​​Para 2028, el 25% de las brechas empresariales serán atribuibles al abuso de agentes de IA, según Gartner. Simultáneamente, el costo promedio de una brecha de datos alcanza los USD 4.88 millones, de acuerdo con el Cost of a Data Breach Report 2024 de IBM. 

A esto se suma que la inyección de prompts encabeza el OWASP Top 10 for LLMs como el riesgo número 1 desde su primera publicación, confirmando que la capa de lenguaje natural es el vector de entrada más crítico en la actualidad. 

La vulneración de marzo de 2026 a los sistemas de McKinsey mediante la herramienta CodeWall demuestra que delegar permisos de ejecución a agentes de IA sin controles en la capa de orquestación destruye los perímetros de seguridad tradicionales.

Por qué los escáneres DAST y SAST son ciegos ante la IA agéntica

Los escáneres DAST y SAST son estructuralmente incapaces de evaluar la lógica probabilística de los LLMs — no buscan firmas de código sino manipulaciones semánticas en lenguaje natural. 

Un escáner de Pruebas de Seguridad de Aplicaciones Dinámicas (DAST) o Estáticas (SAST) está diseñado para operar bajo un paradigma determinista. Busca firmas conocidas, errores de sintaxis, configuraciones incorrectas o vectores de ataque estructurados como la inyección SQL o el Cross-Site Scripting (XSS). Los LLMs, por su diseño arquitectónico, no operan mediante reglas estrictas, sino mediante la predicción probabilística de tokens basada en el contexto proporcionado.

Esta diferencia estructural inutiliza las defensas convencionales. Cuando un atacante inyecta instrucciones maliciosas en el contexto de un modelo, no está explotando un error en el código de la aplicación, sino manipulando el comportamiento previsto del sistema. El LLM procesa el texto malicioso como instrucciones legítimas, generando un resultado que la aplicación confía y ejecuta. Para el escáner de seguridad tradicional, el flujo de datos parece completamente normal y autorizado.

La dependencia de herramientas de escaneo heredadas crea una falsa sensación de seguridad en las juntas directivas y los equipos de TI. Los responsables de la seguridad de la información (CISOs) que autorizan el despliegue de agentes de IA basándose en reportes SAST limpios están exponiendo a sus organizaciones a riesgos operativos severos. La seguridad de los agentes requiere un enfoque centrado en la auditoría continua de los system prompts, la validación semántica de los inputs/outputs y la restricción estricta de los permisos otorgados a los orquestadores subyacentes.

Anatomía de un desastre: agencia excesiva y el compromiso de CodeWall en McKinsey

El incidente de marzo de 2026 reportado por Infobae ilustra la transición de los ataques teóricos a compromisos críticos en entornos corporativos reales. La herramienta CodeWall, utilizada en el entorno de McKinsey, no operaba como un simple chatbot pasivo, sino como un agente autónomo integrado en los flujos de desarrollo. Este tipo de arquitectura permite al modelo no solo leer información, sino invocar interfaces de programación de aplicaciones (APIs), modificar bases de datos y ejecutar código a través de herramientas externas (Tool Calling).

El problema central radica en lo que el estándar de la industria define como Agencia Excesiva (Excessive Agency). El atacante no necesitó comprometer los servidores de McKinsey rompiendo contraseñas o explotando vulnerabilidades de red. El vector de ataque consistió en manipular la información que el agente procesaba, induciéndolo a utilizar sus propios privilegios legítimos de forma destructiva. El orquestador de la IA, que actúa como puente entre el LLM y la infraestructura corporativa, carecía de mecanismos robustos para validar si la secuencia de acciones solicitada por el agente violaba las políticas de seguridad de la empresa.

Este nivel de acceso sin restricciones transforma a un agente de IA en un conducto directo para la ejecución remota de código (RCE) y la exfiltración de datos. Para los directores de tecnología (CTOs) que buscan acelerar la productividad integrando sistemas RAG (Retrieval-Augmented Generation) y agentes autónomos, el caso McKinsey establece un precedente irrefutable. La arquitectura técnica debe asumir que el LLM será eventualmente engañado, por lo que los controles de autorización deben aplicarse sobre las herramientas que el agente intenta ejecutar, implementando principios de privilegios mínimos y aprobaciones de “humano en el bucle” (Human-in-the-loop) para acciones destructivas o sensibles.

Shadow AI: el riesgo oculto en la infraestructura descentralizada

Solo el 40% de las empresas tienen suscripciones oficiales de IA, pero empleados en más del 90% de las organizaciones usan herramientas de IA a través de cuentas personales que TI nunca aprobó, según análisis de 22 millones de prompts empresariales de Harmonic Security, 2025. 

Los desarrolladores, analistas y equipos de operaciones están integrando plugins de LLMs en sus entornos de desarrollo integrado (IDEs), conectando asistentes virtuales a repositorios de código privados y alimentando modelos de terceros con datos financieros y estratégicos no anonimizados.

La gravedad del Shadow AI supera ampliamente los riesgos del Shadow IT tradicional. Cuando un empleado utiliza una aplicación no autorizada convencional, el riesgo principal suele limitarse a la pérdida de control sobre los archivos subidos. Cuando un empleado conecta un agente de IA no auditado a una base de datos corporativa, está introduciendo una entidad con capacidad de razonamiento que puede ser manipulada externamente para pivotar a través de la red corporativa. 

Paul Price, CEO de CodeWall, advirtió en declaraciones a The Register: 

“Los hackers usarán la misma tecnología y estrategias para atacar indiscriminadamente.”

La gestión de la superficie de ataque (ASM) debe evolucionar inmediatamente para detectar estos activos ocultos. Los equipos de seguridad no pueden proteger integraciones que desconocen. El descubrimiento continuo de tráfico de APIs dirigidas a proveedores de LLMs, la identificación de agentes desplegados localmente y la auditoría de los flujos de datos hacia modelos de terceros son requisitos innegociables para mantener la postura de seguridad. La detección temprana del Shadow AI es la única barrera efectiva antes de que una iniciativa de productividad departamental se convierta en un incidente de reporte obligatorio.

¿Sabes exactamente qué modelos de IA están operando en tu red corporativa ahora mismo? El módulo de detección de Shadow AI de VektCore mapea tus integraciones no autorizadas en minutos. 

Agenda una llamada de asesoría

Gobernanza técnica para la capa de orquestación

La protección de arquitecturas agénticas exige rediseñar la estrategia de defensa en profundidad. Las organizaciones deben implementar barreras (guardrails) semánticas bidireccionales. Esto implica analizar no solo la petición del usuario en busca de intentos de inyección, sino auditar algorítmicamente la respuesta generada por el agente antes de que el orquestador ejecute la acción.

A nivel de arquitectura de red, los agentes de IA deben ser tratados con el mismo nivel de desconfianza que un usuario externo no autenticado (Zero Trust). El aislamiento de los entornos de ejecución, el monitoreo continuo del comportamiento del agente frente a las líneas base establecidas y la revocación automatizada de credenciales ante anomalías operativas reducen el impacto potencial de un compromiso exitoso. La seguridad ya no reside en proteger el perímetro físico o lógico, sino en asegurar la integridad de las instrucciones y los permisos otorgados a la inteligencia artificial delegada.

Preguntas frecuentes sobre seguridad en agentes de IA

¿Cómo diferenciar una vulnerabilidad de software tradicional de un ataque a un agente de IA?

Una vulnerabilidad de software tradicional involucra fallas en el código fuente que permiten ejecutar acciones no autorizadas, mientras que un ataque a un agente de IA manipula el lenguaje natural o el contexto para engañar al modelo. En los sistemas tradicionales, las defensas se basan en parches y firmas; en la IA, el sistema funciona exactamente como fue diseñado, pero el atacante altera la lógica probabilística del modelo para forzarlo a usar sus permisos legítimos (como conexiones a APIs) de forma maliciosa o para exfiltrar datos corporativos sensibles sin activar alarmas convencionales.

¿Qué es el Shadow AI y por qué representa un riesgo financiero para las empresas?

El Shadow AI es la adopción y uso de herramientas, modelos o agentes de inteligencia artificial por parte de los empleados sin el conocimiento, aprobación ni supervisión del departamento de TI o seguridad. Representa un riesgo financiero crítico porque estas herramientas a menudo ingieren propiedad intelectual, código fuente o datos regulados de clientes, exponiendo a la empresa a severas multas por incumplimiento normativo (como GDPR o leyes locales de protección de datos), pérdida de ventaja competitiva y daños reputacionales irreparables si dichos datos son utilizados para entrenar modelos públicos o resultan expuestos en una brecha de seguridad de terceros.

¿Cuáles son las estrategias de mitigación más efectivas contra la inyección de prompts en arquitecturas empresariales?

La estrategia de mitigación más efectiva es separar estrictamente los datos del sistema de las instrucciones del usuario, implementando analizadores (parsers) robustos y barreras (guardrails) semánticas. Además, es indispensable aplicar el principio de privilegios mínimos a cualquier agente de IA, limitando severamente las bases de datos y APIs a las que puede acceder el orquestador. Las empresas maduras también requieren validación humana obligatoria (Human-in-the-loop) antes de que un agente de IA ejecute cualquier acción que modifique registros, envíe correos electrónicos externos o altere la infraestructura de la red corporativa.

¿Tus equipos están conectando agentes de IA a bases de datos corporativas a espaldas de TI?

La invisibilidad es tu mayor vulnerabilidad frente a incidentes como el de McKinsey. Los escáneres convencionales no ven la lógica manipulada de los LLMs. Descubre exactamente qué modelos operan en tu red corporativa, audita las integraciones de API y detén el riesgo antes de que se convierta en una brecha de datos con el módulo de escaneo de Shadow AI de VektCore.

Agenda tu llamada de asesoría aquí