Estados Unidos, Australia, el Reino Unido y Canadá han emitido nuevas directrices conjuntas que exigen la inclusión de agentes autónomos de IA en la gobernanza básica de la ciberseguridad.

Las autoridades de ciberseguridad de los Estados Unidos y sus aliados publicaron recientemente directrices de implementación de seguridad para el "agente AI" (agente AI), enfatizando que tales sistemas de AI que pueden actuar de forma autónoma en Internet han ingresado a áreas altamente sensibles como la infraestructura crítica y la defensa, pero la mayoría de las organizaciones les otorgan derechos de acceso que exceden con creces sus propias capacidades de monitoreo y control. El documento pide a varias organizaciones que consideren a los agentes autónomos de IA como cuestiones fundamentales de ciberseguridad y prioricen la resiliencia, la reversibilidad y la contención de riesgos en lugar de simplemente buscar mejoras en la eficiencia.

Descarga del texto completo:

https://cyberscoop.com/wp-content/uploads/sites/3/2026/05/CAREFUL-ADOPTION-OF-AGENTIC-AI-SERVICES_FINAL.pdf

La guía fue escrita conjuntamente por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), la Agencia de Seguridad Nacional (NSA), el Centro de Seguridad Cibernética de Australia de la Agencia de Señales de Australia, el Centro de Seguridad Cibernética de Canadá, el Centro Nacional de Seguridad Cibernética de Nueva Zelanda y el Centro Nacional de Seguridad Cibernética del Reino Unido, y se publicó el viernes a la hora local. El “agente IA” en el que se centra la guía es un sistema de software construido sobre un modelo de lenguaje grande que tiene la capacidad de planificar, tomar decisiones y ejecutar acciones de forma autónoma dentro de la autoridad establecida. Para completar tareas complejas, estos sistemas a menudo necesitan interactuar con herramientas externas, bases de datos, almacenes de memoria y flujos de trabajo automatizados para realizar tareas de varios pasos sin una revisión manual de cada paso.

Las agencias de publicación conjunta enfatizaron en el documento que la implementación de la IA del agente no significa que se deba reconstruir un sistema de seguridad completo, sino que debe integrarse en el marco de seguridad de la red y la estructura de gobernanza existentes. Las sugerencias incluyen: aplicar sistemáticamente principios existentes como confianza cero, profundidad de defensa y privilegios mínimos para los agentes de IA; Tratar a los agentes de IA como componentes técnicos "altamente sensibles y con permisos sólidos" para la gobernanza en aspectos como la gestión de identidades y accesos, registros de auditoría y control de cambios.

La guía resume los riesgos asociados con la IA basada en agentes en cinco categorías amplias. El primero es el "riesgo de permiso": una vez que a un agente de IA se le otorgan derechos de acceso demasiado altos o amplios, una intrusión exitosa puede causar daños mucho más allá de las vulnerabilidades del software tradicional, como la manipulación centralizada de configuraciones críticas o la interrupción de negocios a gran escala. La segunda categoría es el riesgo de defectos de diseño y configuración, es decir, antes de que el sistema entre en línea, debido a un diseño de arquitectura inadecuado, una configuración predeterminada demasiado vaga o una definición vaga de los límites de seguridad, existen brechas de seguridad inherentes que son difíciles de compensar.

El tercer tipo de riesgo se clasifica como “riesgo de comportamiento”, que se refiere al hecho de que, en la búsqueda de objetivos, los agentes pueden tomar caminos que los diseñadores no anticiparon, o incluso nunca imaginaron, desencadenando incidentes de seguridad o cumplimiento. La cuarta categoría es el "riesgo estructural". Cuando varios agentes se entrelazan con sistemas empresariales complejos en una red, una falla o un comportamiento anormal puede caer en cascada y propagarse dentro del sistema, desencadenando una reacción en cadena entre sistemas y departamentos.

El quinto tipo de riesgo se relaciona con la “rendición de cuentas”. La guía señala que el proceso de toma de decisiones de la IA del agente a menudo es difícil de examinar en su totalidad, y los registros de operaciones y de decisiones que genera no son fáciles de analizar, lo que hace que sea extremadamente difícil rastrear la causa raíz del problema y aclarar las responsabilidades posteriormente. Una vez que se produce una falla en dicho sistema, las consecuencias no permanecerán en el "nivel virtual", sino que se reflejarán en activos de TI específicos, como la manipulación de archivos, la modificación de los controles de acceso, la eliminación de pistas de auditoría, etc., lo que afectará directamente el trabajo de recopilación y recuperación de evidencia.

El documento también advierte específicamente sobre el riesgo de ataques provocados por una "inyección rápida". Los atacantes pueden incrustar silenciosamente instrucciones en datos o contenido para guiar al agente de IA a desviarse de su misión original y realizar operaciones maliciosas. La inyección de pistas siempre se ha considerado una enfermedad crónica en el gran ecosistema de modelos lingüísticos. Algunas empresas han admitido públicamente que es posible que este problema no se erradique por completo hasta dentro de mucho tiempo. Esto también hace que el daño potencial de este tipo de ataque sea particularmente prominente en escenarios de proxy más automatizados.

A nivel de medidas de protección específicas, la gestión de la identidad ocupa un lugar importante a lo largo de la guía. La agencia conjunta recomienda que cada agente de IA tenga una identidad independiente verificable protegida por criptografía; las credenciales que utilice deben ser válidas por un corto período de tiempo; todas las comunicaciones entre el agente y otros agentes y servicios deben utilizar canales cifrados. Para cualquier operación que pueda tener un impacto significativo, como modificar configuraciones críticas, elevar los privilegios de los usuarios o eliminar datos a gran escala, las pautas requieren claramente que la aprobación sea realizada por humanos y que el diseñador del sistema, no el agente mismo, defina qué operaciones son "comportamientos de alto impacto".

Al mismo tiempo, la agencia emisora ​​también admitió que las prácticas existentes en la industria de la seguridad aún no han alcanzado completamente la velocidad de desarrollo de la IA basada en agentes. Algunos riesgos con "características distintivas de agentes de IA" no han sido cubiertos completamente por el marco de seguridad existente, y se necesita con urgencia más investigación y cooperación entre agencias e industrias. La guía señala que antes de que las metodologías de seguridad, los métodos de evaluación y los estándares relacionados sean inmaduros, las organizaciones deben asumir que la IA del agente "puede exhibir comportamientos inesperados" y hacer planes de implementación en consecuencia, dando prioridad a garantizar la resiliencia, la reversibilidad y la controlabilidad de riesgos en el diseño del sistema, en lugar de perseguir ciegamente los dividendos de eficiencia que genera la automatización.