En septiembre de 2025, Anthropic divulgado que un actor de amenazas patrocinado por un estado utilizó un agente de codificación de IA para ejecutar una campaña de ciberespionaje autónoma contra 30 objetivos mundiales. La IA gestionaba entre el 80 y el 90% de las operaciones tácticas por sí sola: realizaba tareas de reconocimiento, escribía códigos de exploits e intentaba moverse lateralmente a la velocidad de una máquina.

Este incidente es preocupante, pero hay un escenario que debería preocupar aún más a los equipos de seguridad: un atacante que no necesita atravesar la cadena de exterminio en absoluto, porque ha comprometido a un agente de IA que ya vive en tu entorno. Un sistema que ya tiene el acceso, los permisos y un motivo legítimo para moverse entre sus sistemas todos los días.

Un marco creado para las amenazas humanas

La cadena tradicional de ciberasesinatos supone que los atacantes tienen que ganarse cada centímetro de acceso. Es un modelo desarrollado por Lockheed Martin en 2011 para describir cómo los adversarios pasan del compromiso inicial a su objetivo final, y desde entonces ha dado forma a la forma en que los equipos de seguridad piensan sobre la detección.

La lógica es simple: los atacantes deben completar una secuencia de pasos y los defensores pueden interrumpir la cadena en cualquier momento. Cada fase por la que debe pasar un atacante es una nueva oportunidad para atraparlo.

Una intrusión típica pasa por distintas etapas:

  1. Acceso inicial (explotación de una vulnerabilidad, etc.)
  2. Persistencia sin activar alertas
  3. Reconocimiento para entender el entorno
  4. Movimiento lateral para acceder a datos valiosos
  5. Escalamiento de privilegios cuando el acceso no es suficiente
  6. Exfiltración evitando los controles de DLP

Cada etapa crea oportunidades de detección: la seguridad de los terminales puede captar la carga útil inicial, la supervisión de la red puede detectar un movimiento lateral inusual, los sistemas de identidad pueden indicar una escalada de privilegios y las correlaciones de SIEM pueden vincular comportamientos anómalos en todos los sistemas. Cuantas más medidas tome un atacante, mayores serán las probabilidades de que se desconecte un cable.

Esta es la razón por la que los actores de amenazas avanzadas, como LUCR-3 y APT29, invierten mucho en el sigilo y pasan semanas viviendo de la tierra y mezclándose con el tráfico normal. Incluso entonces, dejan artefactos: ubicaciones de inicio de sesión inusuales, patrones de acceso extraños y ligeras desviaciones con respecto al comportamiento inicial. Estos artefactos son exactamente lo que los sistemas de detección modernos están diseñados para encontrar.

Sin embargo, el problema aquí es que los agentes de IA no siguen realmente este manual.

Lo que ya tiene un agente de IA

Los agentes de IA funcionan de manera fundamentalmente diferente a los usuarios humanos. Trabajan en todos los sistemas, mueven datos entre aplicaciones y se ejecutan de forma continua. Si se ve comprometido, un atacante evita toda la cadena de eliminación: el propio agente se convierte en la cadena de eliminación.

Piense a qué suele tener acceso un agente de IA. Su historial de actividad es un mapa perfecto de los datos que existen y dónde se encuentran. Probablemente se basa en Salesforce, pasa a Slack, se sincroniza con Google Drive y actualiza ServiceNow como parte de su flujo de trabajo normal. En el momento de la implementación, se le concedieron amplios permisos, a menudo acceso a nivel de administrador en varias aplicaciones, y ya transfiere datos entre sistemas como parte de su trabajo.

Un atacante que compromete a ese agente lo hereda todo al instante. Obtienen el mapa, el acceso, los permisos y un motivo legítimo para mover los datos. ¿Cuáles son las etapas de la cadena de destrucción que los equipos de seguridad llevan años aprendiendo a detectar? El agente las omite todas de forma predeterminada.

La amenaza ya se está haciendo realidad

El Crisis de OpenClaw nos mostró cómo se ve esto en la práctica:

Aproximadamente el 12% de las habilidades de su mercado público eran maliciosas. Una vulnerabilidad crítica del RCE permitía comprometerla con un solo clic. Se expusieron públicamente más de 21 000 instancias. Pero lo que más daba miedo era a qué podía acceder un agente comprometido una vez conectado a Slack y Google Workspace: mensajes, archivos, correos electrónicos y documentos, con memoria persistente en todas las sesiones.

El principal problema es que las herramientas de seguridad están diseñadas para detectar comportamientos anormales. Cuando un atacante utiliza el flujo de trabajo existente de un agente de IA, todo parece normal. El agente accede a los sistemas a los que siempre accede, mueve los datos que siempre mueve y opera en el momento en que siempre está en funcionamiento.

Esta es la brecha de detección a la que se enfrentan los equipos de seguridad.

Cómo Reco cierra la brecha de visibilidad

La defensa contra los agentes de IA comprometidos comienza por saber qué agentes están operando en su entorno, a qué se conectan y qué permisos tienen. La mayoría de las organizaciones no tienen un inventario de los agentes de IA que intervienen en su ecosistema de SaaS. Este es exactamente el tipo de problema para el que Reco se creó.

Descubre a todos los agentes de IA en juego

Agentic AI Security de Reco descubre todos los agentes de IA, funciones de IA integradas e integraciones de IA de terceros en su entorno de SaaS, incluidas las herramientas de IA en la sombra conectadas sin la aprobación de TI.

Figura 1: Inventario de agentes de IA de Reco, que muestra los agentes descubiertos y sus conexiones a GitHub.

Alcance de acceso al mapa y radio de explosión

Para cada agente, Reco mapea las aplicaciones SaaS a las que se conecta, los permisos que tiene y los datos a los que puede acceder. De Reco Visualización de SaaS a SaaS muestra exactamente cómo se integran los agentes en su ecosistema de aplicaciones, revelando combinaciones tóxicas en las que los agentes de IA unen los sistemas mediante integraciones de MCP, OAuth o API, lo que crea desgloses de permisos que ningún propietario de la aplicación autorizaría por sí solo.

Figura 2: El gráfico de conocimiento de Reco muestra una combinación tóxica entre Slack y Cursor a través de MCP.

Marque los objetivos y aplique el mínimo privilegio

Reco identifica qué agentes representan su mayor exposición al evaluar el alcance de los permisos, el acceso entre sistemas y la confidencialidad de los datos. Los agentes asociados a los riesgos emergentes se etiquetan automáticamente. A partir de ahí, Reco le ayuda a ajustar el tamaño del acceso a través de gobernanza de identidad y acceso , lo que limita directamente lo que puede hacer un atacante si un agente se ve comprometido.

Figura 3: Verificaciones de postura de IA de Reco con puntuaciones de seguridad y hallazgos de cumplimiento de IAM.

Detectar actividad anómala de agentes

De Reco motor de detección de amenazas aplica el análisis del comportamiento centrado en la identidad a los agentes de IA de la misma manera que lo hace con las identidades humanas, distinguiendo la automatización normal de las desviaciones sospechosas en tiempo real.

Figura 4: Una alerta Reco que marca una conexión no autorizada de ChatGPT a SharePoint.

Qué significa esto para su equipo

La cadena de exterminio tradicional partía del supuesto de que los atacantes tenían que luchar por cada centímetro de acceso. Los agentes de inteligencia artificial desmienten por completo esa suposición.

Un agente comprometido puede dar a un atacante acceso legítimo, un mapa perfecto del entorno, amplios permisos y una cobertura integrada para el movimiento de datos, sin un solo paso que parezca una intrusión.

Los equipos de seguridad que todavía se centran exclusivamente en detectar el comportamiento de los atacantes humanos se lo van a perder. Los atacantes aprovecharán los flujos de trabajo actuales de sus agentes de IA, sin que nadie se entere del ruido de las operaciones normales.

Tarde o temprano, un agente de IA de su entorno será el objetivo. La visibilidad es la diferencia entre detectarlo pronto y descubrirlo durante la respuesta a un incidente. Reco le brinda esa visibilidad en todo su ecosistema de SaaS en cuestión de minutos.

Obtenga más información aquí: Solicite una demostración: comience con Reco .

¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.