de auditoría más comunes son la incapacidad de imponer limitaciones de propósito y la falta de capacidad de kill switch. Corregir ambos requiere gobernanza en la capa de datos — aplicación ABAC, cifrado FIPS 140-3 y registros de auditoría a prueba de manipulaciones — no límites en la capa del modelo.

Recursos adicionales

  • Artículo del Blog
    Estrategias Zero‑Trust para una protección de privacidad de IA asequible
  • Artículo del Blog
    Cómo el 77% de las organizaciones falla en la seguridad de datos de IA
  • eBook
    Brecha de gobernanza de IA: por qué el 91% de las pequeñas empresas juegan a la ruleta rusa con la seguridad de datos en 2025
  • Artículo del Blog
    No existe «–dangerously-skip-permissions» para tus datos
  • Artículo del Blog
    Los reguladores ya no preguntan si tienes una política de IA. Quieren pruebas de que funciona.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks