Los agentes de IA están pasando de ser una función experimental a convertirse en una infraestructura operativa. El punto crítico es que muchas empresas siguen tratándolos como si fueran simplemente chatbots avanzados, cuando en realidad acceden a datos, utilizan aplicaciones empresariales y pueden realizar acciones con un grado de autonomía que modifica el perfil de riesgo.
La señal más clara la dan las cifras. En 2026, el 88 % de las empresas informó de incidentes de seguridad relacionados con los agentes de IA durante el año anterior, mientras que solo el 6 % del presupuesto de seguridad se destina a este riesgo, según este análisis sobre la brecha entre incidentes y presupuesto en los agentes de IA. No se trata de un problema teórico. Es un problema de gobernanza, prioridades y control operativo.
Para los líderes empresariales, el mensaje no es «detengan los agentes de IA». Es todo lo contrario. Úsenlos con reglas claras, límites técnicos y una supervisión real. Cuando esto falta, la automatización también acelera los errores. En cambio, cuando la gobernanza está bien diseñada, la IA se convierte en un multiplicador fiable de la productividad, el análisis y la toma de decisiones.
Hay un dato que debería llamar la atención de la dirección: los incidentes relacionados con los agentes de IA están aumentando más rápidamente que los controles con los que las empresas los gestionan. El problema, para muchas empresas, no es darse cuenta de que el riesgo existe, sino darse cuenta demasiado tarde de que un agente con acceso operativo ya se ha infiltrado en procesos en los que un error tiene repercusiones en los datos, el dinero, los clientes y el cumplimiento normativo.
Los agentes de IA se están incorporando a los procesos empresariales a una velocidad que pocos programas de seguridad logran absorber. Analizan datos, elaboran informes, consultan sistemas, activan flujos de trabajo y, en algunos casos, interactúan con clientes o procesos sensibles sin supervisión continua. Para quienes evalúan soluciones de agentes de IA para procesos operativos y de toma de decisiones, la cuestión no es frenar su adopción. La cuestión es decidir primero dónde la autonomía genera valor y dónde, por el contrario, requiere límites claros.
Esto explica por qué el tema de los riesgos de seguridad de los agentes de IA en las empresas no es solo competencia del equipo de TI. Afecta al consejo de administración, al director financiero, al responsable de cumplimiento normativo y a quienes aprueban la automatización de procesos críticos. Si un agente puede leer el CRM, utilizar herramientas financieras, consultar repositorios de documentos y activar acciones en varias plataformas, una configuración errónea no se limita a una sola herramienta.
La crisis es silenciosa por una razón concreta. Muchos problemas no comienzan con un ataque evidente, sino con un permiso excesivo, una conexión API concedida a toda prisa, una solicitud mal interpretada o un flujo de trabajo aprobado sin el registro adecuado. En una pyme italiana, donde a menudo es el mismo proveedor el que gestiona el ERP, el correo electrónico, la inteligencia empresarial y las automatizaciones, este efecto se amplifica: la eficiencia aumenta de inmediato, mientras que la gobernanza y la segregación de funciones llegan después.
Aquí también hay una oportunidad concreta. Las pymes no disponen del presupuesto de las grandes empresas, pero pueden actuar con mayor rapidez si establecen unas pocas reglas claras: inventario de los agentes activos, accesos mínimos, aprobación humana de las tareas de alto impacto y verificación contractual de los proveedores. Se trata de una disciplina de gestión de riesgos con un rendimiento cuantificable, ya que reduce los errores costosos sin frenar la automatización.
Un agente de IA en la empresa no debe considerarse como un chat que responde a preguntas. Se parece más a un colaborador digital operativo. Se le asigna un objetivo, consulta datos, elige herramientas, lleva a cabo pasos intermedios y produce un resultado. Puede trabajar en previsiones, conciliaciones, clasificación de documentos, gestión de incidencias, análisis de promociones o seguimiento de riesgos.
Una analogía útil es la del «superbecario» con tarjeta de acceso universal. Si le das instrucciones precisas, accesos bien limitados y un supervisor, te será de gran ayuda. Si, por el contrario, le permites abrir archivadores, copiar documentos y tomar decisiones por su cuenta, el problema no es la mala intención. Es la ausencia de límites.
Para ver cómo se aplica este modelo en las operaciones de análisis, basta con observar el papel que desempeñan los agentes de IA en los procesos decisionales y analíticos.
En el software tradicional, el riesgo suele estar relacionado con funciones predecibles. Una aplicación hace lo que se le ha programado. Un agente de IA, en cambio, interpreta el contexto y los objetivos. Esto lo hace útil, pero también más difícil de controlar con los mecanismos clásicos.
Las tres características que influyen en el riesgo son las siguientes:
Regla práctica: si un sistema es capaz de leer, decidir y actuar, debe gestionarse como una identidad privilegiada, no como una simple función de software.
Muchas empresas aplican a los agentes los mismos controles que se utilizan para una integración de API o para un bot de automatización. Es un primer paso, pero no es suficiente. Los agentes combinan lenguaje natural, memoria operativa, integraciones y autonomía. Esto significa que una misma entrada puede producir resultados diferentes en función del contexto, las instrucciones actuales y las herramientas disponibles.
Para un directivo, la pregunta correcta no es «¿es seguro el agente?». La pregunta correcta es otra:
Si no hay una respuesta clara a alguna de estas tres cuestiones, el riesgo ya está presente.
Los ataques a los agentes de IA siguen una lógica sencilla: atacan el punto en el que el agente observa, interpreta o actúa. Para una pyme italiana, el problema no es teórico. Un solo agente conectado a un CRM, un correo electrónico certificado (PEC), un ERP o un sistema de pedidos puede concentrar en un único flujo riesgos que antes se distribuían entre varias aplicaciones y funciones.
La vía más directa sigue siendo la divulgación indebida de información confidencial. No hace falta que se trate de una violación sofisticada. Basta con un agente que tenga acceso general a los datos, una solicitud redactada de forma ambigua y controles deficientes sobre los resultados.
Un caso típico es el del equipo comercial. El agente consulta el CRM, los tickets abiertos y la documentación contractual para preparar un resumen del cliente. Si la solicitud lleva al sistema a «incluir todo lo que pueda ser útil», el resultado puede combinar datos que, considerados por separado, eran legítimos, pero que, en conjunto, resultan excesivos: condiciones económicas, notas operativas, referencias personales, excepciones contractuales.
Para una empresa de tamaño medio, este riesgo tiene un coste real. Puede dar lugar a una violación de la privacidad, revelar información comercial y generar tensiones con clientes o proveedores. El problema no es solo el dato que se muestra, sino la capacidad del agente para actuar como intermediario entre fuentes que la organización había mantenido separadas por una razón concreta.
La inyección de comandos funciona como una instrucción oculta en el material con el que el agente trabaja a diario. Puede encontrarse en un correo electrónico, en un archivo adjunto, en una base de conocimientos, en la ficha de un producto o en la respuesta de una API externa. El agente la interpreta como parte del contexto operativo y modifica su comportamiento.
Si, además, el agente utiliza otras herramientas, el problema se agrava. Una entrada errónea puede alterar la búsqueda de documentos, influir en una clasificación, iniciar un flujo de trabajo o transmitir un error a un segundo agente. En las empresas con procesos ágiles, este efecto es insidioso, ya que la rapidez y la automatización reducen el tiempo disponible para detectar la desviación.
En la práctica, los controles que mejor funcionan son los siguientes:
Confiar únicamente en la indicación inicial del sistema es una opción poco acertada. Las instrucciones estáticas ayudan, pero no bastan si el agente sigue leyendo contenidos poco fiables a lo largo del proceso.
Un agente vinculado a varios instrumentos presenta una superficie de ataque distribuida. Cada integración añade un nuevo punto que hay que controlar.
Este es uno de los riesgos más ignorados en los proyectos reales. El agente comienza con permisos limitados. Luego se añade un nuevo conector «temporal», un atajo para acelerar una prueba o una integración urgente solicitada por el departamento comercial. En pocos meses, el agente acaba teniendo más accesos de los que el equipo recuerda o puede justificar.
Obsidian Security ha señalado que muchos agentes en las empresas ya operan más allá del perímetro de autorización previsto inicialmente, tal y como se explica en este análisis sobre la acumulación de privilegios en los agentes de IA.
El mecanismo es recurrente:
| Situación | Efecto operativo | Riesgo |
|---|---|---|
| Nueva integración SaaS | El agente consigue nuevas miras | Aumenta la superficie de contacto |
| Falta de revisión periódica | Los permisos siguen vigentes aunque ya no sirvan | Aumenta el privilegio innecesario |
| Tokenes o credenciales expuestas | Un atacante hereda los accesos que ya están abiertos | Posible movimiento lateral |
Para una pyme, lo importante no es crear una estructura burocrática pesada. Lo importante es evitar que un empleado cuyo trabajo consiste en leer facturas acabe también modificando datos de registro, creando pedidos o autorizando excepciones. Las medidas más eficaces son fáciles de definir y requieren constancia en su aplicación:
Una parte importante del riesgo no se deriva de un ataque directo, sino de agentes que cumplen bien el objetivo que se les ha asignado, pero de una forma inadecuada para el contexto empresarial.
Un ejemplo realista es el del sector minorista o de la distribución. A un agente se le encarga reducir el stock estancado y mejorar la conversión promocional. Si no se explican claramente las limitaciones en cuanto a márgenes, posicionamiento de marca o estacionalidad, puede sugerir descuentos demasiado agresivos, impulsar los productos equivocados o basarse en datos incompletos. Desde el punto de vista técnico, ha trabajado correctamente. Desde el punto de vista operativo, ha causado un perjuicio.
Hay tres señales que merecen una atención inmediata:
Por eso, la seguridad de los agentes debe abordarse también como una cuestión de gestión operativa. Es necesario definir objetivos, límites, procedimientos de escalado y controles a posteriori. En las empresas italianas más pequeñas, donde los departamentos de TI, operaciones y negocio trabajan en estrecha colaboración, esto puede convertirse en una ventaja competitiva. Las normas se pueden redactar más rápidamente, los procesos se pueden corregir antes y el retorno de la inversión es más evidente si se parte de los casos de uso relacionados con datos, pagos y procesos de aprobación.
En una entidad financiera, un agente de IA presta apoyo al equipo de riesgos recopilando información de las transacciones, los datos de los clientes y las notificaciones internas. Su función consiste en remitir a los auditores los casos que merecen atención. En teoría, agiliza el trabajo. En la práctica, si recibe datos manipulados o si opera con permisos demasiado amplios, puede alterar la prioridad de los controles o presentar una visión incompleta.
En este sector, el daño rara vez se limita al departamento de TI. Afecta al cumplimiento normativo, a las auditorías, a la reputación y a los tiempos de respuesta ante las autoridades o los clientes. Por ello, la pérdida de datos y la filtración son la principal preocupación para el 83 % de los CISO, mientras que el 53 % de las organizaciones señala que los agentes de IA se exceden en sus permisos, tal y como se desprende de la encuesta de CSA-Zenity sobre la seguridad de los agentes de IA.
En el sector minorista, el riesgo adopta una forma diferente. Un agente puede estar vinculado a la fijación de precios, el inventario, el análisis de comercio electrónico y las campañas promocionales. Si interpreta mal una instrucción, o si alguien manipula los datos de entrada, el efecto se traduce rápidamente en descuentos insostenibles, surtidos desequilibrados o la exposición de datos de clientes en informes y paneles de control.
Aquí, la velocidad es un factor multiplicador. Un error en un único procedimiento manual tiene un alcance limitado. Sin embargo, un error en un agente conectado a varios canales se propaga en cuestión de horas al catálogo, al stock y a las promociones.
En los sectores financiero y minorista, un agente inadecuado no solo provoca un fallo técnico. Provoca una decisión empresarial errónea, de mayor alcance y más rápida.
La primera es que los límites de las funciones deben ser estrictos. Un agente que se dedica al análisis no debería poder, además, aprobar, publicar o modificar sin controles adicionales.
La segunda es que es necesario supervisar el comportamiento, no solo los registros técnicos. En el sector financiero, esto implica observar desviaciones en las prioridades, las exclusiones y los flujos de trabajo sensibles. En el sector minorista, significa controlar patrones anómalos en los precios, las existencias, las promociones y el acceso a los datos de los clientes.
En el debate sobre los riesgos de seguridad de los agentes de IA en las empresas, a menudo se habla como si todas las empresas contaran con centros de operaciones de seguridad (SOC) consolidados, procesos estructurados y presupuestos específicos. Las pymes italianas se enfrentan a una realidad muy diferente. Cuentan con menos personal, menos tiempo, pilas de aplicaciones heterogéneas y una fuerte presión para obtener un retorno de la inversión rápidamente.
Por eso, el riesgo no es solo técnico. Es organizativo. Según un informe de Confindustria Digitale correspondiente al primer trimestre de 2026, el 67 % de las pymes italianas utiliza agentes de IA, pero solo el 22 % ha implementado una gestión de identidades para ellos. Además, AGID ha constatado que el 45 % de las violaciones de IA en las pymes de Lombardía se deben a agentes no supervisados, con pérdidas medias de 150 000 € por incidente, tal y como se recoge en este análisis en profundidad sobre los riesgos de los agentes de IA y sus implicaciones locales.
Estas cifras reflejan una tensión típicamente italiana. La adopción avanza más rápido que la gestión. Y cuando falta un mínimo de disciplina en materia de identidad, supervisión y propiedad, la automatización se convierte en una fuente de riesgos difíciles de detectar hasta que algo falla.
En la práctica, me encuentro con cuatro puntos débiles recurrentes:
Para las pymes italianas, resulta útil analizar la gobernanza también a la luz de la evolución normativa europea, incluido el marco analizado en el comentario de ELECTE sobre la Ley Europea de IA.
Las pymes no necesitan una réplica del modelo empresarial. Necesitan controles que sean fáciles de gestionar y proporcionados. Las preguntas adecuadas son muy concretas:
Si estas respuestas son vagas, el riesgo no es abstracto. Ya está implícito en la solución.
Un marco sólido no sirve para frenar la adopción. Sirve para evitar que la adopción se vuelva inmanejable. Cuando la gobernanza está bien diseñada, la empresa gana en agilidad porque sabe qué agentes puede utilizar, sobre qué datos y con qué límites.
La primera regla es sencilla: no se puede controlar lo que no se sabe que se tiene. Muchas empresas solo descubren a los agentes cuando tienen que investigar un comportamiento anómalo. Para entonces ya es demasiado tarde.
El inventario debe incluir:
Un inventario útil no es una lista estática. Debe indicar al menos cuatro cosas: el propietario, las fuentes de datos, las herramientas relacionadas y el nivel de criticidad.
Este es el quid de la cuestión. Cada agente debe tener su propia identidad, independiente de la del usuario que lo ha creado. Si el agente hereda permisos demasiado amplios, cada una de sus acciones también hereda el riesgo.
Las decisiones acertadas en este caso son muy prácticas:
| Elección de la estructura de gobierno | Efecto |
|---|---|
| Identidad distinta para cada agente | Asignación clara de las acciones |
| Permisos mínimos por tarea | Reducción del impacto en caso de error |
| Revisión periódica de los accesos | Contención de la ampliación gradual de privilegios |
Lo que no funciona es utilizar cuentas compartidas, tokens largos sin rotación o roles genéricos «por comodidad». La comodidad inicial se paga con una pérdida de visibilidad.
Principio rector: el agente debe tener acceso suficiente para trabajar, no acceso general para «evitar bloqueos».
Los registros técnicos son útiles, pero no bastan. Se necesita un sistema de supervisión que observe los comportamientos. Un agente que empiece a consultar fuentes inusuales, aumente el volumen de solicitudes o modifique su patrón de actuación debería generar una alerta, aunque todas las credenciales sean formalmente válidas.
Un buen plan de auditoría incluye:
En este sentido, la legibilidad también es muy importante. Si solo un técnico con experiencia es capaz de interpretar la telemetría, la gobernanza sigue siendo frágil.
El error más costoso es pensar que «human in the loop» significa aprobarlo todo manualmente. Eso no es sostenible. La supervisión humana funciona cuando establece umbrales de intervención.
Por ejemplo, el agente puede trabajar por su cuenta en tareas de bajo impacto, pero debe detenerse cuando:
Esta supervisión debe plasmarse en las políticas y traducirse en los flujos de trabajo. No puede quedarse en una simple buena intención.
Si tu equipo no sabe quién puede interrumpir a un agente, no tienes una estructura de gestión. Solo tienes una esperanza organizada.
En las pymes italianas, la mitigación de riesgos relacionados con los agentes de IA debe ser proporcionada. Un control demasiado laxo pone en riesgo a la empresa. Un control demasiado estricto frena el proyecto antes de que genere valor. El objetivo adecuado es reducir el riesgo operativo con medidas que el equipo pueda realmente mantener a lo largo del tiempo.
Para ello, los departamentos de negocio y de TI deben trabajar sobre una base común. El departamento técnico se encarga de las integraciones, los registros y los permisos. La dirección decide las prioridades, los umbrales de riesgo y el presupuesto. Si falta una de estas dos partes, el agente acaba operando en una zona gris.
Es útil partir de principios claros, como por ejemplo un modelo de seguridad «zero trust» aplicado a los sistemas digitales modernos, y traducirlos en controles fáciles de verificar.
Esta lista sirve como referencia mínima para los agentes que leen datos de la empresa, consultan sistemas internos o activan flujos de trabajo.
Hay dos aspectos que requieren una atención constante. El primero es la inyección de comandos, que altera el comportamiento del agente mediante entradas aparentemente legítimas. El segundo es el efecto dominó entre herramientas y sistemas interconectados. En la práctica, un pequeño error inicial puede propagarse al CRM, al ERP, al sistema de tickets o a canales externos si no existen filtros, límites de ejecución y comprobaciones en el flujo de datos.
Para un director general, un director de operaciones o un responsable de departamento, la pregunta clave no es solo si el agente funciona. La pregunta es si su margen de error es compatible con el proceso en el que opera.
Para muchas pymes italianas, este aspecto es decisivo para el éxito del proyecto. No sirve de nada copiar el modelo de gobernanza de un banco internacional. Lo que hay que hacer es identificar en qué aspectos un error supone realmente un coste en términos de dinero, reputación o cumplimiento normativo, y establecer allí los controles más estrictos.
Hay tres preguntas que deben plantearse en cualquier reunión con proveedores, integradores de sistemas o equipos internos:
Un agente de IA solo es útil si sigue siendo controlable incluso en caso de error, bajo presión operativa o ante entradas hostiles.
Los agentes de IA ya están cambiando la forma en que las empresas analizan los datos, toman decisiones y llevan a cabo sus actividades operativas. El riesgo no radica en su existencia, sino en que la autonomía, los accesos y la gobernanza evolucionen a ritmos diferentes.
Por eso, el tema de los riesgos de seguridad de los agentes de IA en las empresas debe abordarse como una disciplina de gestión, además de técnica. Un inventario claro, identidades bien definidas, la supervisión del comportamiento y la supervisión humana selectiva son los cuatro elementos que distinguen un proyecto escalable de una fuente continua de vulnerabilidad.
Las pymes italianas se enfrentan a un reto adicional. Deben generar valor rápidamente sin crear estructuras demasiado pesadas. La respuesta no consiste en copiar los modelos de las grandes multinacionales, sino en aplicar controles esenciales, claros y sostenibles.
Aviso legal: Este artículo ofrece información general y no constituye asesoramiento jurídico ni en materia de cumplimiento normativo.
Si quieres implementar herramientas de análisis y agentes de IA con un enfoque más controlado, puedes ver cómo ELECTE, una plataforma de análisis de datos basada en IA para pymes, ayuda a los equipos a convertir los datos en información operativa a través de una experiencia accesible, diseñada para crecer sin añadir complejidad innecesaria.
.svg)
.svg)
.svg)
