La IA agéntica está a punto de traer cambios a varios niveles de las organizaciones y muchas han empezado a estudiar las ventajas competitivas que podrían sacarle. Gartner predice que, para 2028, el 33 % de las aplicaciones de software empresarial incluirán IA agéntica integrada, lo que hará posible que el 15 % de las decisiones diarias en el trabajo se tomen de forma autónoma mediante agentes de IA.
Al igual que ocurrió con otros avances tecnológicos, la IA agéntica viene acompañada de sus propios peligros en materia de ciberseguridad, por lo que los equipos de seguridad deberán colaborar con los equipos tecnológicos y de TI para gestionar esta nueva «fuerza de trabajo» inteligente y autónoma, y garantizar que la seguridad se integre en su despliegue y en sus operaciones.
Un mundo de posibilidades
La IA genética se caracteriza por su capacidad para actuar de forma autónoma y, aunque los chatbots desplegados con fines de atención al cliente tienen defectos, fueron quizá los primeros ejemplos de agentes de IA. Sin embargo, la interacción con los chatbots de asistencia puede resultar a menudo más frustrante que útil. Esto debería servir de pista a las organizaciones que estén considerando desplegar IA agéntica. En lugar de tomar decisiones precipitadas motivadas por el miedo a perderse algo, las implantaciones de IA agéntica deben planificarse y meditarse cuidadosamente.
La proliferación de agentes de IA es inevitable y, a medida que los algoritmos sigan mejorando, irán asumiendo gradualmente más procesos y flujos de trabajo en los departamentos que exigen eficacia, escalabilidad y toma de decisiones basada en datos. Áreas como la respuesta a incidentes, la optimización de redes, el análisis de datos y la inteligencia empresarial, el desarrollo de software o la gestión de la cadena de suministro pueden beneficiarse de las capacidades analíticas, organizativas y predictivas de la IA agéntica. A medida que la tecnología madure, su papel se extenderá a otros ámbitos esenciales, como el análisis de imágenes médicas, la generación de diagnósticos y planes de tratamiento personalizados en la atención sanitaria y el tratamiento y descubrimiento de fármacos en las industrias de la investigación y la farmacia.
El potencial de transformación es significativo, pero la adopción a gran escala no se hará sin provocar perturbaciones. Los agentes de IA introducirán nuevas responsabilidades para los responsables de tecnología y seguridad, y cambiarán los activos digitales de las organizaciones, lo que suele ser un desencadenante de nuevos ciber riesgos.
Gran potencial, grandes responsabilidades
Los CIO, CTO y CISO ya tienen hoy mucho trabajo, pero la implantación de los agentes de IA afectará a su función y aumentará sus responsabilidades. Antes de delegar tareas críticas en los robots, las organizaciones deberán generar confianza en su comportamiento y fiabilidad.
Tradicionalmente, los CIO y los CTO se han encargado de la gestión de los sistemas informáticos y de la implantación de nuevas estrategias y tecnologías; ahora, también deberán desplegar, supervisar y medir la fiabilidad y eficacia de esta nueva mano de obra «artificial». Del mismo modo, los equipos de seguridad ya no serán los únicos responsables de proteger a los usuarios humanos y la infraestructura tradicional, sino también a los agentes autónomos de IA y los nuevos entornos en los que operan.
Para lograrlo, los responsables de seguridad necesitan tener una visibilidad total sobre el proceso de despliegue de los agentes de IA, evitar que surja una «IA en la sombra» durante el proceso e implicarse desde las primeras fases para garantizar que la seguridad esté integrada en sus operaciones. Esto incluye auditar a cualquier proveedor que esté detrás de los agentes de IA o que integre capacidades de IA agéntica en sus soluciones, y garantizar la transparencia y unas normas de seguridad elevadas en la forma en que se accede a los datos y se utilizan para sus operaciones y formación.
También deberán crear entornos seguros para que operen los agentes de IA y evitar que se manipulen sus algoritmos, ya sea mediante el envenenamiento de datos o memoria, cortando el acceso a los datos necesarios para operar y tomar decisiones o mediante cualquier otra técnica que pueda perturbar las operaciones de los agentes y tener ramificaciones más amplias en la organización y sus partes interesadas.
Al igual que se hace con los nuevos empleados, los equipos de seguridad deberán definir políticas de acceso para cada nuevo agente de IA, con el fin de evitar un sobre privilegio. Un agente comprometido con privilegios excesivos podría aprovecharse para acceder a los sistemas de una organización, moverse libremente por ellos, desestabilizar a otros agentes de IA con los que pudiera estar conectado y acceder a datos sensibles para exfiltrarlos. El paralelismo entre la IA y la seguridad humana se extiende a la supervisión de comportamientos; por tanto, la seguridad deberá crear visibilidad sobre las acciones y actividades de los agentes de IA y estar en condiciones de detectar cualquier comportamiento sospechoso que pueda indicar un compromiso.
Apenas hemos arañado la superficie, pero es fácil ver que la seguridad de los agentes de IA será un asunto con muchos frentes. Serán necesarios controles de acceso estrictos, una supervisión continua de su comportamiento, un cifrado de datos sólido para los datos que consumen y procesan y una validación de entrada/salida rigurosa para evitar los ataques de los adversarios. También deberían considerar la realización de auditorías de seguridad y pruebas de penetración periódicas dirigidas a los agentes de IA y sus integraciones, con el fin de identificar y abordar las vulnerabilidades antes de que puedan ser explotadas.
Garantizar la seguridad de los agentes de IA no será fácil, por lo que insisto en la importancia de implicar a los equipos de seguridad desde el principio en los proyectos de IA agéntica. Sin un buen nivel de comprensión de la misión y el funcionamiento interno de una IA, los equipos de seguridad no podrán ajustar con precisión los parámetros de seguridad y acceso.
Miguel Ángel Martos, Country Manager Iberia, Netskope
