Asegurando la Empresa Agéntica — Análisis de Comportamiento de Agentes, OWASP Top 10 y la Amenaza Interna de IA
Exabeam Abril 2026: las empresas tienen dificultades para establecer una línea base del comportamiento normal de los agentes de IA, investigar posibles usos indebidos y detectar amenazas internas agentivas emergentes. ChannelInsider: Exabeam extendió Agent Behavior Analytics a ChatGPT, Copilot y Gemini, ofreciendo a las empresas visibilidad sobre la actividad de los agentes de IA en las principales plataformas de IA. Business Wire: Exabeam monitorea el comportamiento de los agentes contra el OWASP Top 10 para IA Agentiva — manipulación de prompts, privilegios excesivos, uso inseguro de herramientas y mal uso del modelo.
El problema es estructural. Las herramientas de seguridad tradicionales no fueron diseñadas para agentes de IA que actúan en nombre de los usuarios. Un usuario humano con acceso a tu CRM parece una persona. Un agente de IA con acceso a tu CRM parece una API. El UEBA tradicional no sabe cómo es el comportamiento normal de un agente de IA porque la categoría es genuinamente nueva.
Por qué los Agentes de IA Crean una Nueva Superficie de Amenaza
Los agentes de IA difieren de los usuarios humanos en aspectos que importan para la seguridad.
Velocidad máquina: un agente de IA puede tomar miles de decisiones por día. Un humano toma docenas. El volumen y la velocidad de las acciones de los agentes crea una superficie de amenaza que las herramientas de seguridad centradas en humanos no están diseñadas para monitorear.
Proliferación de credenciales: un usuario autoriza a un agente. El agente luego actúa con todos los derechos de acceso de ese usuario. Cuando ese usuario delega en un agente, el agente hereda todos los permisos del usuario sin escrutinio adicional.
Manipulación de prompts: un agente de IA puede ser manipulado a través de entradas de formas que no parecen un compromiso de credenciales tradicional. Un atacante inserta instrucciones maliciosas en los datos que el agente procesa. El agente sigue instrucciones que parecen comandos legítimos. El sistema de seguridad ve credenciales válidas e instrucciones plausibles. No ve el ataque.
Autonomía: el agente actúa sin que el usuario esté observando cada acción. Un usuario humano que revisa su propia actividad puede notar anomalías. Un agente funcionando de forma autónoma durante horas entre verificaciones puede causar daños significativos antes de que alguien se dé cuenta.
La amenaza interna agentiva es donde esto se vuelve más serio. La amenaza interna tradicional es un empleado humano que hace un mal uso de su acceso. La amenaza interna agentiva es un agente de IA haciendo un mal uso de su acceso — ya sea porque fue manipulado o porque se le dieron privilegios excesivos desde el principio. Exabeam: los agentes de IA llevan estos límites aún más allá. El agente tiene privilegios reales y puede exfiltrar datos, escalar acceso o tomar acciones que el usuario humano no habría autorizado.
El OWASP Agentic Top 10 — El Marco de Amenazas
Business Wire: Exabeam monitorea el comportamiento de los agentes contra el OWASP Top 10 para IA Agentiva. El marco proporciona una taxonomía de amenazas estructurada que los equipos de seguridad pueden auditar.
Las cuatro categorías de amenazas más relevantes para despliegues empresariales:
Manipulación de prompts: un atacante inserta instrucciones maliciosas en los datos que el agente procesa — un correo electrónico, un documento, una entrada de base de datos. El agente interpreta estas instrucciones como comandos legítimos. El sistema ve credenciales válidas e instrucciones plausibles. El ataque tiene éxito porque el agente fue manipulado, no porque las credenciales fueron robadas.
Privilegios excesivos: al agente se le dio más acceso del que necesita. El mal uso de ese acceso pasa desapercibido porque el agente está operando dentro de sus permisos otorgados. El sistema de seguridad ve acceso autorizado. No ve que el acceso era innecesario y por lo tanto arriesgado.
Uso inseguro de herramientas: el agente llama herramientas de formas que exponen datos o crean vulnerabilidades. El agente tiene una función legítima. Usa esa función de una manera que crea un hueco de seguridad. La llamada a la herramienta parece normal. La consecuencia no.
Mal uso del modelo: el agente se usa para propósitos para los que no fue diseñado. Esto es tanto una amenaza externa — un atacante usando el agente para objetivos no previstos — como un fallo de gobernanza interno.
Cómo se ve cada amenaza en la práctica: la inyección de prompts podría ser un agente leyendo un correo envenenado y confundiéndose al creer que debe reenviar todos los registros de clientes a una dirección externa. La escalada de privilegios podría ser un agente con acceso de lectura al CRM usando ese acceso para exportar datos de contacto que nunca fue autorizado a exportar. La exfiltración de datos podría ser un agente con acceso al correo enviando archivos adjuntos sensibles a un destinatario no autorizado. El abuso de herramientas podría ser la capacidad de llamada a herramientas del agente siendo explotada para ejecutar código arbitrario.
Lo Que Agent Behavior Analytics Realmente Hace
Exabeam: Agent Behavior Analytics aplica modelado conductual a usuarios humanos y los agentes de IA que actúan en su nombre. Así como el UEBA estableció cómo es lo normal para usuarios humanos, el ABA establece cómo es lo normal para agentes de IA. Las desviaciones del comportamiento normal activan alertas sin importar si el agente tiene credenciales válidas.
Lo que el ABA detecta que las herramientas tradicionales no detectan: patrones de acceso a datos anómalos cuando un agente accede a datos a los que normalmente no accede, volúmenes de llamadas API inusuales cuando un agente de repente hace miles de llamadas cuando normalmente hace decenas, acciones fuera de carácter cuando un agente intenta operaciones que nunca ha intentado antes, y movimiento de datos entre tenants cuando un agente mueve datos entre almacenes de datos que no debería estar conectando.
El enfoque de análisis basado en sesiones: Exabeam detecta comportamiento arriesgado de agentes de IA con análisis basados en sesiones e información sobre actividades por primera vez. El ABA rastrea la sesión completa de un agente — qué hizo, en qué secuencia, con qué contexto. Las actividades por primera vez se marcan para revisión. Un agente que de repente accede a una nueva fuente de datos por primera vez activa una alerta.
El problema de la línea base es la parte más difícil. ChannelInsider: las empresas tienen dificultades para establecer una línea base del comportamiento normal de IA. El ABA resuelve esto: no puedes detectar anomalías sin saber cómo es lo normal. Construir la línea base requiere observar el comportamiento del agente a lo largo del tiempo, lo que significa que el despliegue del ABA no es instantáneo. Requiere un período de aprendizaje antes de que se vuelva efectivo.
Por Qué ChatGPT, Copilot y Gemini Son el Punto de Partida
ChannelInsider: Exabeam extendió ABA a ChatGPT, Copilot y Gemini, habilitando visibilidad y detección de anomalías para la actividad de agentes de IA empresariales en las tres plataformas principales.
La realidad de la IA empresarial: la mayoría de las empresas han desplegado o están desplegando ChatGPT a través de OpenAI, Microsoft Copilot en la suite de Microsoft 365, y Google Gemini dentro de Google Workspace. Cada uno de estos tiene agentes actuando en nombre de los usuarios dentro de la empresa. Cada uno genera registros de actividad que las herramientas de seguridad tradicionales no entienden.
Lo que cubre la extensión de Exabeam: visibilidad, detección de anomalías y seguridad para la actividad de agentes de IA empresariales en las tres plataformas. Las empresas ahora pueden tener visibilidad conductual unificada sin importar en qué plataforma de IA se ejecuten sus agentes.
Por qué esto importa para los equipos de seguridad: sin cobertura del ABA en estas plataformas, los equipos de seguridad no tienen visibilidad sobre lo que los agentes de IA están haciendo en su entorno. Con ella, los equipos de seguridad pueden detectar cuando un agente de IA — sin importar la plataforma — comienza a comportarse de manera anormal.
La Pila de Seguridad de Agentes de IA — Lo Que las Empresas Necesitan
Un marco de cinco capas para la seguridad de agentes de IA:
Capa 1 — Gestión de Identidad y Acceso: qué agentes tienen acceso a qué sistemas, cuál es el principio de mínimo privilegio para agentes, qué humanos autorizaron qué acciones del agente, y qué acciones del agente requieren autorización humana.
Capa 2 — Agent Behavior Analytics: cómo es el comportamiento normal de los agentes, cuándo está el agente actuando fuera de su línea base, qué actividades por primera vez deben ser marcadas, y cómo el análisis basado en sesiones detecta comportamiento anómalo de los agentes.
Capa 3 — Inteligencia de Amenazas del OWASP Agentic Top 10: ¿se están dirigiendo los agentes con inyección de prompts?, ¿están los agentes intentando escalada de privilegios?, ¿están los agentes accediendo a datos fuera de su autorización?, y cómo el monitoreo contra el OWASP Top 10 proporciona cobertura medible de estas amenazas.
Capa 4 — Registro de Auditoría y Análisis Forense: qué hizo cada agente, cuándo y con qué contexto, quién autorizó cada acción del agente, y qué datos accedió cada agente.
Capa 5 — Gobernanza y Políticas: qué se les permite hacer a los agentes, qué datos se les permite acceder a los agentes, y qué sucede cuando un agente se comporta de manera anómala.
Los elementos de acción del CISO en orden: realiza un inventario de agentes — la mayoría de las empresas no saben cuántos agentes de IA están operando en su entorno. Establece líneas base conductuales — cómo es el comportamiento normal de los agentes. Despliega ABA — implementa monitoreo conductual para agentes. Alinea con OWASP Top 10 — аудит contra las categorías de amenazas. Integra con el SOC existente — los eventos de seguridad de agentes deben fluir al centro de operaciones de seguridad junto con otras alertas de seguridad.
Si tu equipo de seguridad no sabe cómo es el comportamiento normal de los agentes de IA en tu entorno, no tienes seguridad de agentes de IA. Empieza con el inventario de agentes.