Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Cuando el agente se convierte en el mejor aliado del atacante

Cuando el agente se convierte en el mejor aliado del atacante

by Patrick Spencer updated mayo 28, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 7 minutes

Una campaña reportada por CSO Online marca un cambio realmente novedoso en el panorama de amenazas de la cadena de suministro. Los atacantes sembraron paquetes maliciosos de segunda capa en npm, PyPI y Cargo, haciéndose pasar por utilidades de criptomonedas. Los objetivos no eran desarrolladores humanos instalando dependencias casualmente, sino agentes de codificación de IA que escanean los registros de manera autónoma e incorporan componentes en proyectos sin que una persona revise cada selección.

La campaña evolucionó con el tiempo. Las primeras cargas útiles robaban credenciales. Las siguientes versiones implementaron claves SSH controladas por los atacantes para acceso remoto directo, archivaron y exfiltraron repositorios de código completos y, finalmente, enviaron aplicaciones ejecutables únicas compiladas para evadir la detección. Cada evolución remarca lo mismo: cuando el consumidor del paquete es un agente de IA, solo tienes que convencer al agente. El grafo de dependencias ya no es algo que los desarrolladores gestionan, sino que los agentes modifican de forma autónoma, y los atacantes lo saben.

5 conclusiones clave

1. Los rieles de dependencias ahora son la superficie de ataque de la IA.

Investigadores documentaron paquetes como aes-create-ipheriv, jito-proper-excutor y @validate-sdk/v2 sembrados deliberadamente en npm, PyPI y Cargo para ser descubiertos e incorporados por agentes de codificación de IA. No es una amenaza hipotética, es una operación en marcha que redefine cómo debe gobernarse cada agente de IA en producción. La superficie de brecha en la cadena de suministro ha pasado del perímetro al grafo de dependencias.

2. El agente hace el trabajo del atacante.

Las herramientas de codificación de IA escanean de forma autónoma los registros de paquetes y modifican sus propios grafos de dependencias. Sin humanos en el proceso, no hay revisión de lo que se acaba de instalar. El 63% de las organizaciones no pueden limitar el propósito de los agentes de IA y el 60% no puede terminar rápidamente un agente que se comporta mal, según el Pronóstico Kiteworks 2026. Una dependencia envenenada atraviesa esas brechas sin resistencia y sin dejar un rastro que la mayoría de las organizaciones pueda reconstruir.

3. Las cargas útiles evolucionan rápido.

Lo que empezó como robo de credenciales escaló a claves SSH controladas por atacantes, exfiltración completa de repositorios y aplicaciones ejecutables únicas diseñadas para evadir la detección. Cada evolución remarca lo mismo: cuando el consumidor del paquete es un agente de IA, solo tienes que convencer al agente, no al desarrollador. La tasa de conversión no se mide en porcentajes, sino en cuántos agentes descargaron el paquete antes de que el registro lo eliminara.

4. Los controles a nivel de modelo no resuelven esto.

Un modelo ajustado para seguridad igual incorpora cualquier dependencia que su herramienta obtenga. El paquete malicioso se ejecuta en el entorno del agente, implementa claves SSH y exfiltra código sin pasar nunca un prompt por el modelo. La vulnerabilidad está por debajo del modelo, en la ejecución de herramientas y la capa de acceso a datos, justo donde el entrenamiento de alineación, el filtrado de prompts y la moderación de contenido no llegan.

5. La solución es la gobernanza en la capa de datos.

Autentica cada agente. Autoriza cada solicitud de datos con controles de acceso basados en atributos. Cifra con FIPS 140-3. Registra cada acción en una bitácora de auditoría a prueba de manipulaciones. El agente no puede exfiltrar lo que nunca estuvo autorizado a ver, sin importar qué dependencia envenenada haya instalado. Cuando el modelo está comprometido, la capa de datos sigue aplicando la política.

Confías en que tu organización es segura. Pero ¿puedes verificarlo?

Léelo ahora

La adopción de IA agentica supera la gobernanza de IA agentica

Todas las organizaciones encuestadas en el Pronóstico Kiteworks 2026 tienen IA agentica en su hoja de ruta, sin excepciones. La adopción es universal. La gobernanza no. El 63% de las organizaciones no puede limitar el propósito de los agentes de IA, el 60% no puede terminar rápidamente un agente que se comporta mal y el 55% no puede aislar los sistemas de IA de la red general. El sector público está peor: el 90% carece de vinculación de propósito, el 76% no tiene kill switch y el 33% no cuenta con controles dedicados para IA.

Los mismos datos muestran dónde falla primero esto. El 27% de las organizaciones planea automatización MFT impulsada por IA, pero la adopción de seguridad MFT solo llega al 46%. La IA se está añadiendo a canales que ya tienen controles insuficientes. Si sumas una dependencia envenenada, el agente se convierte en una herramienta de exfiltración perfectamente autorizada con credenciales válidas y un evento de auditoría legítimo.

Por qué los controles a nivel de modelo no te ayudan aquí

Un modelo perfectamente alineado puede seguir funcionando sobre una capa de herramientas que acaba de instalar aes-create-ipheriv porque el agente creyó necesitar una utilidad criptográfica. El modelo nunca ve la clave SSH desplegada. El modelo nunca sabe que el repositorio está siendo archivado y exfiltrado. Cuando se le pregunta al modelo qué pasó, el daño ya ocurrió en un lugar donde nunca tuvo visibilidad.

El estudio Agents of Chaos, una colaboración de 38 autores de Northeastern, Harvard, MIT, Stanford, CMU y otras instituciones, documentó tres déficits estructurales que ahora explota la campaña de siembra de paquetes: sin modelo de partes interesadas (los agentes no distinguen entre operadores legítimos y atacantes), sin modelo propio (los agentes toman acciones irreversibles sin reconocer cuando exceden su competencia) y sin superficie de deliberación privada (los agentes filtran información sensible por canales incorrectos). Cada uno de esos déficits es relevante cuando el agente es el punto de entrada.

El grafo de dependencias se ha convertido en el nuevo correo de phishing

Durante años, el phishing fue la vía preferida de los atacantes para entrar en la empresa: convencer a una persona de hacer clic, abrir o ingresar credenciales. El humano en el proceso se convirtió en una superficie de control: capacitación en concientización, filtrado de correo, MFA, acceso condicional. El agente de codificación de IA elimina a la persona del proceso. Cuando el agente decide qué instalar, el registro de dependencias se vuelve el equivalente a una bandeja de entrada: un flujo constante de entradas que el agente evalúa sin capacitación, sin MFA y sin acceso condicional.

Existe un riesgo de segundo orden que agrava el primero. Los agentes de codificación de IA no solo instalan paquetes, también generan código que depende de esos paquetes. Cuando un agente ha estado expuesto a un paquete malicioso, puede sugerirlo a otros desarrolladores, propagando el compromiso entre equipos que nunca interactuaron directamente con el registro. La línea entre «el agente instaló algo malicioso» y «el agente recomendó algo malicioso a una persona que luego lo instaló» es más delgada de lo que la mayoría de los programas de seguridad pueden manejar.

La brecha de contención que la mayoría de los consejos no saben que tienen

El 54% de los consejos directivos no participa en la gobernanza de IA, y esas organizaciones están entre 26 y 28 puntos por detrás en cada métrica de madurez de IA según el Pronóstico Kiteworks 2026. La participación del consejo es el predictor más fuerte de madurez en gobernanza de IA, más que la industria, la región o el tamaño. La brecha se nota especialmente en los controles de contención. Las organizaciones han invertido en observar lo que hace la IA (humano en el proceso, monitoreo continuo), pero no en detenerla.

La campaña de paquetes envenenados expone el costo de ese desequilibrio. Una organización que puede monitorear perfectamente a sus agentes pero no puede terminarlos ha documentado su propia brecha. La pregunta a nivel de consejo para el próximo trimestre no es «¿estamos usando IA de forma segura?», sino «¿podemos detener un agente comprometido en menos de cinco minutos, con evidencia para mostrarle a un regulador después?»

Cómo se ve realmente la gobernanza en la capa de datos

Los controles no pueden estar donde vive el modelo, tienen que estar donde viven los datos. Cuando un agente de IA accede a datos sensibles, debe encontrarse con verificación criptográfica de identidad, evaluación de políticas de acceso basadas en atributos, cifrado FIPS 140-3 y registros de auditoría a prueba de manipulaciones en cada interacción. Un agente comprometido por una dependencia envenenada no puede acceder a datos que nunca estuvo autorizado a ver, no puede exfiltrar más allá del alcance permitido y no puede operar sin dejar un rastro de evidencia.

Kiteworks Secure MCP Server y la puerta de enlace de datos IA implementan este patrón: cada solicitud de agente se autentica, se autoriza según la política ABAC, se cifra con FIPS 140-3 y se registra en tiempo real en SIEM. La Red de Contenido Privado de Kiteworks extiende esa gobernanza a correo electrónico, uso compartido de archivos, MFT, SFTP, formularios web y APIs: un solo motor de políticas, un registro de auditoría consolidado. El 33% de las organizaciones carece de registros de auditoría con calidad probatoria y el 61% opera infraestructuras fragmentadas de intercambio de datos. Cuando la próxima campaña de paquetes envenenados apunte a tus agentes, los reguladores no preguntarán «¿cómo entró el paquete?», sino «¿qué hizo el agente una vez comprometido y puedes demostrarlo?»

Qué deben hacer los líderes de seguridad este trimestre

Primero, haz un inventario de cada agente de IA que toque código o datos. No puedes gobernar lo que no has catalogado. El 100% de las organizaciones tiene IA agentica en su hoja de ruta: el problema de inventario solo crecerá.

Segundo, trata los entornos de ejecución de los agentes como infraestructura privilegiada. Los mismos controles de acceso, allowlisting y monitoreo aplicados a cuentas de administrador deben aplicarse a los agentes de IA. Restringe qué agentes pueden ejecutar qué herramientas. Aplica listas permitidas de dependencias. Exige verificación de firma de código en los paquetes que instala un agente.

Tercero, implementa gobernanza en la capa de datos independiente del modelo. Sea cual sea el modelo que usen tus agentes, los datos a los que acceden deben pasar por la aplicación de ABAC, cifrado FIPS 140-3 y registros de auditoría. El 63% de las organizaciones no puede limitar el propósito de los agentes de IA: cierra esa brecha antes de que la próxima campaña de cadena de suministro la ponga a prueba.

Cuarto, construye un kill switch y pruébalo. El 60% de las organizaciones no puede terminar rápidamente un agente que se comporta mal. Desarrolla la capacidad, documenta el proceso, pruébalo en simulaciones y asigna una persona responsable de activarlo. Es un requisito previo para cualquier sistema que maneje datos regulados.

Quinto, haz pruebas de red team a tus agentes de IA igual que a tu red. Los investigadores de Agents of Chaos documentaron al menos 10 brechas de seguridad significativas en 11 casos de estudio logradas solo mediante conversación, sin herramientas sofisticadas. Realiza ejercicios adversariales contra tus propios agentes. Descubre los fallos antes de que lo haga alguien más.

Para saber más sobre cómo proteger datos sensibles de ataques originados por IA, agenda una demo personalizada hoy.

Preguntas frecuentes

Si tus agentes de codificación IA obtienen dependencias de npm, PyPI o Cargo de forma autónoma, estás directamente expuesto. La campaña apunta a los agentes precisamente porque instalan paquetes sin revisión humana. El 60% de las organizaciones no puede terminar rápidamente un agente de IA que se comporta mal según el Pronóstico Kiteworks 2026, lo que significa que si se activa una dependencia envenenada, la contención es el primer punto de falla. Aplica de inmediato listas permitidas de dependencias y controles de acceso en la capa de datos.

Los controles a nivel de modelo operan por encima de la capa de ejecución de herramientas, que es donde ocurre este ataque. El paquete malicioso se ejecuta en el entorno del agente sin pasar ningún prompt por el modelo. La gobernanza en la capa de datos —aplicación de ABAC, cifrado FIPS 140-3, registros de auditoría a prueba de manipulaciones— sobrevive a la brecha en la capa de herramientas porque está por debajo del modelo. El 33% de las organizaciones carece de registros de auditoría con calidad probatoria, la brecha fundamental que explota esta clase de ataques.

Los examinadores querrán ver identidad autenticada del agente, aplicación de políticas ABAC, cifrado FIPS 140-3 y registros de auditoría a prueba de manipulaciones cubriendo cada interacción agente-datos. El 33% de las organizaciones carece de registros de auditoría con calidad probatoria según el Pronóstico Kiteworks 2026. Sin registros unificados en todos los canales que toca un agente, los hallazgos en los exámenes son casi inevitables.

MFT es el canal más expuesto aquí. El 27% de las organizaciones planea automatización MFT impulsada por IA, pero solo el 46% tiene seguridad MFT adecuada según el Pronóstico Kiteworks 2026. Cierra primero la brecha de gobernanza MFT —acceso de agentes limitado por propósito, aplicación de ABAC y registros a prueba de manipulaciones— antes de extender los agentes a la capa de datos de proveedores.

Sí. Las familias AC, AU e IR de CMMC cubren la actividad de los agentes IA por extensión. El 63% de las organizaciones no puede limitar el propósito de los agentes de IA según el Pronóstico Kiteworks 2026. Un compromiso que exfiltre CUI a través de un agente con gobernanza insuficiente es un riesgo bajo la False Claims Act si la gobernanza de agentes IA fue certificada pero no aplicada. Implementa gobernanza en la capa de datos con ABAC y registros de auditoría a prueba de manipulaciones antes de la evaluación.

Recursos adicionales

  • Artículo del Blog
    Estrategias Zero‑Trust para protección asequible de la privacidad en IA
  • Artículo del Blog
    Cómo el 77% de las organizaciones falla en la seguridad de datos IA
  • eBook
    Brecha de gobernanza IA: por qué el 91% de las pequeñas empresas juegan a la ruleta rusa con la seguridad de datos en 2025
  • Artículo del Blog
    No existe «–dangerously-skip-permissions» para tus datos
  • Artículo del Blog
    Los reguladores ya no preguntan si tienes una política de IA. Quieren pruebas de que funciona.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks