Los agentes de IA ya no son una cosa del futuro; ya están aquí, ejecutándose silenciosamente en segundo plano de su negocio con las llaves de recursos confidenciales. Están automatizando flujos de trabajo, tomando decisiones e interactuando con datos confidenciales. Pero a medida que estos agentes se vuelven más poderosos y autónomos, ¿cómo los aseguramos?
Nuestra investigación revela cuán extendido se ha vuelto este desafío: Según la encuesta "AI at Work 2025" de Okta a 260 ejecutivos, el 91% de las organizaciones ya están usando agentes de IA en casi cinco casos de uso distintos en promedio. Sin embargo, solo el 10% tiene una estrategia bien desarrollada para administrar estas identidades no humanas (NHIs). Esto crea una desconexión peligrosa: Las organizaciones están implementando agentes de IA a una escala sin precedentes mientras dejan la gobernanza como una idea tardía.
El resultado: una crisis en gestación donde poderosos sistemas autónomos operan sin controles de identidad adecuados, creando exactamente las brechas de seguridad que los atacantes explotan con entusiasmo.
Nuevos puntos ciegos de seguridad
¿Por qué las organizaciones tienen problemas con la seguridad de los agentes de IA? Porque los agentes de IA rompen el molde de seguridad tradicional. Piense en cómo protege a un empleado humano: tiene una identidad, un rol claro y un jefe que es responsable de sus acciones.
Un agente de IA es diferente.
¿Quién está a cargo? Los agentes de IA a menudo trabajan en nombre de un sistema, no de una persona. Esto dificulta rastrear quién es responsable cuando algo sale mal.
Van y vienen en un instante: Los agentes de IA se crean y destruyen a un ritmo rápido. Si no puede mantenerse al día con este ciclo de vida dinámico, se quedará con un rastro de puntos de acceso no monitoreados, una invitación perfecta para una brecha.
Necesitan el acceso justo: Un agente podría necesitar acceso de alto nivel para completar una tarea específica, pero solo por un momento. Otorgar privilegios amplios y permanentes a un agente es como entregar las llaves de todo el edificio.
Son invisibles durante una crisis: Sin un registro claro de las acciones de un agente, es casi imposible averiguar qué sucedió durante un incidente de seguridad o cerrar la amenaza rápidamente.
Son no deterministas: Es difícil predecir a qué datos o sistema podría acceder un agente, en qué orden y durante cuánto tiempo.
En pocas palabras, los agentes de IA son su nueva oportunidad, tipo de identidad y amenaza interna. Si los está utilizando sin un modelo de gobernanza o una estrategia de seguridad de identidad diseñada para su naturaleza única, está dejando su negocio expuesto.
Los agentes de IA pertenecen a su estructura de seguridad de identidad
Hemos estado lidiando con las NHI (Non-Human Identities) durante años. Ya sea una cuenta de servicio no administrada o credenciales obsoletas, necesitamos formas de encontrarlas, bloquearlas y gobernarlas.
Los modelos de identidad tradicionales se quedan cortos y requieren una nueva estrategia para un tejido de seguridad de identidad en la era de la IA: un tejido que asegure cada tipo de identidad, cada caso de uso y cada recurso en todos los entornos con controles consistentes y escalables.
Okta pronto le ayudará a incorporar agentes de IA en su estructura de seguridad de identidad. Una vez en la estructura, obtendrá estos cuatro casos de uso:
- Detectar y descubrir: Encuentre activamente cada agente en su entorno, comprenda sus patrones y evalúe el riesgo que representan.
- Aprovisionar y registrar: Trate a los agentes como lo haría con las identidades humanas. Cada uno debe tener una identidad única vinculada a un propietario humano que sea responsable de sus acciones.
- Autorizar y proteger: Los agentes deben operar solo con el acceso que necesitan, durante el tiempo que lo necesitan, a través de Cross App Access (XAA) recientemente introducido, un nuevo protocolo abierto que ayuda a estandarizar cómo los usuarios, los agentes de IA y las aplicaciones se conectan de forma segura.
- Gobernar y monitorear: Debe monitorear constantemente la actividad del agente, buscando cualquier comportamiento inusual que pueda indicar una amenaza a través de solicitudes de acceso automatizadas y certificaciones periódicas para facilitar el cumplimiento continuo con un registro de auditoría claro.
La seguridad de la IA es, en última instancia, un problema de seguridad de identidad. No se puede tener éxito en uno sin el otro. A medida que los agentes de IA ganan rápidamente más autonomía e influencia, la necesidad de visibilidad, control y responsabilidad se dispara. No puede asegurar lo que no puede ver, administrar o gobernar.
Lanzaremos Okta for AI Agents a principios de 2026. Obtenga más información sobre cómo Okta asegura todo el ciclo de vida del agente de IA, de extremo a extremo, en www.okta.com/secure-ai/.
Este blog incluye información sobre un producto que se encuentra actualmente en su fase de acceso anticipado. Las características y funcionalidades que se discuten están sujetas a cambios a medida que continuamos con nuestros procesos de desarrollo y perfeccionamiento.
Como producto de acceso anticipado, puede contener errores o características incompletas. El contenido presentado aquí tiene fines informativos únicamente y no debe considerarse una garantía de rendimiento futuro o características finales.
