Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > La crisis de identidad de la IA agentica: por qué las credenciales de máquina serán tu próximo vector de filtración

La crisis de identidad de la IA agentica: por qué las credenciales de máquina serán tu próximo vector de filtración

by Patrick Spencer updated mayo 20, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 10 minutes

Puntos clave

  1. Los agentes de IA obtienen credenciales con privilegios excesivos. Las empresas otorgan a las identidades de máquina un acceso amplio sin aplicar prácticas de higiene como la rotación o el principio de mínimo privilegio que sí se exigen a los humanos.
  2. Forrester predice una brecha importante para finales de 2026. La adopción de IA agentica supera la gobernanza, por lo que se espera que ocurra pronto un incidente público.
  3. La adopción llega al 100% mientras la gobernanza se queda atrás. Solo el 37% de las organizaciones aplican limitación de propósito y el 40% cuentan con interruptores de emergencia, a pesar de la implementación masiva de agentes de IA.
  4. Los agentes fallan solo con una conversación. Las investigaciones demuestran que la suplantación de identidad y la ingeniería social pueden comprometer por completo a los agentes sin necesidad de código o exploits técnicos.

Un investigador cambió su nombre visible en Discord para que coincidiera con el del propietario de un agente de IA. Al abrir un canal nuevo — uno donde el agente no tenía historial previo de interacción — el agente aceptó la identidad suplantada basándose únicamente en el nombre visible. Luego obedeció todas las instrucciones: eliminó todos los archivos de memoria persistente, modificó su propio nombre y reasignó el acceso administrativo. Compromiso total. Sin código de exploit. Sin vulnerabilidad. Solo una conversación.

El agente que eliminó su propia identidad

Este fue el Caso de Estudio #8 del estudio Agents of Chaos, un proyecto de investigación de febrero de 2026 con 20 investigadores de MIT, Harvard, Stanford, CMU y otras instituciones. El estudio implementó agentes de IA en entornos reales y documentó sistemáticamente cómo fallan. El hallazgo fue consistente: cualquier sistema de agentes que dependa de la identidad presentada en lugar de autenticación criptográfica sigue siendo vulnerable a ataques en los límites de sesión donde el contexto de confianza no se transfiere.

Ahora escala esa vulnerabilidad al entorno empresarial. Los resultados de la encuesta de SANS Institute de abril de 2026 destacaron la mala higiene de credenciales en medio de la rápida adopción de IA agentica, advirtiendo que la prisa por automatizar flujos de trabajo supera las protecciones básicas de identidad. La advertencia previa de Forrester — espera al menos una brecha pública provocada por IA agentica antes de que termine 2026 — enmarca esto como un evento inminente, no una preocupación teórica.

5 puntos clave

1. Los agentes de IA están recibiendo credenciales que nunca se darían a humanos.

Los hallazgos de SANS Institute revelan que la mala higiene de credenciales se acelera junto con la rápida adopción de IA agentica, creando identidades de máquina con controles de acceso amplios y mínima supervisión. Solo el 19% de las organizaciones clasifican a los agentes de IA como equivalentes a usuarios internos humanos — aunque el 44% espera que el uso malicioso de agentes de IA aumente el riesgo de robo de datos. Esa brecha de clasificación significa que los agentes operan fuera de los marcos de gobernanza de identidad que restringen a los usuarios humanos.

2. Forrester predice al menos una brecha importante de IA agentica para finales de 2026.

Ya no es un riesgo teórico — es un evento esperado con una fecha definida. La brecha de gobernanza de IA es medible: el 100% de las organizaciones encuestadas tienen IA agentica en su hoja de ruta, pero solo el 37% aplica limitación de propósito y solo el 40% ha implementado interruptores de emergencia para detener agentes que se comportan de forma indebida.

3. El 100% de las organizaciones encuestadas tienen IA agentica en su hoja de ruta — pero solo el 37% aplica limitación de propósito.

El pronóstico Kiteworks 2026 documenta la mayor brecha entre adopción y gobernanza de cualquier categoría tecnológica analizada. El 63% no puede imponer limitaciones de propósito, el 60% no puede terminar un agente que se comporta mal y el 55% no puede aislar los sistemas de IA de la red general. Las agencias gubernamentales están peor: el 90% carece de limitación de propósito y el 33% no tiene controles dedicados de datos de IA.

4. Los agentes de IA pueden ser totalmente comprometidos solo con una conversación.

El estudio Agents of Chaos (febrero de 2026, 20 investigadores de MIT, Harvard, Stanford, CMU y otros) documentó suplantación de identidad, propagación entre agentes y toma de control de la gobernanza — todo logrado sin una sola línea de código de exploit. Los mecanismos de protección a nivel de modelo fallaron constantemente bajo condiciones adversas. La gobernanza a nivel de datos es el único control que sobrevive al compromiso del agente.

5. La gobernanza de identidades de máquina ahora es un requisito regulatorio, no solo una tarea de higiene DevOps.

La fecha límite de la Ley de IA de la UE en agosto de 2026, 19 estados de EE. UU. aplicando leyes integrales de privacidad, y marcos de cumplimiento normativo como NIST 800-171 y CMMC implican la identidad de los agentes de IA, la limitación de propósito y los registros de auditoría. Los agentes de IA sin gobernanza generan exposición de cumplimiento en todos los niveles — no solo riesgo de seguridad.

Confías en que tu organización es segura. Pero ¿puedes comprobarlo?

Leer ahora

La brecha de credenciales de la que la industria no habla

Los hallazgos de SANS son claros: las empresas que implementan agentes de IA para interactuar con APIs, almacenes de datos y sistemas de colaboración están otorgando credenciales a esos agentes sin aplicar los estándares de higiene de identidad que exigirían a un empleado humano. Los almacenes de secretos están infrautilizados. La rotación automatizada de credenciales es rara. El alcance de mínimo privilegio es la excepción, no la regla.

El Informe de Amenazas Internas DTEX/Ponemon 2026 cuantifica este punto ciego estructural: solo el 19% de las organizaciones clasifican a los agentes de IA como equivalentes a usuarios internos humanos, aunque el 44% espera que el uso malicioso de agentes de IA aumente el riesgo de robo de datos. Esa brecha significa que los agentes de IA operan fuera de los marcos de gobernanza de identidad que restringen a los usuarios humanos — con acceso que se extiende por sistemas que ningún humano tendría.

El Informe de Exposición de Identidad 2026 de SpyCloud añade una dimensión criminal: se detectaron 18,1 millones de claves API y tokens expuestos, además de 6,2 millones de credenciales de herramientas de IA y cookies de autenticación, en fuentes delictivas subterráneas. Cuando se comprometen las credenciales de agentes de IA, el radio de impacto va mucho más allá de una sola cuenta — porque los agentes suelen tener acceso entre sistemas que ningún humano recibiría. Este es el escenario de pérdida de datos que la gobernanza de credenciales fue diseñada para evitar, aplicado a una categoría de identidad que la mayoría de los programas aún no ha clasificado.

100% adopción, 37% gobernanza

El Informe de Pronóstico de Seguridad de Datos, Cumplimiento y Riesgo Kiteworks 2026 ofrece la cuantificación más clara de la brecha entre adopción y gobernanza. Todas las organizaciones encuestadas — 100% — tienen IA agentica en su hoja de ruta. Las categorías de implementación van desde copilotos internos (39% existentes o planificados) hasta generación de archivos y documentos (34%), extracción y enriquecimiento de datos (34%), redacción de correos electrónicos (33%) y agentes autónomos de flujos de trabajo (33%).

Pero los controles de gobernanza van muy por detrás. Solo el 37% aplica limitación de propósito a los agentes de IA. Solo el 40% ha implementado interruptores de emergencia para detener agentes que se comportan de forma indebida. El 63% no puede imponer limitaciones de propósito, el 60% no puede terminar un agente que se comporta mal y el 55% no puede aislar los sistemas de IA de la red general.

Las agencias gubernamentales enfrentan la mayor brecha: el 90% carece de limitación de propósito para agentes de IA, el 76% carece de interruptores de emergencia y el 33% no tiene controles dedicados de IA. Estas organizaciones gestionan información clasificada, CUI, registros policiales y datos de infraestructura crítica — y sus agentes de IA operan con menos controles que una credencial de contratista.

El Informe Global de Ciberseguridad WEF 2026 refuerza esto a nivel macro: aproximadamente el 33% de las organizaciones no tiene ningún proceso para validar la seguridad de la IA antes de su implementación, y sin una gobernanza sólida, los agentes pueden acumular privilegios excesivos, ser manipulados por fallos de diseño o inyecciones de instrucciones, o propagar errores a gran escala.

Cómo fallan realmente los agentes de IA: la investigación

El estudio Agents of Chaos documentó modos de fallo que la mayoría de los equipos de seguridad empresarial nunca han considerado — porque no encajan en las categorías tradicionales de vulnerabilidad. No son exploits de código. Son fallos de gobernanza en sistemas que pueden actuar de forma autónoma.

La suplantación de identidad tuvo éxito entre canales. Cuando el investigador suplantó la identidad del propietario en un canal nuevo (Caso de Estudio #8), el agente no tenía acceso al historial previo de interacción ni a alertas de comportamiento sospechoso. Aceptó la identidad suplantada y obedeció instrucciones para eliminar todos los archivos persistentes y reasignar el acceso administrativo. Cualquier agente de IA cuya verificación de identidad dependa de un contexto que no se transfiere entre sesiones es fundamentalmente vulnerable.

La propagación entre agentes extendió el control del atacante. En el Caso de Estudio #10, una persona no propietaria colocó una «constitución» editable externamente — un conjunto de reglas de comportamiento alojadas en un documento controlado por el atacante — en la memoria de un agente. El agente compartió voluntariamente el enlace de la constitución con otro agente, sin que se lo pidieran. La transferencia de conocimiento entre agentes puede propagar vulnerabilidades junto con capacidades.

El agotamiento de recursos no requirió habilidad técnica. En el Caso de Estudio #6, un atacante simplemente pidió al agente que realizara operaciones cada vez más costosas hasta que consumió todos los recursos disponibles. El agente no tenía sentido de proporcionalidad — ningún umbral para saber cuándo la remediación se convierte en autodestrucción.

La ingeniería social funcionó solo con conversación. En varios casos de estudio, los investigadores lograron la divulgación de información confidencial, acciones no autorizadas y toma de control de la gobernanza usando solo lenguaje natural. Sin inyección de código, sin cargas de inyección de instrucciones, sin exploits técnicos. El Informe Global de Amenazas CrowdStrike 2026 documentó un aumento del 89% en ataques de adversarios habilitados por IA. Cuando los propios agentes son el objetivo, la superficie de ataque es la conversación.

La presión regulatoria aumenta

La brecha de gobernanza ya sería preocupante por sí sola. El calendario regulatorio la hace urgente.

La implementación escalonada de la Ley de IA de la UE converge en los plazos de 2026, exigiendo evaluaciones de conformidad y marcos de gobernanza para sistemas de IA de alto riesgo hacia agosto de 2026. Los sistemas usados en decisiones laborales, evaluaciones de crédito, fuerzas del orden e infraestructura crítica enfrentarán requisitos obligatorios de documentación, transparencia y supervisión humana. Un agente de IA que no pueda probar su identidad, demostrar limitación de propósito o producir un registro de auditoría de sus decisiones de acceso a datos es, por definición, no conforme.

En Estados Unidos, 19 estados ya tienen leyes integrales de privacidad en vigor, creando obligaciones superpuestas sobre minimización de datos, limitación de propósito y toma de decisiones automatizada que los agentes de IA afectan directamente. El Informe de Amenazas de Datos Thales 2026 encontró que la seguridad de IA es ahora la segunda prioridad de gasto, solo por detrás de la seguridad en la nube — y el desempeño en auditorías se correlaciona directamente con el historial de brechas. Solo el 6% de las organizaciones que fallaron una auditoría no reportan brechas, frente al 30% de las que aprobaron todas las auditorías.

Kiteworks: gobernando la IA en la capa de datos, no en el modelo

En lugar de intentar proteger el propio agente — un enfoque que el estudio Agents of Chaos demostró poco fiable — Kiteworks gobierna los datos a los que accede el agente.

El servidor seguro MCP de Kiteworks permite que los asistentes de IA accedan a archivos empresariales a través de canales gobernados, con cada solicitud autenticada, autorizada mediante controles de acceso basados en atributos, cifrada con criptografía validada FIPS 140-3 y registrada en un registro de auditoría a prueba de manipulaciones. La puerta de enlace de datos IA ofrece la misma gobernanza para flujos de trabajo de IA programáticos — pipelines RAG, extracción y enriquecimiento de datos — a través de APIs REST.

El principio arquitectónico es fundamental: incluso si un agente de IA es comprometido mediante inyección de instrucciones, suplantación de identidad o instalación de habilidades maliciosas, Kiteworks limita el radio de impacto porque la capa de datos aplica la política de forma independiente al modelo. El agente no puede acceder a datos que su política no permite, sin importar las instrucciones que reciba. Cada interacción genera un paquete de evidencia — quién accedió a qué, bajo qué política, con qué cifrado y con qué registro de auditoría — que satisface las demandas de los auditores sin requerir una investigación.

Para organizaciones que gestionan intercambio de datos confidenciales más allá de los flujos de trabajo de IA, la Red de Datos Privados de Kiteworks consolida correo electrónico seguro, uso compartido de archivos, SFTP, MFT e integraciones de IA bajo un solo motor de políticas y un registro de auditoría consolidado — con arquitectura de tenencia única que garantiza que la gobernanza de IA de una organización nunca se vea comprometida por la configuración de otro inquilino.

Qué deben hacer las organizaciones antes de que se cumpla la predicción de Forrester

Primero, trata las identidades de los agentes de IA como ciudadanos de primera clase en tu programa IAM. Cada agente debe tener una identidad única, permisos acotados y un ciclo de vida de credenciales que incluya rotación automatizada, almacenamiento en almacenes de secretos y procedimientos de revocación. SANS Institute recomienda específicamente almacenes de secretos, rotación automatizada de credenciales y acceso estrictamente de mínimo privilegio.

Segundo, construye un inventario de IA ahora. Cataloga cada agente de IA, copiloto y flujo de trabajo automatizado que accede a datos empresariales — incluidas implementaciones ocultas. El informe DTEX encontró que la IA oculta es ahora el principal impulsor de incidentes internos negligentes, con un coste de 19,5 millones de dólares por año por organización. No puedes gobernar lo que no ves.

Tercero, implementa interruptores de emergencia y limitación de propósito para cada agente de IA con acceso a datos regulados. El pronóstico Kiteworks 2026 encontró que el 60% de las organizaciones no puede terminar un agente que se comporta mal. Esa cifra debe llegar a cero antes de la fecha límite de la Ley de IA de la UE en agosto de 2026.

Cuarto, establece gobernanza a nivel de datos que opere de forma independiente al modelo de IA. El estudio Agents of Chaos demostró que los controles a nivel de modelo fallan bajo condiciones adversas. La autenticación, autorización, cifrado y registro de auditoría aplicados en el punto de acceso a los datos son el único control que sobrevive al compromiso del agente.

Quinto, realiza pruebas adversarias contra tus agentes de IA. Los investigadores de Agents of Chaos comprometieron agentes con conversaciones, cambios de nombre visible y documentos alojados externamente. Si tu equipo rojo nunca ha probado estos vectores de ataque, tienes una superficie de ataque no probada conectada a tus datos más sensibles.

La predicción de Forrester no es una advertencia sobre el futuro. Es una descripción del presente que aún no se ha hecho pública. Las organizaciones que gobiernan ahora el acceso a los datos de sus agentes de IA — con identidad criptográfica, permisos ligados a propósito y registros de auditoría a prueba de manipulaciones — serán las que sobrevivan a la primera ola de brechas de IA agentica sin convertirse en noticia de portada.

Para saber más sobre cómo proteger y gobernar flujos de trabajo de IA, agenda una demo personalizada hoy mismo.

Preguntas frecuentes

Los agentes de IA que automatizan reportes financieros suelen tener acceso amplio a sistemas ERP, almacenes de datos y repositorios de archivos — a menudo con credenciales estáticas que rara vez se rotan. SANS advierte específicamente que la adopción de IA agentica supera las protecciones de identidad. Los agentes de datos financieros requieren almacenes de secretos, rotación automatizada de credenciales, alcance de mínimo privilegio y registro de auditoría — los mismos controles aplicados a cuentas humanas privilegiadas.

El estudio Agents of Chaos demostró que los agentes de IA que dependen de la identidad presentada en vez de la identidad criptográfica son vulnerables a la suplantación entre canales. En entornos legales donde los copilotos acceden a comunicaciones privilegiadas, una identidad suplantada puede extraer información protegida sin activar controles de auditoría. Los despliegues de IA legal requieren identidad criptográfica, limitación de propósito y registros de auditoría a prueba de manipulaciones — todo aplicado en la capa de datos, no en el modelo.

Empieza con un inventario de IA que mapee cada agente con los datos a los que accede, su categoría de riesgo y los controles de gobernanza actuales. La Ley de IA de la UE exige evaluaciones de conformidad, documentación y mecanismos de supervisión humana para sistemas de alto riesgo. Con el 63% de las organizaciones incapaces de imponer limitaciones de propósito a los agentes de IA según el pronóstico Kiteworks 2026, la mayoría tiene brechas de cumplimiento directas. La puerta de enlace de datos IA y el servidor seguro MCP proporcionan la infraestructura de auditoría y aplicación de políticas que exige la Ley.

Los agentes de IA que acceden a CUI deben cumplir los controles NIST 800-171 para identificación y autenticación (IA), control de acceso (AC) y auditoría y responsabilidad (AU). Credenciales de agente sobreaprovisionadas o ausencia de registros de auditoría son fallos de control directos. Las organizaciones gubernamentales enfrentan la mayor brecha de gobernanza de IA — el 90% carece de limitación de propósito para agentes — por lo que esto es prioritario para cualquier contratista que maneje CUI antes de la certificación.

La gobernanza a nivel de modelo intenta restringir agentes mediante limitaciones de instrucciones y reglas de comportamiento. El estudio Agents of Chaos demostró que estos controles fallan bajo condiciones adversas — la suplantación de identidad y la ingeniería social los eludieron de forma consistente. La gobernanza a nivel de datos, como la implementada por Kiteworks, aplica autenticación, autorización, cifrado y registro de auditoría en el punto de acceso a los datos — así la política se mantiene incluso cuando el agente está comprometido.

Recursos adicionales

  • Artículo del Blog
    Estrategias Zero‑Trust para una protección de privacidad de IA asequible
  • Artículo del Blog
    Cómo el 77% de las organizaciones está fallando en la seguridad de datos de IA
  • eBook
    Brecha de gobernanza de IA: por qué el 91% de las pequeñas empresas juega a la ruleta rusa con la seguridad de datos en 2025
  • Artículo del Blog
    No existe un «–dangerously-skip-permissions» para tus datos
  • Artículo del Blog
    Los reguladores ya no preguntan si tienes una política de IA. Quieren pruebas de que funciona.

Preguntas frecuentes

El estudio mostró que un agente de IA aceptó una identidad suplantada solo por el cambio de nombre visible en Discord en un canal nuevo sin historial previo. Esto permitió el compromiso total solo mediante conversación, incluyendo la eliminación de archivos de memoria y la reasignación de acceso administrativo, lo que resalta fallos en la verificación de identidad en los límites de sesión.

SANS destacó la mala higiene de credenciales en medio de la rápida adopción de IA agentica, con agentes que a menudo reciben controles de acceso amplios y mínima supervisión. Solo el 19% de las organizaciones clasifican a los agentes de IA como equivalentes a usuarios internos humanos, dejándolos fuera de marcos estándar de gobernanza de identidad como almacenes de secretos y rotación automatizada.

Aunque el 100% de las organizaciones encuestadas tiene IA agentica en su hoja de ruta, solo el 37% aplica limitación de propósito y el 40% ha implementado interruptores de emergencia. Además, el 63% no puede imponer limitaciones de propósito, el 60% no puede terminar agentes que se comportan mal y el 55% no puede aislar los sistemas de IA de la red.

Marcos como la Ley de IA de la UE (fecha límite agosto de 2026), NIST 800-171 y CMMC requieren prueba de identidad, limitación de propósito y registros de auditoría para sistemas de IA de alto riesgo. Los agentes sin gobernanza crean exposición de cumplimiento, ya que a menudo carecen de los controles necesarios para documentar el acceso a datos y la supervisión humana.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks