Los agentes de IA a veces se comportan como empleados rebeldes, y casi nadie supervisa sus acciones.

Las empresas están cada vez más interesadas en los agentes de inteligencia artificial, pero a la vez surgen preocupaciones sobre su uso y el acceso a datos sensibles. Un estudio realizado por SailPoint, que abarcó a 353 profesionales de IT responsables de la seguridad empresarial, revela un panorama mixto entre optimismo y ansiedad en torno a estos agentes. La investigación indica que el 98% de las organizaciones planean aumentar el uso de agentes de IA en el próximo año.

A pesar de esta intención de adopción, los esfuerzos por asegurar el uso de estos agentes no han evolucionado al mismo ritmo. Estos agentes están siendo incorporados en procesos que manejan datos delicados, como registros de clientes, información financiera y documentos legales. Sin embargo, el 96% de los encuestados considera que estos agentes representan una amenaza de seguridad creciente. Un aspecto crítico es la falta de visibilidad: solamente el 54% de los profesionales afirma tener pleno conocimiento sobre los datos a los que sus agentes tienen acceso, lo que deja a casi la mitad de los entornos empresariales sin claridad sobre cómo estas herramientas interactúan con información crucial.

Pese a que el 92% de los encuestados manifestó que es esencial establecer gobernanza para los agentes de IA, solo el 44% cuenta con políticas concretas al respecto. Además, el ochenta por ciento de las empresas menciona que sus agentes de IA han realizado acciones no autorizadas, incluyendo el acceso a sistemas prohibidos (39%), el compartir datos inapropiados (33%) y la descarga de contenido sensible (32%). Preocupa también que el 23% de los participantes admitieron que sus agentes han sido engañados para revelar credenciales de acceso, lo que podría ser aprovechado por actores maliciosos.

Un hallazgo notable del estudio es que el 72% de los encuestados considera que los agentes de IA presentan más riesgos que las identidades de máquina tradicionales. Esto se debe a que los agentes de IA suelen requerir múltiples identidades para funcionar de manera eficiente, especialmente cuando están integrados con herramientas de IA de alto rendimiento para desarrollo y redacción. Las voces que piden un cambio hacia un modelo basado en la identidad son cada vez más fuertes, pero desde SailPoint y otras organizaciones se argumenta que se debe tratar a los agentes de IA como a los usuarios humanos, lo que implicaría el establecimiento de controles de acceso, mecanismos de responsabilidad y auditorías completas.

Los agentes de IA son una adición relativamente reciente al ámbito empresarial y se necesitará tiempo para su integración completa en las operaciones. "Muchas organizaciones aún están al principio de este trayecto, y las crecientes preocupaciones sobre el control de datos subrayan la necesidad de estrategias de seguridad de identidad más robustas y completas", concluyó SailPoint.