Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > CISA acaba de convertir la gobernanza de IA agentica en un problema de gestión de identidades y accesos (IAM)

CISA acaba de convertir la gobernanza de IA agentica en un problema de gestión de identidades y accesos (IAM)

by Danielle Barbour updated mayo 28, 2026 Cumplimiento Regulatorio
Reading Time: 8 minutes

El 1 de mayo de 2026, CISA y las agencias de ciberseguridad de los Five Eyes publicaron «Adopción cuidadosa de servicios de IA agentica»: dejar de tratar la IA agentica como una función ingeniosa de software y empezar a tratarla como una identidad privilegiada. La guía enumera cinco categorías de riesgo: privilegio, diseño y configuración, comportamiento, estructural y responsabilidad. La respuesta recomendada se parece menos a un documento de seguridad de IA y más a una guía de refuerzo de IAM.

Como informó CSO Online, el aviso enmarca la IA agentica como un sistema que puede ser manipulado mediante inyección de prompts y mal uso de herramientas, requiriendo gobernanza «similar a cuentas de servicio de alto riesgo». Cada agente recibe un nombre. Cada acción queda registrada. Cada decisión de autorización se evalúa según una política que no confía en la intención del agente.

Para el CISO que debe operacionalizar esto, la pregunta práctica es dónde reside la aplicación de controles. Si la respuesta es «en cada aplicación que usa un agente de IA», esa es la respuesta equivocada. La aplicación distribuida escala hasta que colapsa bajo auditoría. La guía de CISA asume implícitamente un punto centralizado de control: un lugar donde cada solicitud de IA agentica pasa por un único motor de políticas antes de llegar a los datos.

5 conclusiones clave

1. Los reguladores reclasificaron los agentes de IA como identidades.

El aviso conjunto liderado por CISA trata la IA agentica como una nueva clase de identidad que puede ser manipulada mediante inyección de prompts y mal uso de herramientas: la gobernanza debe reflejar la administración de acceso privilegiado, no la seguridad de aplicaciones. Esta reclasificación cambia la titularidad del problema: la seguridad de la IA es de ciencia de datos; la identidad es del CISO. Ahora la organización de seguridad hereda la obligación y la responsabilidad. Redactar políticas de IA ya no es el entregable. Producir evidencia de auditoría de IA sí lo es.

2. El principio de mínimo privilegio es el nuevo estándar.

Las agencias exigen delimitación estricta de roles, monitoreo continuo y registros de auditoría para cada acción de agente. Confiar implícitamente en sistemas de IA ya no es defendible. Un agente que opera en nombre de un asistente legal no puede acceder a registros reservados para el asesor general, sin importar cuán persuasivo sea el prompt. La política que evalúa la solicitud del agente —no la intención declarada del agente— es el único ancla de confianza que sobrevive a la inyección de prompts.

3. La brecha de control es estructural.

Solo el 43% de las organizaciones cuentan con una puerta de enlace de datos IA centralizada. El 57% restante está fragmentado: 27% tiene controles distribuidos con políticas, 19% controles parciales o ad hoc, 7% sin controles de gobernanza de IA dedicados. Los requisitos del aviso —mínimo privilegio, monitoreo continuo, autorización registrada, revisión formal de riesgos— son funciones de la puerta de enlace. Los controles distribuidos funcionan para un solo piloto. Colapsan bajo auditoría cuando una organización ejecuta múltiples flujos de trabajo agenticos en distintas unidades de negocio.

4. Los registros de auditoría ahora son evidencia, no solo telemetría.

Cuando un agente de IA se ve comprometido, la pregunta no es «¿qué hizo?» sino «¿puedes probar a qué accedió, en nombre de quién y bajo qué política?» El 33% de las organizaciones carece de registros de auditoría de calidad probatoria según el pronóstico Kiteworks 2026. Esa brecha marca la diferencia entre una postura de cumplimiento defendible y una responsabilidad expuesta. Los reguladores formulan preguntas de auditoría en tiempo real: quieren demostración, no reconstrucción.

5. La solución es arquitectónica, no procedimental.

Los documentos de políticas no satisfacen a un auditor ni contienen a un agente comprometido. El acceso a datos de confianza cero —aplicado en cada solicitud, independiente del modelo— es la única respuesta duradera. Cuando el agente se ve comprometido, lo único que limita el alcance del daño es la política que rechaza la solicitud indebida. Todo lo demás es recuperación. La gobernanza debe estar en el flujo de datos, no en una presentación.

¿Qué estándares de cumplimiento de datos importan?

Read Now

¿Qué exige realmente «agente como identidad»?

Las recomendaciones centrales del aviso se desglosan en cuatro requisitos operativos, asumiendo que el agente de IA es un actor hostil por defecto que debe ganarse cada solicitud de datos:

Roles de alcance limitado. Los agentes de IA heredan los permisos del usuario y no pueden superarlos. El techo de autorización del agente es el del usuario, no la ambición del modelo.

Monitoreo continuo. Cada acción de agente —no solo las sospechosas— genera un evento registrado. La detección es el desvío de comportamiento a lo largo del tiempo, no anomalías puntuales.

Decisiones de autorización registradas. Cuando el agente solicita datos, el motor de políticas evalúa y registra la decisión. Aprobada o denegada, la decisión es evidencia.

Evaluaciones formales de riesgos antes de la conexión. Antes de que un agente se conecte a datos de producción, los equipos de gobernanza requieren una revisión de riesgos documentada alineada con los flujos de trabajo de administración de acceso privilegiado.

El patrón técnico es confianza cero aplicada a un nuevo tipo de principal. Lo novedoso es el principal: un agente que puede ser manipulado socialmente a través de su canal de entrada y opera más rápido de lo que cualquier revisor humano puede intervenir. El estudio Agents of Chaos de febrero de 2026 —38 autores de Northeastern, MIT, Harvard, Stanford, Carnegie Mellon y otras instituciones— documentó cumplimiento no autorizado con no propietarios, divulgación de información confidencial, acciones destructivas a nivel de sistema y suplantación de identidad en entornos reales. La guía de los Five Eyes traduce esos hallazgos en un conjunto de controles básicos.

La brecha de la puerta de enlace centralizada

La mayoría de las organizaciones no puede cumplir con las expectativas del aviso porque carece de un único punto de control donde se aplique el acceso de IA. Solo el 43% de las organizaciones tiene hoy una puerta de enlace de datos IA centralizada. El 57% restante está fragmentado de formas que importan en auditoría: los controles distribuidos funcionan para un solo piloto copilot; colapsan cuando una organización ejecuta cinco o diez flujos de trabajo agenticos en distintas unidades de negocio, cada una con su propia interpretación de políticas y su propia superficie de auditoría.

El pronóstico Kiteworks 2026 enmarca esto como una deficiencia en el plano de control. La IA no falla porque el modelo se comporte mal; falla porque la infraestructura circundante —autenticación, aplicación de políticas, registro de auditoría, integración con SIEM— nunca se diseñó para gobernar una identidad no humana que realiza miles de solicitudes por segundo. El aviso de CISA eleva el estándar justo cuando la mayoría de las organizaciones se da cuenta de que no tiene la arquitectura para cumplirlo.

Por qué la inyección de prompts cambia el modelo de amenazas

El IAM tradicional asume que el principal es consistente. Una cuenta de servicio no puede ser convencida de hacer algo para lo que no está autorizada. Un agente de IA sí. OWASP sitúa la inyección de prompts en la cima de su LLM Top 10, y la investigación académica documenta tasas de éxito entre el 24% y el 95% en las principales familias de modelos. Un documento manipulado, un enlace malicioso en un correo, una página web alterada en un corpus RAG: cualquiera de estos puede engañar a un agente para operar fuera de su alcance previsto mientras aparenta cumplir completamente en la red.

No puedes confiar en la intención declarada del agente. Solo puedes confiar en la política que evalúa la solicitud del agente, y esa política debe operar de forma independiente a lo que el agente crea que está haciendo. Por eso la insistencia del aviso en decisiones de autorización registradas es tan relevante. Los registros no son solo evidencia forense tras una brecha. Son el historial que demuestra que el motor de políticas —no el agente— fue quien tomó la decisión. El monitoreo de comportamiento, en lugar de la detección basada en firmas, sigue la misma lógica: un agente comprometido no parece roto, parece productivo. El patrón a lo largo de las solicitudes es la señal.

El registro de auditoría es la evidencia

El aviso traslada los registros de auditoría de la categoría operativa a la probatoria. Según el artículo 30 del GDPR, las organizaciones deben documentar las actividades de procesamiento. Según el artículo 32, deben demostrar medidas técnicas y organizativas adecuadas. Según la Ley de IA de la UE, los sistemas de IA de alto riesgo requieren documentación detallada y evaluaciones de conformidad. Cada obligación asume un registro de auditoría que capture qué hicieron los sistemas de IA con datos personales, cuándo y bajo la autorización de quién.

El 33% de las organizaciones carece de registros de auditoría de calidad probatoria según el pronóstico Kiteworks 2026. Una herramienta DSPM que alertó del riesgo hace tres meses y fue ignorada se convierte en la prueba del demandante. Un registro de auditoría en tiempo real que documenta la solicitud bloqueada del agente se convierte en la prueba de la defensa. El cambio de telemetría a evidencia es sutil pero relevante: la telemetría es información que recopilas por si acaso; la evidencia es información que recopilas porque la necesitarás. Los reguladores quieren demostración bajo demanda desde un registro inviolable, no reconstrucción a posteriori.

El enfoque Kiteworks: acceso a datos de confianza cero para agentes de IA

Kiteworks trata cada solicitud de IA —ya sea de un asistente interactivo a través de Kiteworks Secure MCP Server o de un pipeline RAG mediante la puerta de enlace de datos IA— como una solicitud no confiable que debe ser autenticada, autorizada según la política y registrada antes de proporcionar cualquier dato. Sin acceso implícito. Ninguna identidad de agente que pase por alto el motor de políticas.

La autenticación OAuth 2.0 establece la sesión del agente, con tokens almacenados en el llavero del sistema operativo y nunca expuestos al modelo. El motor de políticas de datos de Kiteworks evalúa cada operación en tiempo real frente a controles de acceso basados en roles y atributos, asegurando que el agente hereda los permisos del usuario y no puede superarlos. La validación de rutas impide el acceso a archivos del sistema. El control de tasa bloquea la extracción masiva. Cada operación se registra en el registro de auditoría consolidado y en SIEM en tiempo real.

La Red de datos privados de Kiteworks extiende los principios de confianza cero a correo electrónico, uso compartido de archivos, MFT, SFTP, formularios web y APIs: un solo motor de políticas, un registro de auditoría consolidado, una arquitectura que gobierna los agentes de IA como identidades sin que el equipo de IA tenga que crear esa gobernanza desde cero.

Qué deben hacer las organizaciones antes del próximo aviso

Primero, inventaría los agentes. Cada agente de IA conectado a datos de producción es un principal: nombrado, asignado, con alcance definido y revisado trimestralmente. La mayoría de las organizaciones no puede responder «¿cuántos flujos de trabajo de IA agentica están en producción ahora mismo?» Esa pregunta ya tiene respuesta regulatoria.

Segundo, modela los agentes como identidades en IAM. Asigna roles de alcance limitado. Vincula los permisos del agente al usuario en cuyo nombre actúa. Solo el 43% de las organizaciones puede aplicar esta regla hoy mediante una puerta de enlace centralizada. El resto depende de políticas a nivel de aplicación que no se trasladan entre sistemas.

Tercero, instrumenta cada solicitud. Cada acción de agente —datos accedidos, decisión de política, marca de tiempo, contexto de usuario— debe quedar en un registro de auditoría consultable e integrado con SIEM. El seguimiento de acceso en tiempo real marca la diferencia entre un problema operativo de telemetría y uno probatorio.

Cuarto, exige revisión formal de riesgos antes de la conexión. Antes de que cualquier agente acceda a datos de producción, trátalo como una nueva cuenta de servicio privilegiada: evaluación de riesgos documentada, aprobación de seguridad, plan de reversión definido. El 84% de las organizaciones fuera de la presión de la Ley de IA de la UE no ha realizado red-teaming de IA: el grupo más propenso a omitir la revisión de riesgos previa a la conexión.

Quinto, prepárate para la inyección de prompts como amenaza base. Asume que el agente será manipulado socialmente. Diseña el motor de políticas para aplicar la autorización independientemente de lo que el agente afirme que intenta hacer. La detección proviene del desvío de comportamiento entre solicitudes, no de anomalías puntuales que parecen limpias de forma aislada.

Para saber más sobre la gobernanza de IA agentica, agenda una demo personalizada hoy.

Preguntas frecuentes

Ahora los auditores esperan evidencia de que los agentes de IA se gobiernan como identidades: roles de alcance limitado, decisiones de autorización registradas, monitoreo continuo. El 33% de las organizaciones carece de registros de auditoría de calidad probatoria según el pronóstico Kiteworks 2026. Sin ese registro de auditoría, las acciones del agente quedan sin fuente cuando se extraen en revisiones regulatorias o judiciales: una brecha que incumple tanto las expectativas de CISA como los estándares de auditoría sectoriales.

Los límites a nivel de prompt operan dentro del agente. El aviso exige controles fuera del agente, porque la inyección de prompts puede manipular cualquier defensa interna del modelo. Solo el 43% de las organizaciones cuenta con una puerta de enlace de datos IA centralizada según el pronóstico Kiteworks 2026. Un motor de políticas externo al agente marca la diferencia entre defensa en profundidad y un único punto de fallo que la inyección de prompts puede vulnerar directamente.

Los copilotos heredan los permisos del usuario, pero el aviso sigue exigiendo decisiones de autorización registradas, capacidades limitadas por alcance y registros de auditoría que distingan acciones de usuarios y de copilotos. El pronóstico Kiteworks 2026 señala esto como una brecha en el plano de control: Copilot gobierna el contenido de M365; los datos confidenciales externos y archivos compartidos con socios aún requieren aplicación independiente mediante una puerta de enlace de datos gobernada.

Los pilotos pasan a producción más rápido de lo que la gobernanza puede adaptarse. El 84% de las organizaciones fuera de la presión de la Ley de IA de la UE no ha realizado red-teaming de IA, y el aviso exige controles que los pilotos suelen omitir. Invertir en una puerta de enlace centralizada durante el piloto es más barato que adaptar la gobernanza de IA después de que los agentes estén conectados a datos de producción y generando hallazgos de cumplimiento.

Las familias AC, AU e IA de CMMC nivel 2 requieren autorización aplicada para cualquier sistema que acceda a CUI, incluidos los agentes de IA. Solo el 46% de las organizaciones DIB se considera preparada para CMMC según el informe de preparación de Kiteworks. La gobernanza a nivel de datos con aplicación ABAC cumple las tres familias de control a la vez, incluso para flujos de trabajo de IA agentica que tocan CUI.

Recursos adicionales

  • Artículo del Blog
    Estrategias Zero‑Trust para una protección de privacidad de IA asequible
  • Artículo del Blog
    Cómo el 77% de las organizaciones falla en la seguridad de datos de IA
  • eBook
    Brecha de gobernanza de IA: por qué el 91% de las pequeñas empresas juega a la ruleta rusa con la seguridad de datos en 2025
  • Artículo del Blog
    No existe «–dangerously-skip-permissions» para tus datos
  • Artículo del Blog
    Los reguladores ya no preguntan si tienes una política de IA. Quieren pruebas de que funciona.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks