Los agentes de IA ya no se limitan a laboratorios de investigación o entornos de pruebas para desarrolladores; están entrando en producción. En diversos sectores, escriben código, concilian facturas, gestionan infraestructura e incluso aprueban transacciones. La promesa es eficiencia y velocidad. El problema es que la mayoría de estos sistemas aún dependen de modelos de permisos orientados a las personas que no pueden gestionar de forma segura el comportamiento autónomo.
He insistido todo el año en cómo la IA está transformando la ciberseguridad, la identidad y la empresa moderna. La realidad es que, siempre que una nueva tecnología acelera la capacidad, también amplifica el riesgo. La IA agente es el ejemplo más reciente, y quizás el más claro. Las máquinas pueden actuar más rápido que las personas, pero también pueden fallar con mayor intensidad.
Cuando los modelos de confianza humana se encuentran con la velocidad de las máquinas
Los marcos tradicionales de control de acceso se diseñaron en torno a los ritmos humanos. Los usuarios inician sesión, completan tareas y cierran sesión. Cometen errores, pero lo hacen con la suficiente lentitud como para que los controles se adapten. La IA no opera en ese lapso de tiempo. Los agentes actúan continuamente, en múltiples sistemas, sin fatiga.
Por eso, Graham Neray , cofundador y director ejecutivo de Oso Security , considera la autorización «el problema sin resolver más importante del software». Como lo expresó durante nuestra conversación: «Toda empresa que desarrolla software termina reinventando la autorización desde cero, y la mayoría lo hace mal. Ahora estamos incorporando IA sobre esa base».
El problema no es la intención, sino la infraestructura. La mayoría de las empresas intentan enseñar a los nuevos sistemas a actuar de forma autónoma, gestionando al mismo tiempo los permisos mediante roles estáticos, lógica predefinida y hojas de cálculo. Es un modelo que apenas funcionaba para los humanos. Para las máquinas, supone una desventaja.
Un agente de IA puede ejecutar miles de acciones por segundo. Si una de esas acciones está mal configurada o se activa maliciosamente, puede propagarse por todo el entorno de producción mucho antes de que alguien intervenga. Una sola clave con permisos excesivos puede convertirse en una vulneración autoinfligida.
La trampa del ROI
Hay una segunda presión en juego, más sutil: la carrera por demostrar el retorno de la inversión.
Como explicó Todd Thiemann , analista principal de Omdia : «Los equipos de TI empresariales tienen la presión de demostrar un retorno tangible de la inversión (ROI) de sus inversiones en IA generativa, y los agentes de IA son un método fundamental para generar eficiencias y generar ROI. La seguridad en general, y la seguridad de la identidad en particular, pueden quedar relegadas a un segundo plano en la prisa por implementar agentes de IA en producción para obtener resultados».
Es un patrón habitual: primero la innovación, después la seguridad. Pero hay más en juego cuando la tecnología puede actuar de forma independiente. «No conviene que todos los permisos que podría tener el usuario humano se otorguen al agente que actúa en su nombre», afirmó Thiemann. «Los agentes de IA carecen de criterio humano y de conocimiento contextual, lo que puede provocar un uso indebido o una escalada involuntaria si se le otorga al agente un permiso amplio, equivalente al de un humano».
Es fácil asumir que una IA que trabaja en tu nombre debería heredar tus permisos, pero eso es precisamente lo que crea exposición. Si el modelo se sale del guion, o si se manipula su cadena de comandos, puede realizar acciones de alto riesgo con autoridad humana y sin restricciones.
Thiemann ofreció un ejemplo sencillo y práctico: un agente que automatiza la validación de nóminas nunca debería tener la capacidad de iniciar ni aprobar transferencias de dinero, incluso si su contraparte humana sí puede hacerlo. «Acciones tan arriesgadas deberían requerir la aprobación humana y una sólida autenticación multifactor», añadió.
Esto no es sólo una buena práctica: es un control existencial.
Construyendo límites más inteligentes
Neray plantea el problema de forma diferente, pero llega a la misma conclusión. La autorización es la capa determinista que debe contener los sistemas probabilísticos. «No se puede razonar con un LLM sobre si debería eliminar un archivo», me dijo. «Hay que diseñar reglas estrictas que lo impidan».
Aquí es donde entra en juego la idea del privilegio mínimo automatizado: otorgar solo los permisos necesarios para una tarea específica, durante un periodo definido, y revocarlos automáticamente después. Se trata del acceso como una transacción, no como un derecho permanente.
He visto este cambio antes. En seguridad en la nube, la monitorización continua reemplazó las configuraciones estáticas. En gobernanza de datos, la automatización de políticas reemplazó las aprobaciones manuales. Ahora, la autorización debe dar el mismo salto: de pasiva a adaptativa, de cumplimiento normativo a control en tiempo real.
Oso Security es una empresa que intenta implementar esta transición, convirtiendo la autorización en una capa modular basada en API, en lugar de código a medida disperso en microservicios. Es una solución pragmática para un problema sistémico. Como dijo Neray: «Hemos dedicado una década a simplificar la autenticación con Okta y Auth0. La autorización es la próxima frontera».
Gobernanza, no prohibición
Los CISO están empezando a comprender esto. Muchos se están involucrando en las primeras etapas de los ciclos de implementación de la IA, no para bloquear la innovación, sino para hacerla sostenible. Las prohibiciones no funcionan. Las barreras sí.
El reto es equilibrar la velocidad con la seguridad, permitiendo que los agentes actúen de forma autónoma dentro de límites claramente definidos. En la práctica, esto implica limitar privilegios, aplicar controles humanos para acciones sensibles y registrar cada decisión de acceso para su visibilidad y auditoría.
Como señaló Thiemann, «Minimizar esos privilegios puede minimizar el alcance potencial de cualquier error o incidente. Y el exceso de privilegios generará problemas de auditoría y cumplimiento cuando se requiera rendir cuentas».
Confía, pero verifica continuamente
La autonomía no consiste en eliminar a los humanos del ciclo, sino en redefinir su ubicación. Las máquinas pueden gestionar acciones repetitivas y de bajo riesgo con rapidez. Los humanos deberían seguir siendo el punto de control final para las de alto impacto.
Las organizaciones que logren este equilibrio avanzarán con mayor rapidez y menos errores, y contarán con la telemetría para demostrarlo. Las que no lo logren, terminarán frenando la innovación o explicando fallos evitables a los reguladores e inversores.
La IA no solo cambia lo posible, sino también lo tolerable. El futuro de una autonomía segura depende menos de la inteligencia de los modelos y más de la inteligencia con la que diseñemos sus límites. Las máquinas no necesitan más potencia. Necesitan mejores permisos.
