La próxima frontera de la seguridad corporativa: gobernar a los agentes de IA

Los agentes de inteligencia artificial (IA) dejaron de ser experimentos aislados para convertirse en parte fundamental de la operación diaria de las empresas más avanzadas. Según el más reciente informe Microsoft Cyber Pulse, más del 80% de las compañías Fortune 500 ya utilizan agentes construidos con herramientas low-code/nocode, integrados en flujos de trabajo tan diversos como ventas, finanzas, manufactura, servicio al cliente y seguridad. Sin embargo, detrás de esta aceleración emerge un desafío que requiere la atención de los líderes: el crecimiento de los agentes está planteando la necesidad de fortalecer las capacidades de observación, gobernanza y seguridad dentro de las organizaciones.

‌

‌
‌

‌

Este reto no es menor. Mientras muchos agentes están autorizados y correctamente configurados, otros pueden requerir ajustes en sus permisos o en los niveles de supervisión, especialmente cuando interactúan con información sensible. El informe evidencia que casi 3 de cada 10 colaboradores reconocen utilizar agentes no autorizados en su trabajo. Esto confirma que el shadow IT está evolucionando hacia un riesgo significativamente mayor: ya no se trata solo de herramientas que consultan información, sino de sistemas que ejecutan acciones y toman decisiones en función de parámetros definidos fuera de los marcos de gobierno y seguridad de la organización.

La situación se vuelve más crítica si consideramos que apenas el 47% de las organizaciones afirma contar con controles de seguridad específicos para IA generativa, según Microsoft Data Security Index.

Este fenómeno se extiende en todas las regiones y sectores, y nuestra región no es la excepción. A nivel global, los servicios financieros representan cerca del 11% de los agentes activos, una cifra relevante para una industria que maneja información altamente sensible. Esto demuestra que incluso los sectores más regulados están adoptando agentes con rapidez, pero no siempre con los controles o la gobernanza necesarios, lo que aumenta el riesgo de exponer datos críticos o tomar decisiones sin la supervisión adecuada.

Frente a esta realidad debemos tratar a los agentes como a cualquier usuario corporativo. Eso significa aplicar principios de Zero Trust, establecer verificaciones estrictas, otorgar permisos mínimos y adoptar una cultura que asuma que un incidente o vulneración puede ocurrir si no se diseña la protección correcta desde el inicio.

Esta forma de pensar no busca frenar la innovación; al contrario, crea las condiciones para escalarla de forma segura. Las empresas que ya están avanzado en esta disciplina están convirtiendo la gobernanza en ventaja competitiva, acelerando sin exponerse, incorporando auditorías, etiquetando contenido generado por IA y estableciendo responsabilidades claras entre los equipos.

La IA debe ser un multiplicador de oportunidades, no de riesgos. Para lograrlo, es clave tener visibilidad sobre los agentes que existen dentro de la organización, saber quién los creó, qué datos utilizan y qué decisiones pueden influir. Se necesitan plataformas autorizadas que reduzcan la tentación de acudir a herramientas no aprobadas, capacitación para los equipos que ya integran agentes en su día a día y una visión ejecutiva que eleve la gestión del riesgo a un nivel estratégico.

Estamos entrando en una etapa donde los agentes se integrarán en cada rincón del negocio. Y, como ocurre con todo cambio profundo, la pregunta que debemos hacernos es cómo garantizar que esa adopción sea segura, manejable, transparente y alineada con los valores y la ambición de cada organización. El liderazgo responsable no se medirá solo por quién implementa más IA, sino por quién lo hace con mayor claridad, gobernanza y visión de largo plazo. Estoy convencida de que la innovación que perdura es la que se construye sobre bases firmes, especialmente ante una transformación de esta magnitud.