La rápida integración de los agentes de IA en los flujos de trabajo empresariales está exponiendo una falla crítica: no existe un sistema claro para administrar sus identidades y derechos de acceso. A medida que estos agentes adquieren la capacidad de iniciar sesión en los sistemas, recuperar datos y ejecutar acciones en nombre de las empresas, la pregunta de quién es responsable –y cómo controlar ese acceso– permanece en gran medida sin respuesta.
Esta no es una preocupación teórica. Expertos como Alex Stamos (Corridor) y Nancy Wang (1Password) advierten que los desarrolladores ya están cometiendo errores peligrosos, como pegar credenciales directamente en las solicitudes de IA. Esto elude los protocolos de seguridad y crea una vulnerabilidad masiva.
El problema: los agentes también tienen secretos
La cuestión no es sólo impedir el acceso no autorizado; se trata de responsabilidad. A diferencia de los usuarios humanos, los agentes de IA no pertenecen inherentemente a una organización o individuo. Operan bajo una autoridad que dicta lo que pueden hacer, pero rastrear esta autoridad está resultando difícil. Como explica Wang, las empresas están viendo un patrón familiar: los empleados adoptan herramientas como asistentes de codificación de IA (Claude Code, Cursor) y luego las incorporan a la empresa, replicando la adopción temprana de administradores de contraseñas como 1Password.
El problema no es sólo que los agentes tengan credenciales; es que la infraestructura de seguridad existente no está diseñada para ellos.
Por qué fallan las soluciones existentes
Los modelos de seguridad tradicionales se centran en la autenticación (verificar la identidad) pero tienen dificultades con la autorización (otorgar el acceso adecuado). Darle a un agente de IA acceso completo a un sistema equivale a entregarle a un humano la llave de todo el edificio, mucho más de lo necesario para una sola tarea.
Esta discrepancia es especialmente peligrosa porque los LLM son propensos a generar falsos positivos. Un escáner de seguridad que marque código legítimo como malicioso puede descarrilar toda una sesión de desarrollo, lo que hace que la precisión sea crucial. Las herramientas tradicionales de análisis estático no están optimizadas para este nivel de precisión.
El camino a seguir: estándares de identidad de cargas de trabajo
La industria está explorando soluciones como SPIFFE y SPIRE, estándares originalmente diseñados para entornos en contenedores, pero adaptarlos es imperfecto. El principio básico es otorgar identidades con alcance, auditables y de tiempo limitado. Así como un ser humano solo debe tener acceso a habitaciones específicas de un edificio, a un agente de IA solo se le deben otorgar credenciales para la tarea en cuestión, que caducan una vez finalizada.
Las empresas necesitarán rastrear qué agente actuó, bajo qué autoridad y con qué credenciales. Esto requiere construir nueva infraestructura desde cero, en lugar de modernizar modelos de seguridad centrados en el ser humano.
El problema de la escala: miles de millones de usuarios lo cambian todo
A escala masiva, incluso los “casos extremos” se convierten en amenazas reales. Stamos, basándose en su experiencia como CISO de Facebook, señala que lidiar con 700.000 adquisiciones de cuentas por día reformula el concepto de riesgo. La gestión de identidades tanto para humanos como para agentes de IA será un “problema enorme” que requerirá consolidación en torno a proveedores confiables.
En última instancia, la actual prisa por desplegar agentes de IA está superando el desarrollo de marcos de gobernanza adecuados. La solución no son herramientas patentadas (Stamos las descarta de plano), sino más bien estándares abiertos como extensiones OIDC que priorizan la seguridad sin sacrificar la usabilidad. El futuro de la IA empresarial depende de resolver esta crisis de identidad antes de que provoque infracciones generalizadas y daños irreversibles.
