El peligro de los agentes de IA: un nuevo enfoque en la ciberseguridad
Publicado el
La nueva amenaza de los agentes de IA
En septiembre de 2025, Anthropic reveló que un actor de amenazas patrocinado por un estado utilizó un agente de codificación de IA para llevar a cabo una campaña de ciberespionaje autónoma contra 30 objetivos globales. Este agente gestionó entre el 80% y el 90% de las operaciones tácticas de manera independiente, realizando tareas de reconocimiento, generando código de explotación y ejecutando movimientos laterales a una velocidad asombrosa.
Este incidente es alarmante, pero aún más preocupante es el escenario en el que un atacante no necesita seguir la kill chain, ya que ha comprometido un agente de IA que ya reside en el entorno de la víctima, y que posee acceso, permisos y una razón legítima para moverse por los sistemas diariamente.
Un marco obsoleto para amenazas actuales
El modelo tradicional de la kill chain, desarrollado por Lockheed Martin en 2011, asume que los atacantes deben realizar un esfuerzo considerable para ganar acceso. Este enfoque se basa en la idea de que los atacantes pasan por una serie de etapas distintas, ofreciendo múltiples oportunidades para que los defensores interrumpan el ataque.
Las etapas de una intrusión típica incluyen: - Acceso inicial: explotación de vulnerabilidades. - Persistencia: mantener el acceso sin activar alertas. - Reconocimiento: entender el entorno. - Movimiento lateral: alcanzar datos valiosos. - Escalación de privilegios: obtener más acceso. - Exfiltración: transferir datos sin ser detectado.
Cada una de estas etapas presenta oportunidades de detección, como podría ser la seguridad en los endpoints que detecta la carga inicial o la monitorización de red que identifica movimientos laterales inusuales. Sin embargo, los agentes de IA comprometen este modelo tradicional.
Funcionamiento de los agentes de IA
Los agentes de IA operan de manera diferente a los usuarios humanos. Se mueven entre sistemas, gestionan datos y funcionan de forma continua. Si son comprometidos, el atacante elude toda la kill chain, convirtiendo al agente en la propia cadena de ataque. Un agente de IA tiene acceso a una amplia variedad de aplicaciones y manipula datos en su rutina diaria, lo que lo convierte en un objetivo atractivo para los ciberatacantes.
Por ejemplo, un agente de IA puede acceder a Salesforce, enviar datos a Slack, sincronizar con Google Drive y actualizar ServiceNow. Si un atacante logra comprometer dicho agente, hereda instantáneamente todo su acceso y permisos, saltándose todas las etapas de detección que los equipos de seguridad han aprendido a identificar con esfuerzo.
Ejemplos de la amenaza en acción
El caso de OpenClaw ilustra estas preocupaciones. Aproximadamente el 12% de las habilidades en su mercado público eran maliciosas, y una vulnerabilidad crítica de ejecución remota permitía un compromiso con un solo clic. Más de 21,000 instancias estaban expuestas públicamente. Lo más preocupante es lo que un agente comprometido podía acceder una vez conectado a plataformas como Slack y Google Workspace: mensajes, archivos y correos electrónicos, todo con memoria persistente a través de sesiones.
El vacío de detección
Los sistemas de seguridad están diseñados para detectar comportamientos anormales. Sin embargo, cuando un atacante se aprovecha del flujo de trabajo existente de un agente de IA, todo parece normal. Este es el vacío de detección que enfrentan los equipos de seguridad, ya que el agente opera dentro de sus parámetros habituales.
Cerrar la brecha de visibilidad
Protegerse contra agentes de IA comprometidos comienza por identificar qué agentes están operando en el entorno, a qué se conectan y qué permisos tienen. Muchas organizaciones carecen de un inventario de los agentes de IA presentes en su ecosistema SaaS. Reco se ha desarrollado precisamente para abordar este problema.
Descubrimiento de agentes de IA
La solución de seguridad de IA de Reco identifica todos los agentes de IA, características de IA integradas y herramientas de IA de terceros en el entorno SaaS, incluyendo herramientas de IA ocultas conectadas sin la aprobación de TI. Cada agente es mapeado para conocer sus conexiones y permisos, revelando combinaciones tóxicas que pueden comprometer la seguridad de la organización.
Mapeo del acceso
Reco proporciona una visualización SaaS a SaaS que muestra cómo los agentes se integran en el ecosistema de aplicaciones, facilitando la identificación de posibles brechas de seguridad. En un contexto donde las amenazas evolucionan rápidamente, la identificación y gestión de estos agentes se convierte en una prioridad crítica para las organizaciones que buscan reforzar su ciberseguridad.