Hasta hace poco, la inteligencia artificial era una herramienta que respondía preguntas. Ahora toma decisiones, ejecuta tareas y actúa en nombre de las personas dentro de las organizaciones. Este salto —de asistente pasivo a agente activo— transformó el panorama de la seguridad informática de una manera que las empresas todavía no terminaron de procesar.
Vasu Jakkal, vicepresidenta corporativa de Seguridad de Microsoft, lo planteó con claridad en un documento publicado por la compañía a principios de 2026: "Los agentes de IA proliferarán este año y asumirán un papel mucho más relevante en el trabajo cotidiano, funcionando más como socios que como meras herramientas". La advertencia no viene sola. Jakkal agregó que "cada agente debe contar con protecciones de seguridad similares a las de cualquier humano", para evitar que se conviertan en lo que denominó "agentes dobles": sistemas comprometidos que operan desde adentro de una organización sin que nadie lo note.
El escenario no es hipotético. El 80% de las empresas del Fortune 500 ya utiliza agentes de IA activos, según datos de telemetría de la propia Microsoft. Y sin embargo, de acuerdo con el Índice de seguridad de datos 2026 de esa compañía, menos de la mitad de las organizaciones —el 47%— implementó controles de seguridad específicos para estas herramientas. La adopción va más rápido que la protección.
Un agente de IA no es simplemente un chatbot sofisticado. Es un programa capaz de conectarse a sistemas de correo electrónico, calendarios, bases de datos, plataformas de gestión y archivos corporativos, ejecutar acciones en esos entornos sin intervención humana directa y encadenar tareas complejas de manera autónoma. En la práctica, puede redactar y enviar correos, modificar documentos, aprobar flujos de trabajo o consultar información confidencial, todo siguiendo instrucciones.
El problema surge cuando esas instrucciones no vienen de quien debería darlas. La principal vulnerabilidad que enfrentan estos sistemas se llama inyección de prompt: un ataque en el que instrucciones maliciosas se esconden dentro de contenido aparentemente inocuo —un documento de texto, un correo electrónico, una página web— que el agente procesa como parte de su trabajo habitual. Al leerlo, el agente ejecuta esas instrucciones ocultas como si fueran órdenes legítimas.
La Organización para la Seguridad en Aplicaciones Web Abiertas (OWASP, por su sigla en inglés), referencia mundial en ciberseguridad, clasificó la inyección de prompt como la vulnerabilidad más crítica en aplicaciones de IA. Lo que la hace especialmente difícil de contener es estructural: los modelos de lenguaje no distinguen entre una instrucción de su operador y un dato que están procesando. Todo ingresa al sistema como texto, y todo puede ser interpretado como una orden.
Un caso documentado ilustra bien la magnitud del problema. La vulnerabilidad conocida como EchoLeak, identificada en Microsoft 365 Copilot, demostró que mediante una inyección de prompt era posible acceder y extraer datos corporativos sensibles sin que el usuario realizara ninguna acción: bastaba con que el agente procesara el contenido infectado. No hubo clic, no hubo descarga, no hubo error humano detectable.
Investigadores de la Universidad de Penn State publicaron en abril de 2026 un estudio llamado PIArena, en el que evaluaron de manera sistemática el rendimiento de los principales mecanismos de defensa contra ataques de inyección de prompt. Las conclusiones fueron inquietantes: las defensas actuales muestran limitaciones graves de generalización, es decir, funcionan en los escenarios para los que fueron diseñadas pero fallan ante variaciones o ataques adaptativos. Muchas soluciones que inicialmente parecían efectivas resultaron frágiles cuando se las sometió a condiciones más diversas y realistas.
El estudio también señaló un desafío particularmente complejo: cuando la tarea que un atacante intenta inyectar se parece a la tarea legítima que el agente está realizando, los sistemas de defensa prácticamente no pueden distinguir unas instrucciones de otras. El agente, en esos casos, no sabe que fue comprometido. Actúa con total normalidad, pero ejecutando los objetivos del atacante.
A esto se suma otro dato que los equipos de seguridad corporativos están tardando en asimilar: más del 80% de los ataques de inyección en entornos empresariales son indirectos. No provienen de un usuario malintencionado que escribe algo en una interfaz, sino de contenido malicioso incrustado en documentos, mails o páginas web que el agente consulta de manera rutinaria. La mayor parte de los recursos defensivos, sin embargo, todavía apunta al 20% restante: los ataques directos y visibles.
Las consecuencias no son abstractas. Las pérdidas globales por ataques de inyección de prompt alcanzaron los 2.300 millones de dólares en 2025, según estimaciones de la firma de ciberseguridad Recorded Future. Y los métodos de detección actuales identifican apenas el 23% de los intentos sofisticados, lo que implica que la gran mayoría pasa inadvertida. Cuando se detectan los efectos —un archivo modificado, un correo enviado sin autorización, datos filtrados—, el ataque ya ocurrió.
Datos personales en juego
Cuando una organización es atacada a través de sus agentes de IA, las consecuencias no se limitan a la empresa. Los agentes corporativos manejan información de empleados, clientes y proveedores: nombres, direcciones, datos financieros, historiales de comunicación, registros médicos en el caso del sector salud. Una brecha en un sistema agentico no es solo un problema de infraestructura tecnológica; es una filtración de datos personales a gran escala.
El sector salud es uno de los más expuestos. Investigadores demostraron en 2025 que los modelos de IA utilizados en entornos clínicos son altamente susceptibles a la contaminación de datos, con casos en que bastan entre 100 y 500 muestras adulteradas para alterar los resultados diagnósticos. En un entorno donde los agentes toman o asisten decisiones médicas, el margen de error tolerado es cero.
La escala del problema también involucra a actores estatales. En 2025 se documentaron casos de grupos vinculados a Estados que utilizaron agentes de IA de manera autónoma para conducir campañas de espionaje, con el sistema manejando de forma independiente el reconocimiento de objetivos, el desarrollo de métodos de intrusión y la extracción de información. La IA no solo es víctima potencial de los ataques: también puede ser el arma.
Seguridad integrada, no añadida
Frente a este panorama, la industria tecnológica aceleró el desarrollo de respuestas. Microsoft lanzó en marzo de 2026 Agent 365, una plataforma de control unificado que permite a los equipos de tecnología y seguridad de las empresas observar, gobernar y proteger todos los agentes desplegados en su organización desde un único lugar. La herramienta apunta a dar respuesta a uno de los problemas más concretos: muchas compañías no saben exactamente cuántos agentes de IA tienen activos ni qué nivel de acceso tiene cada uno.
El modelo de seguridad que se impone como estándar es el conocido como Zero Trust (confianza cero): ningún agente, usuario ni sistema recibe acceso por defecto, sino que debe verificarse explícitamente en cada operación. Aplicado a los agentes de IA, implica asignar identidades claras a cada agente, restringir su acceso a los sistemas estrictamente necesarios y monitorear su comportamiento en tiempo real. Jakkal lo sintetizó con una frase que resume el desafío de fondo: "La confianza es la moneda de la innovación". En un entorno laboral donde las decisiones se delegan cada vez más en sistemas autónomos, construir esa confianza con fundamentos sólidos dejó de ser una opción técnica para convertirse en una condición de funcionamiento.
