¿Has sufrido una brecha de seguridad?
|
Soporte
|
Contáctanos
|
+1 855 426 3983
Blog
/
Resiliencia cibernética

Los agentes de IA se están convirtiendo en empleados digitales. Así es como Zero Trust los protege.

Raghu Nandakumara
Vicepresidente, Estrategia de la Industria
Illumio Editorial
11de marzo de 2026
23 min. leer
Josh Woodruff, fundador y director ejecutivo de Massive Scale AI

¿Cuándo se manifiesta un cambio importante en la seguridad empresarial?

Josh Woodruff esperaba que sucediera durante una investigación de una violación de seguridad o un simulacro de respuesta a incidentes. En cambio, surgió durante una presentación en una conferencia.

El presentador mostró un panel de control con la actividad en un entorno empresarial de gran envergadura: eventos de inicio de sesión, llamadas a la API y acciones del sistema. Al principio, todo parecía normal.  

A continuación, el presentador explicó lo que el público estaba viendo: ninguna de las actividades provenía de seres humanos. Todas las acciones las realizaban las máquinas.

Durante décadas, los programas de seguridad empresarial se diseñaron en torno a los usuarios humanos. Los usuarios iniciaban sesión, accedían a los sistemas y tomaban decisiones. Los equipos de seguridad se centraban en verificar identidades y monitorear el comportamiento humano.

Pero esa suposición está empezando a desmoronar.

Josh, fundador y director ejecutivo de Massive Scale AI, dedicó casi tres décadas a liderar transformaciones en seguridad, computación en la nube y TI. Durante nuestra conversación en el podcast The Segment , explicó que los entornos empresariales están entrando en una nueva fase. Las identidades de las máquinas, como las API, los servicios, las herramientas de automatización y los agentes de IA, están empezando a superar en número a los usuarios humanos en las redes empresariales.

Este cambio plantea un nuevo desafío. Las organizaciones ya no protegen únicamente a las personas que acceden a los sistemas. También gestionan agentes de software que pueden tomar decisiones y actuar dentro de la compañía.

En este contexto, el concepto de Confianza Cero adquiere un nuevo significado. Los equipos de seguridad ya no se limitan a verificar identidades humanas, sino que gestionan flotas de empleados digitales.

La IA se está convirtiendo en un actor operativo dentro de la compañía.

Muchas conversaciones sobre la seguridad de la IA se centran en los modelos y los datos de entrenamiento. Esos temas son importantes, pero no reflejan la transformación completa que está ocurriendo dentro de las organizaciones.

Los sistemas de IA están pasando del análisis a la acción.

Las primeras herramientas de IA eran principalmente informativas. Generaron ideas, resumieron datos o respondieron preguntas. Los seres humanos seguían siendo responsables de interpretar esos resultados y decidir qué hacer a continuación.

La IA agente cambia ese modelo.

Los agentes de IA pueden planear tareas, elegir acciones e interactuar directamente con los sistemas. Pueden activar flujos de trabajo, llamar a API, actualizar registros y gestionar procesos sin necesidad de aprobación humana.

Esto crea un entorno de seguridad muy diferente.

El software tradicional funciona mediante lógica determinista. Si se produce un evento específico, el sistema ejecuta una acción predefinida. Los equipos de seguridad pueden diseñar políticas en torno a esos flujos previsibles.

Los sistemas de IA se comportan de manera diferente.

“Son estocásticos”, dijo Josh. “Ya no se trata de computación determinista.”

En términos prácticos, esto significa que los sistemas de IA operan basar en probabilidades y patrones aprendidos, en lugar de reglas estrictas. Una misma solicitud puede producir resultados ligeramente diferentes dependiendo del contexto, los datos de entrenamiento o las rutas de razonamiento dentro del modelo.

Cuando esos resultados son meramente informativos, el riesgo es limitado. Pero cuando los sistemas de IA comienzan a tomar medidas operativas, la imprevisibilidad se convierte en una verdadera preocupación de seguridad.

La IA agente introduce una nueva categoría de riesgo: la toma de decisiones autónoma dentro de los sistemas empresariales.

Por eso, Josh anima a las organizaciones a replantear su concepto de IA. En lugar de ver a los agentes de IA como herramientas, sugiere considerarlos como afiliadas a la fuerza laboral.

Por qué los agentes de IA deberían ser tratados como empleados digitales.

Josh suele pedir a las organizaciones que imaginen a los agentes de IA como trabajadores digitales que operan dentro de la compañía.  

Los agentes de IA pueden realizar tareas, interactuar con sistemas y acceder a datos y servicios. En muchos sentidos, su comportamiento se asemeja al de los empleados humanos.

Pero existen dos diferencias importantes.

En primer lugar, los agentes de IA operan a la velocidad de las máquinas. Pueden ejecutar tareas de forma continua e interactuar con muchos sistemas simultáneamente.

En segundo lugar, carecen de criterio. Los empleados humanos aportan contexto e intuición a su trabajo. Incluso cuando cometen errores, suelen reconocer cuando algo no les parece bien o se sale de los límites esperados. Los agentes de IA no lo hacen.

“No saben distinguir entre lo bueno y lo malo”, dijo Josh. “Tienen muchísima información.”

Debido a esta limitación, un sistema de IA puede ser extremadamente eficaz para lograr el objetivo equivocado.

Josh compartió una historia que ilustra este riesgo. Una organización implementó un sistema de inteligencia artificial para ayudar a gestionar los pedidos de suministros. Al principio, el sistema solo recomendaba compras. Tras comprobar que las pruebas arrojaron resultados fiables, la compañía le permitió realizar pedidos pequeños de forma automática.

Todo funcionaba bien hasta que la IA descubrió un descuento por volumen. El sistema adquirió aseador de pisos para cuarenta años.

En total, gastó 1,4 millones de dólares para conseguir el mejor precio.

La IA no estaba funcionando mal. Simplemente optimizó el objetivo que se le asignó. La organización le indicó al sistema que maximizara el ahorro. El sistema siguió esas instrucciones al pie de la letra.

Lo que le faltaba era contexto empresarial.

Este ejemplo pone de relieve una lección importante para los responsables de seguridad. Los agentes de IA necesitan estructuras de gobernanza similares a las que se emplean para los empleados humanos. Esto incluye reglas definidas, límites de acceso y supervisión.

Aquí es donde una estrategia de seguridad confiable cero puede resultar útil.

Cómo el Confianza Cero proporciona salvaguardias para los sistemas autónomos

Zero Trust se basa en un principio simple: nunca se debe dar por sentada la confianza dentro de los sistemas digitales.

En lugar de basar en los límites de la red o en zonas de confianza implícitas, Zero Trust evalúa cada solicitud en función de la identidad, el contexto y el comportamiento.

En nuestra conversación, Josh describió la filosofía: "El modelo de confianza cero consiste, en realidad, en eliminar la confianza —que es una emoción humana— de los sistemas digitales".

Este modelo funciona bien para los entornos empresariales modernos porque las decisiones de acceso dependen de múltiples señales. Los sistemas de seguridad evalúan:

  • ¿Quién realiza la solicitud?
  • ¿Qué acción están intentando?
  • De dónde proviene la solicitud
  • Si el comportamiento se ajusta a los patrones esperados

Estos mismos principios se aplican de forma natural a los sistemas de IA.

Los agentes de IA interactúan con numerosos recursos empresariales. Pueden acceder a datos internos, comunicar con servicios o activar flujos de trabajo automatizados. Cada interacción debe seguir las reglas de Confianza Cero.

Las 5 preguntas que rigen a los agentes de IA

Para ayudar a las organizaciones a implementar este enfoque, Josh desarrolló un marco sencillo llamado Marco de Confianza Agente. Organiza la seguridad de la IA en torno a cinco preguntas clave.

  • ¿Quién eres? Cada agente de IA necesita una identidad clara que pueda verificar mediante una autenticación estable.
  • ¿Qué estás haciendo? La monitorización del comportamiento garantiza que el sistema funcione dentro de los patrones previstos.
  • ¿Qué datos consumes y produces? La gobernanza de datos determina a qué información puede acceder el sistema y qué resultados puede generar.
  • ¿Adónde puedes ir? La segmentación controla a qué sistemas o entornos puede acceder el agente.
  • ¿Qué sucede si actúas por tu cuenta? Las organizaciones necesitan mecanismos para detectar comportamientos anómalos y desactivar rápidamente los sistemas automatizados si es necesario.

Estas preguntas parecen sencillas, pero en conjunto representan una arquitectura de seguridad integral. Abarcan aspectos como la identidad, la monitorización del comportamiento, la gobernanza de datos, la segmentación y la respuesta a incidentes.

En otras palabras, aplican los principios fundamentales de la Confianza Cero al mundo emergente de la automatización impulsada por la IA.

La seguridad determinará la rapidez con la que la IA puede escalar.

Una de las razones por las que muchas organizaciones tienen dificultades para implementar la IA a gran escala es la confianza.

Los equipos suelen experimentar con modelos y herramientas de automatización en entornos piloto. Estos experimentos pueden producir resultados útiles, pero las organizaciones dudan en ponerlos en práctica.

Los problemas de seguridad suelen surgir en una etapa avanzada del proceso.

Josh observa este patrón con frecuencia. “La seguridad suele ser algo que se deja para el final”, dijo.

Cuando la seguridad interviene demasiado tarde, las organizaciones se encuentran atrapadas en lo que él denomina el purgatorio del piloto. Los proyectos de IA son prometedores, pero los líderes no pueden confiar plenamente en que funcionen de forma segura dentro de los sistemas de producción.

La solución no consiste en ralentizar la adopción de la IA, sino en integrar la seguridad en la arquitectura desde el principio.

Josh empleó una analogía sencilla para explicar esta idea: la seguridad es una jaula antivuelco, no un pedal de freno. Un auto con jaula antivuelco puede ir más rápido porque el conductor confía en la protección que le ofrece la jaula.

El mismo principio se aplica a los sistemas de IA.

Cuando las organizaciones establecen límites claros en torno a los agentes autónomos, pueden otorgarles a esos sistemas mayor responsabilidad y autonomía de forma segura.

La política de confianza cero lo hace posible.

El futuro de la seguridad empresarial es la gobernanza de las máquinas.

Josh cree que muchas organizaciones aún subestiman la magnitud de los cambios que experimentarán los entornos empresariales en la próxima década.

Las identidades de las máquinas ya están creciendo rápidamente. Actualmente, en muchos entornos, las API, los servicios y las herramientas de automatización superan en número a los usuarios humanos. Los agentes de IA impulsarán aún más esa tendencia.

En un futuro próximo, es posible que los usuarios humanos representen solo una pequeña parte de las identidades que operan en los sistemas empresariales.

Este cambio modificará la forma en que trabajan los equipos de seguridad. En lugar de centrar principalmente en el comportamiento humano, los equipos monitorear la actividad de las máquinas. Analizarán los flujos de trabajo automatizados, revisarán las decisiones basadas en inteligencia artificial y establecerán medidas de protección en torno a los sistemas autónomos.

Zero Trust ya ofrece la base adecuada. Elimina las suposiciones sobre la confianza y verifica el acceso de forma continua. Esos mismos principios se aplican directamente a los sistemas de IA.

La diferencia radica en la escala.

Las plataformas de seguridad pronto tendrán que evaluar millones de interacciones automatizadas cada minuto. La preparación para ese futuro debe comenzar ahora.

Las organizaciones no necesitan frenar la innovación en IA. Pero sí necesitan entornos donde los agentes de IA tengan identidades claras, límites estrictos y una supervisión constante.

Las compañías que triunfen en la era de la IA no solo adoptarán la automatización más rápidamente, sino que también construirán sistemas en los que puedan confiar.

Escuche el episodio completo de The Segment: A Zero Trust Leadership Podcast en Apple Podcasts, Spotify, o Nuestro sitio web.

Raghu Nandakumara
Vicepresidente, Estrategia de la Industria
Illumio Editorial
11de marzo de 2026
23 min. leer
Resiliencia cibernética
Contáctanos
Compartir

Artículos relacionados

De “¿Está usted protegido?” a “¿Puede operar?” Por qué los reguladores quieren resiliencia, no solo controles
Resiliencia cibernética

De “¿Está usted protegido?” a “¿Puede operar?” Por qué los reguladores quieren resiliencia, no solo controles

Descubra cómo los reguladores están reemplazando el cumplimiento de las listas de verificación con resiliencia operativa, exigiendo pruebas de contención y respuesta cibernética según las reglas regulatorias.

Lee más
Servicios bancarios y financieros
Cumplimiento
Por qué los fundamentos de seguridad son la parte más ignorada al adoptar una estrategia de confianza cero
Resiliencia cibernética

Por qué los fundamentos de seguridad son la parte más ignorada al adoptar una estrategia de confianza cero

Descubra por qué los aspectos fundamentales de la seguridad son la parte más olvidada de Zero Trust y cómo implementar correctamente los conceptos básicos determina si las infracciones se intensifican o se mantienen contenidas.

Lee más
Resiliencia cibernética
¿Qué esperas? Retrasar la modernización cibernética te pone en riesgo.
Resiliencia cibernética

¿Qué esperas? Retrasar la modernización cibernética te pone en riesgo.

Descubra por qué el ex CIO federal de EE. UU. Tony Scott dice que retrasar la modernización cibernética es un error de liderazgo y cómo actuar antes de que una violación lo obligue a actuar.

Lee más
Resiliencia cibernética
Nuestras historias favoritas de Zero Trust de agosto de 2023
Resiliencia cibernética

Nuestras historias favoritas de Zero Trust de agosto de 2023

Estas son algunas de las historias y perspectivas de Zero Trust que nos llamaron la atención este mes.

Lee más
No se encontraron artículos.
5 consejos para obtener el mejor retorno de la inversión en ciberseguridad
Resiliencia cibernética

5 consejos para obtener el mejor retorno de la inversión en ciberseguridad

Aprenda a extraer el ROI de sus inversiones para mejorar su postura de seguridad, mitigar el riesgo y garantizar una estrategia de seguridad estable.

Lee más
ROI
Lo que significa la nueva política de seguridad del presidente Biden para el futuro de la ciberseguridad
Resiliencia cibernética

Lo que significa la nueva política de seguridad del presidente Biden para el futuro de la ciberseguridad

La Administración Biden acaba de cimentar su legado en política de ciberseguridad con una amplia Orden Ejecutiva destinada a mejorar la resiliencia y reducir el riesgo del Gobierno de los Estados Unidos.

Lee más
Gobierno

Experimente Illumio Insights hoy

Vea cómo la observabilidad impulsada por IA le ayuda a detectar, comprender y contener amenazas más rápido.
Prueba Illumio Insights