Los agentes de IA están acelerando la forma en que se realiza el trabajo. Planifican reuniones, acceden a los datos, activan flujos de trabajo, escriben código y toman medidas en tiempo real, lo que impulsa la productividad más allá de la velocidad humana en toda la empresa.
Luego llega el momento en que todos los equipos de seguridad finalmente atacan:
«Espera... ¿quién aprobó esto?»
A diferencia de los usuarios o las aplicaciones, los agentes de IA suelen desplegarse rápidamente, compartirse ampliamente y concederles amplios permisos de acceso, lo que dificulta el seguimiento de la propiedad, la aprobación y la responsabilidad. Lo que antes era una pregunta sencilla ahora es sorprendentemente difícil de responder.
Los agentes de IA rompen los modelos de acceso tradicionales
Los agentes de IA no son solo otro tipo de usuario. Se diferencian fundamentalmente de las cuentas de servicio humanas y tradicionales, y esas diferencias son las que rompen los modelos de acceso y aprobación existentes.
El acceso humano se basa en una intención clara. Los permisos están vinculados a una función, se revisan periódicamente y están limitados por el tiempo y el contexto. Las cuentas de servicio, si bien no son humanas, suelen crearse con un propósito específico, tienen un alcance limitado y están vinculadas a una aplicación o función específica.
Los agentes de IA son diferentes. Operan con autoridad delegada y pueden actuar en nombre de varios usuarios o equipos sin requerir la participación humana continua. Una vez autorizados, son autónomos, persistentes y, a menudo, actúan en varios sistemas, moviéndose entre varios sistemas y fuentes de datos para completar las tareas de principio a fin.
En este modelo, el acceso delegado no solo automatiza las acciones de los usuarios, sino que las amplía. Los usuarios humanos se ven limitados por los permisos que se les conceden de forma explícita, pero los agentes de IA suelen tener un acceso más amplio y potente para operar de forma eficaz. Como resultado, el agente puede realizar acciones que el propio usuario nunca estuvo autorizado a realizar. Una vez que existe ese acceso, el agente puede actuar; incluso si el usuario nunca tuvo la intención de realizar la acción o no sabía que era posible, el agente aún puede ejecutarla. Como resultado, el agente puede crear una exposición, a veces de forma accidental, a veces de forma implícita, pero siempre de forma legítima desde un punto de vista técnico.
Así es como se produce la deriva de acceso. Los agentes acumulan permisos de forma silenciosa a medida que su alcance se amplía. Se añaden integraciones, cambian los roles, los equipos van y vienen, pero el acceso del agente permanece. Se convierten en un poderoso intermediario con permisos amplios y duraderos y, a menudo, sin un propietario claro.
No es de extrañar que las suposiciones de IAM existentes no funcionen. IAM asume una identidad clara, un propietario definido, funciones estáticas y revisiones periódicas que se adaptan al comportamiento humano. Los agentes de IA no siguen esos patrones. No se ajustan perfectamente a las categorías de cuentas de usuario o de servicio, funcionan de forma continua y su acceso efectivo se define por la forma en que se utilizan, no por la forma en que se aprobaron originalmente. Sin replantearse estas suposiciones, IAM no ve el riesgo real que suponen los agentes de IA.
Los tres tipos de agentes de IA en la empresa
No todos los agentes de IA conllevan el mismo riesgo en los entornos empresariales. El riesgo varía en función de quién es el propietario del agente, su uso generalizado y el acceso al que tenga acceso, lo que se traduce en distintas categorías con implicaciones muy diferentes en materia de seguridad, responsabilidad y alcance:
Agentes personales (propiedad del usuario)
Los agentes personales son Asistentes de IA utilizado por empleados individuales para ayudar con las tareas diarias. Redactan contenido, resumen información, programan reuniones o ayudan a programar, siempre en el contexto de un solo usuario.
Estos agentes suelen operar dentro de los permisos del usuario que los posee. Su acceso se hereda, no se amplía. Si el usuario pierde el acceso, el agente también lo pierde. Como la propiedad es clara y el alcance es limitado, el radio de explosión es relativamente pequeño. El riesgo está directamente relacionado con el usuario individual, por lo que los agentes personales son los más fáciles de entender, controlar y solucionar.
Agentes externos (propiedad del proveedor)
Los agentes de terceros están integrados en las plataformas SaaS e IA, que los proveedores proporcionan como parte de su producto. Algunos ejemplos son las funciones de IA integradas en los sistemas de CRM, las herramientas de colaboración o las plataformas de seguridad.
Estos agentes se rigen mediante controles de proveedores, contratos y modelos de responsabilidad compartida. Si bien los clientes pueden tener una visibilidad limitada de la forma en que trabajan internamente, la responsabilidad está claramente definida: el proveedor es el propietario del agente.
La principal preocupación aquí es la Riesgo de la cadena de suministro de IA : confiar en que el proveedor proteja adecuadamente a sus agentes. Sin embargo, desde una perspectiva empresarial, la propiedad, las vías de aprobación y la responsabilidad suelen entenderse bien.
Agentes organizacionales (compartidos y, a menudo, sin propietario)
Los agentes organizativos se implementan internamente y se comparten entre equipos, flujos de trabajo y casos de uso. Automatizan los procesos, integran sistemas y actúan en nombre de varios usuarios. Para que sean eficaces, a estos agentes se les suelen conceder permisos amplios y persistentes que superan el acceso de un solo usuario.
Aquí es donde se concentra el riesgo. Con frecuencia, los agentes de la organización no tienen un propietario claro, un único aprobador y un ciclo de vida definido. Cuando algo sale mal, no está claro quién es el responsable ni quién entiende perfectamente lo que puede hacer el agente.
Como resultado, los agentes organizacionales representan el mayor riesgo y el mayor radio de explosión, no porque sean malintencionados, sino porque operan a gran escala sin una rendición de cuentas clara.
El problema de la elusión de la autorización de un agente
Como explicamos en nuestro artículo, agentes que crean rutas de omisión de autorización , los agentes de IA no solo ejecutan tareas, sino que actúan como intermediarios de acceso. En lugar de que los usuarios interactúen directamente con los sistemas, los agentes actúan en su nombre, utilizando sus propias credenciales, tokens e integraciones. Esto cambia cuando realmente se toman las decisiones de autorización.
Cuando los agentes actúan en nombre de usuarios individuales, pueden proporcionar al usuario acceso y capacidades más allá de los permisos aprobados por el usuario. Un usuario que no pueda acceder directamente a ciertos datos o realizar acciones específicas puede activar un agente que sí pueda hacerlo. El agente se convierte en un proxy, lo que permite acciones que el usuario nunca podría ejecutar por sí solo.
Estas acciones están técnicamente autorizadas: el agente tiene un acceso válido. Sin embargo, no son seguras desde el punto de vista del contexto. Los controles de acceso tradicionales no activan ninguna alerta porque las credenciales son legítimas. Esta es la esencia de la elusión de la autorización por parte de los agentes: el acceso se concede correctamente, pero se utiliza de formas para las que los modelos de seguridad nunca se diseñaron.
Repensar el riesgo: lo que debe cambiar
Proteger a los agentes de IA requiere un cambio fundamental en la forma en que se define y gestiona el riesgo. Los agentes ya no se pueden tratar como extensiones de usuarios o como procesos de automatización en segundo plano. Deben tratarse como entidades sensibles y potencialmente de alto riesgo con sus propias identidades, permisos y perfiles de riesgo.
Esto comienza con propiedad y responsabilidad claras . Cada agente debe tener un propietario definido responsable de su propósito, alcance del acceso y revisión continua. Sin propiedad, la aprobación no tiene sentido y el riesgo no se gestiona.
Fundamentalmente, las organizaciones también deben mapear cómo los usuarios interactúan con los agentes. No basta con saber a qué puede acceder un agente; los equipos de seguridad necesitan saber qué usuarios pueden invocar a un agente, en qué condiciones y con qué permisos efectivos. Sin este mapa de conexiones entre usuarios y agentes, los agentes pueden convertirse silenciosamente en rutas de elusión de la autorización, lo que permite a los usuarios realizar indirectamente acciones que no están autorizados a ejecutar directamente.
Por último, las organizaciones deben mapear el acceso de los agentes, las integraciones y las rutas de datos en todos los sistemas. Solo correlacionando el usuario → el agente → el sistema → la acción pueden los equipos evaluar con precisión el radio de la explosión, detectar el uso indebido e investigar de forma fiable las actividades sospechosas cuando algo va mal.
El costo de los agentes de IA organizacionales descontrolados
Los agentes de IA organizacionales descontrolados convierten las ganancias de productividad en un riesgo sistémico. Compartidos entre equipos y con un acceso amplio y persistente, estos agentes operan sin una propiedad ni una responsabilidad claras. Con el tiempo, pueden usarse para nuevas tareas, crear nuevas rutas de ejecución y sus acciones se vuelven más difíciles de rastrear o contener. Cuando algo sale mal, no hay un propietario claro que pueda responder, corregir o incluso conocer el radio total de la explosión. Sin controles de visibilidad, propiedad y acceso, los agentes de IA organizacionales se convierten en uno de los elementos más peligrosos y menos controlados del panorama de la seguridad empresarial.
Para obtener más información, visite https://wing.security/
Post generado automáticamente, fuente oficial de la información: THEHACKERNEWS