En The Hacker News salió hace unos días una nota muy buena de Ahmed Abugharbia, instructor certificado de SANS, titulada «Why Agentic AI Is Security’s Next Blind Spot». Y la tesis es directa: los equipos de seguridad no entienden todavía qué hay corriendo, dentro de sus propias empresas, con IA agéntica. Desde mi punto de vista, tiene toda la razón — y esto es algo que vengo diciendo en charlas hace meses.
Las tres categorías de agentes que ya están adentro de tu empresa
Abugharbia divide bien el problema en tres tipos de agentes que cualquier empresa mediana ya tiene operando, muchas veces sin que el equipo de seguridad lo sepa:
- Agentes de coding generalistas (Claude Code, GitHub Copilot, Cursor, etc.) con acceso al código fuente de la empresa.
- Agentes de proveedores que usan Model Context Protocol (MCP) y pueden ejecutar acciones contra servicios externos: enviar mails, actualizar CRMs, generar tickets, etc.
- Agentes custom armados internamente — muchas veces por equipos de marketing, finanzas u operaciones — sin revisión de seguridad y con permisos generosos.
La frase del artículo que me parece más útil para transmitir el riesgo en una sola línea es esta:
“Un agente con acceso al terminal y al inbox de email puede ser manipulado por cualquiera de los dos canales para actuar en el otro.”
Ahmed Abugharbia, The Hacker News
Eso es lateral movement impulsado por prompt injection. Si entendiste por qué eso es grave, ya te ganaste medio cuerpo del análisis.
Los patrones de ataque que ya se están viendo
- Invitaciones de calendario maliciosas con prompt injections ocultas que disparan acciones del agente al ser “leídas”.
- Asistentes self-hosted conectados a Telegram (u otros canales) sin controles de acceso, accesibles desde fuera de la organización.
- Agentes con acceso sin scoping a calendarios, repositorios y APIs internas — lo que en términos de seguridad llamamos blast radius excesivo.
- Equipos no-técnicos desplegando agentes sin pasar por security review, simplemente porque la herramienta lo permite.
Desde mi punto de vista
Lo que más me preocupa de este panorama no es el atacante sofisticado — es la visibilidad cero. Hablo con CISOs y responsables de seguridad casi todas las semanas, y la respuesta a “¿sabés cuántos agentes corren hoy adentro de tu empresa, con qué permisos y contra qué servicios?” es, en el 90% de los casos, un silencio o un “estamos viéndolo”.
La IA agéntica corporativa hoy está donde estaba la shadow IT hace 15 años — cuando los empleados usaban Dropbox sin que el área de IT lo supiera. Pero la diferencia es que un agente no solo guarda datos: ejecuta acciones. Y eso cambia la naturaleza del riesgo.
Qué se puede hacer hoy
No tenés que tirar todo y arrancar de cero. Lo que sí podés hacer en las próximas dos semanas, sin grandes inversiones, es esto:
- Inventariar qué agentes hay en uso: qué herramientas, qué equipos, qué permisos. Aunque sea en una planilla.
- Revisar los scopes de los agentes que tienen acceso a sistemas críticos. ¿De verdad necesita acceso a todo el repo? ¿De verdad necesita acceso al inbox completo?
- Definir una política mínima de “no agentes nuevos sin revisión” para casos sensibles.
- Empezar a pedir audit logs de las herramientas agénticas que ya están en uso. Si la herramienta no los expone, esa es una respuesta.
Para leer la fuente
La nota completa: Why Agentic AI Is Security’s Next Blind Spot (The Hacker News). Para los que les interesa profundizar, Abugharbia da el curso SEC545 de SANS sobre el tema en SANSFIRE 2026.
El nuevo perímetro es el agente
Estamos en el momento de la curva donde la adopción de IA agéntica corporativa supera, por mucho, la capacidad de los equipos de seguridad para auditarla. Eso siempre termina mal — históricamente. La buena noticia es que hay tiempo para corregir, si se actúa ahora. La mala noticia es que “ahora” es esta semana, no el próximo trimestre.
