Cada agente de IA en tu empresa es una identidad digital — y la mayoria no tiene los controles que si tiene un empleado
La señal
El 82% de las organizaciones descubrió al menos un agente de IA operando en sus sistemas sin que el área de seguridad supiera que existía. El 41% encontró que esto ocurrió más de una vez. El 65% ya experimentó un incidente de seguridad involucrando agentes de IA, y el 61% reportó exposición o manejo indebido de datos como resultado.
Los números son de una encuesta de 2026 de Cloud Security Alliance. No son proyecciones: describen lo que ya está ocurriendo en la mayoría de organizaciones que adoptaron herramientas de IA.
El supuesto que se rompe
Que gestionar quién tiene acceso a qué —el trabajo tradicional de identidades y permisos— cubre todos los actores relevantes en la organización. No los cubre.
Un agente de IA con acceso a correo corporativo, a un sistema CRM o a una base de datos actúa como una identidad digital. Puede consultar información, tomar decisiones, mover datos y conectarse a otros sistemas. Pero los marcos de gobernanza de identidades fueron diseñados para humanos: tienen flujos de aprobación, auditorías periódicas y procesos de baja cuando alguien sale de la empresa. Los agentes de IA crean sus propios accesos, los rotan a velocidad de máquina y no tienen proceso de baja cuando dejan de usarse. Quedan activos, con permisos, sin que nadie los supervise.
Qué observar
La pregunta que pocas organizaciones pueden responder hoy: ¿cuántos agentes de IA están activos en nuestra infraestructura, qué sistemas pueden acceder, y quién es responsable de cada uno?
El cambio que se viene en gobernanza no es tecnológico: es conceptual. Pasar de controles basados en permisos —qué puede hacer este agente— a controles basados en propósito —para qué fue creado este agente y sigue haciendo solo eso. La diferencia entre auditorías puntuales y monitoreo continuo de lo que los agentes hacen realmente con su acceso.