Microsoft Cyber Pulse y el reto de asegurar los agentes de IA

Portada » Windows » Microsoft Cyber Pulse y el reto de asegurar los agentes de IA

La irrupción de la inteligencia artificial generativa en las empresas ha traído consigo una nueva figura protagonista: los agentes de IA. Ya no hablamos solo de chatbots o asistentes sencillos, sino de sistemas capaces de tomar decisiones, conectar herramientas, acceder a datos sensibles y ejecutar tareas de negocio de principio a fin. Este salto cualitativo está revolucionando cómo trabajamos, pero también está destapando un panorama de riesgos de ciberseguridad muy distinto al que conocíamos hasta ahora.

Microsoft ha analizado esta nueva realidad en su iniciativa Cyber Pulse, un informe y briefing digital pensado para que los líderes empresariales entiendan qué está ocurriendo dentro de sus organizaciones y qué necesitan hacer para gobernar y proteger estos agentes. A partir de telemetría propia, encuestas y experiencias en clientes de todo el mundo, el documento pinta un escenario claro: las empresas están adoptando agentes a toda velocidad, pero la seguridad, la gobernanza y la observabilidad van un paso por detrás, dejando espacio a amenazas como la shadow IA y los llamados “agentes dobles”.

Qué es Microsoft Cyber Pulse y por qué importa a tu organización

El programa y el informe Microsoft Cyber Pulse se conciben como un briefing directo para responsables de negocio y seguridad que necesitan entender, sin rodeos, cómo está cambiando la superficie de ataque con la llegada masiva de la IA. No se limita a enumerar tendencias: combina datos de uso real, análisis de riesgos y recomendaciones prácticas para que las empresas puedan ponerse manos a la obra.

Según Cyber Pulse, la adopción de agentes de IA ha dejado de ser algo experimental. En torno al 80 % de las compañías de la lista Fortune 500 ya emplean agentes activos creados con herramientas de bajo código o sin código, lo que significa que profesionales de negocio, no solo perfiles técnicos, pueden diseñar automatizaciones complejas en cuestión de horas. Este fenómeno ha acelerado la transformación digital, pero también ha generado una explosión de agentes difícil de vigilar.

El objetivo central del informe es dotar a los líderes de información accionable sobre riesgos concretos: abuso de privilegios, acceso indebido a datos, ataques específicos contra modelos, falta de controles de seguridad adaptados a la IA generativa y un crecimiento de agentes no aprobados por TI que operan al margen de la organización. Todo ello obliga a replantear la estrategia de seguridad tradicional, que no estaba pensada para sistemas autónomos que toman decisiones en tiempo real.

Microsoft Cyber Pulse también pretende impulsar un cambio cultural: la seguridad y la gobernanza de la IA no pueden ser un añadido que se incorpora después, sino un requisito de diseño desde el primer momento. El mensaje es claro: o integras la seguridad en la forma de crear y desplegar agentes, o estarás construyendo sobre una base inestable, por muy potente que sea la tecnología.

En paralelo, la compañía usa este informe para reforzar la idea de que el enfoque adecuado combina tres pilares inseparables: observabilidad, gobernanza y seguridad basada en Zero Trust. Sin esa tríada, la organización pierde visibilidad sobre lo que hacen sus agentes, quién los ha creado, qué sistemas tocan y qué impacto tienen en la continuidad del negocio.

La explosión de los agentes de IA: de los especialistas al uso masivo

Uno de los mensajes más contundentes de Cyber Pulse es que 2026 se perfila como el año de los agentes de IA. La creación democratizada mediante plataformas low-code y no-code ha hecho que los agentes pasen de ser una curiosidad técnica a una herramienta cotidiana en todos los departamentos. Microsoft Copilot Studio, Agent Builder y soluciones similares permiten que cualquier empleado diseñe agentes que integran aplicaciones, automatizan flujos y consultan datos internos sin escribir apenas código.

Esta adopción no se limita a un sector concreto. La telemetría de Microsoft muestra que la industria manufacturera concentra alrededor del 13 % del uso de agentes, con despliegues en fábricas, cadenas de suministro y operaciones energéticas. Las entidades financieras —banca, seguros, mercados de capitales— representan aproximadamente un 11 % del uso global, aprovechando agentes para analizar riesgo, gestionar fraudes o automatizar tareas regulatorias. El comercio minorista ronda el 9 %, utilizando agentes para mejorar la experiencia del cliente, ajustar inventario o apoyar a la plantilla en tienda.

El sector software y tecnológico es, como cabría esperar, uno de los grandes motores de adopción, aglutinando en torno al 16 % del uso total de agentes. En este ámbito, los agentes se utilizan para redactar propuestas comerciales, revisar código, analizar información financiera o clasificar alertas de seguridad, entre muchas otras funciones. La consecuencia es que estos sistemas están cada vez más integrados en el día a día de las operaciones críticas.

Geográficamente, el informe destaca que la región de EMEA concentra alrededor del 42 % de los agentes activos a nivel mundial, lo que refleja una adopción especialmente intensa en Europa, Oriente Medio y África. A medida que las organizaciones incorporan herramientas como Microsoft Copilot, Salesforce Agentforce, ServiceNow AI Agents, Claude Code, Cursor, Devin u OpenAI Codex, los agentes se integran de lleno en los procesos de negocio, más allá de simples pilotos.

Todo este despliegue masivo tiene un matiz clave: no todos los agentes están autorizados ni son visibles para TI. Muchos han sido creados por equipos de negocio para resolver problemas muy concretos, pero sin pasar por los canales de aprobación habituales. Ahí es donde empieza a asomar una de las grandes preocupaciones del informe: el auge de la shadow IA.

Shadow IA y “agentes dobles”: los nuevos riesgos ocultos

La llamada shadow IA hace referencia al uso de sistemas de inteligencia artificial —incluidos agentes— que no han sido aprobados, supervisados ni gestionados por el área de TI o de seguridad. Cyber Pulse recoge que alrededor del 29 % de los empleados reconoce utilizar agentes no autorizados en su trabajo diario, ya sea porque les facilitan una tarea concreta o porque consideran que las herramientas oficiales no son suficientes.

Esta falta de control deriva en una serie de problemas muy serios: agentes con permisos excesivos, acceso a datos que nunca deberían ver, integraciones opacas con sistemas críticos y ausencia total de registro o monitorización. Si nadie sabe que el agente existe, tampoco se puede revisar qué hace, qué instrucciones recibe ni qué datos procesa, lo que complica la detección de incidentes y el cumplimiento normativo.

El informe introduce además un concepto especialmente inquietante: los “agentes dobles”. Se trata de agentes legítimos, diseñados para ayudar a la organización, que acaban realizando acciones maliciosas o no previstas porque alguien les ha otorgado más privilegios de los necesarios o porque han sido manipulados mediante técnicas específicas. En la práctica, pueden convertirse en una suerte de insider automatizado capaz de causar daños a gran velocidad sin levantar sospechas inmediatas.

Entre las tácticas descritas destaca el “AI recommendation poisoning”, en el que los atacantes alteran el comportamiento del agente introduciendo instrucciones ocultas en documentos, enlaces maliciosos o elementos contextuales que el sistema procesa como parte de su trabajo normal. Este tipo de envenenamiento puede hacer que el agente recomiende acciones incorrectas, filtre información sensible o ejecute tareas en beneficio del atacante.

Microsoft también menciona casos de envenenamiento de memoria y de manipulación a través de señales visuales o contextuales, identificados por el AI Red Team de la compañía. El problema es que, a diferencia de un empleado humano, un agente puede replicar errores o comportamientos maliciosos a gran escala y en muy poco tiempo, amplificando el impacto del ataque.

Por qué la ciberseguridad tradicional no basta para los agentes de IA

La seguridad clásica de redes, basada en cortafuegos, listas de control de acceso y herramientas de prevención de fuga de datos, no fue diseñada pensando en agentes de IA autónomos. Cyber Pulse pone el foco en varias limitaciones estructurales de este enfoque cuando se aplica al nuevo contexto.

Por ejemplo, un firewall no puede bloquear un ataque de prompt injection, porque el problema no está en el tráfico de red, sino en el contenido y el contexto que procesa el modelo. Igualmente, las listas de control de acceso resultan difíciles de mantener cuando un agente encadena múltiples herramientas, consulta diferentes sistemas y toma decisiones en segundos. La lógica de “usuario conectado a recurso” se queda corta cuando quien actúa es un sistema que orquesta recursos en cascada.

Las soluciones de prevención de fuga de datos (DLP) también encuentran serias dificultades para monitorizar prompts, embeddings y acciones de agentes, ya que muchos de esos elementos no encajan bien en los patrones tradicionales de inspección de contenido. Esto deja huecos por los que se pueden filtrar datos confidenciales sin que los controles clásicos lleguen a detectarlo.

La situación es suficientemente compleja como para que, según las encuestas reflejadas en Cyber Pulse, en torno al 76 % de los profesionales de ciberseguridad considere que los agentes de IA son los sistemas más difíciles de proteger. Dos de cada tres organizaciones ya han identificado casos de herramientas de IA accediendo a información demasiado sensible o no necesaria para su función.

En este contexto han empezado a ganar peso soluciones específicas de seguridad para IA y agentes, con enfoques que incluyen red teaming continuo, guardrails en tiempo real, automatización de cumplimiento y pasarelas seguras para conectar herramientas y modelos. Microsoft menciona el papel de este tipo de tecnologías como complemento esencial para las empresas que despliegan agentes a gran escala, junto con la integración de señales de seguridad y telemetría específicas de IA en sus centros de operaciones de seguridad.

Zero Trust aplicado a agentes: mínimo privilegio, verificación y asunción de brechas

Ante este nuevo escenario, Microsoft plantea que no basta con adaptar los controles heredados: hay que aplicar los principios de Zero Trust también a los agentes de IA, igual que se ha hecho con usuarios humanos, dispositivos y aplicaciones. La filosofía es la misma, pero su aplicación requiere matices específicos para los sistemas automatizados.

El primer pilar es el acceso de mínimo privilegio. Cada agente debe contar solo con los permisos estrictamente necesarios para cumplir su cometido, ni uno más. Esto implica definir cuidadosamente qué datos puede leer, qué acciones puede ejecutar en cada sistema y con qué alcance. Los accesos genéricos o basados en cuentas compartidas aumentan exponencialmente el riesgo de que un agente se convierta en un punto de fallo crítico.

El segundo pilar es la verificación explícita. No se da nada por sentado: cada solicitud de acceso debe evaluarse considerando la identidad del agente, el estado del entorno, la sensibilidad de los datos y el nivel de riesgo en tiempo real. Esta verificación continua es esencial para detectar comportamientos anómalos, como un agente que intenta acceder a un sistema que no forma parte de su ámbito habitual.

El tercer principio exige asumir que la brecha es posible. Es decir, diseñar los sistemas bajo la hipótesis de que, en algún momento, un atacante logrará traspasar las defensas. Eso se traduce en segmentar el acceso de los agentes, registrar de forma exhaustiva sus acciones, establecer alertas ante patrones extraños y planificar respuestas específicas para incidentes relacionados con IA, igual que se hace con incidentes de credenciales comprometidas o malware.

Cyber Pulse subraya que, a pesar de la urgencia del problema, solo alrededor del 47 % de las organizaciones declara haber desplegado controles de seguridad específicos para IA generativa. Es decir, más de la mitad está usando o empezando a usar agentes sin adaptar de verdad sus políticas y herramientas a este nuevo tipo de sistema, lo que crea un desfase entre la velocidad de adopción y la capacidad de defensa.

Observabilidad: ver a los agentes para poder protegerlos

Una idea recurrente en el informe es que no se puede proteger lo que no se ve. La observabilidad se convierte, por tanto, en el primer paso imprescindible para reducir el riesgo asociado a los agentes de IA. No se trata solo de registrar eventos, sino de contar con una visión estructurada y coherente de todo el ecosistema de agentes que opera en la organización.

En este sentido, Microsoft propone disponer de un registro centralizado de agentes que actúe como fuente única de verdad: qué agentes existen, quién los ha creado, quién es responsable de ellos, en qué entorno se ejecutan y con qué finalidad. Este registro ayuda a evitar la proliferación descontrolada de agentes, facilita la rendición de cuentas y permite identificar rápidamente los que no han pasado por los canales formales, para restringirlos o ponerlos en cuarentena si es necesario.

La observabilidad también implica aplicar a los agentes controles de acceso basados en identidad y políticas, del mismo modo que se hace con usuarios humanos y aplicaciones. Esto unifica la forma de gestionar permisos y reduce la probabilidad de que un agente herede privilegios excesivos simplemente porque se ejecuta bajo una cuenta con demasiados derechos.

Otro componente clave son los paneles y la telemetría en tiempo real. Los cuadros de mando permiten ver cómo interactúan los agentes con personas, datos y sistemas, en qué entornos operan, qué dependencias tienen y qué impacto generan en los procesos de negocio. Esta visibilidad hace posible detectar con más rapidez desvíos de comportamiento, usos indebidos, tareas fuera de lo previsto o patrones que apunten a un incidente de seguridad en curso.

Cyber Pulse menciona además la importancia de la interoperabilidad bajo un marco común de gobierno. Los agentes suelen operar en una mezcla de plataformas de Microsoft, frameworks de código abierto y soluciones de terceros. Sin un modelo de gobierno homogéneo, cada entorno se convierte en un silo difícil de controlar. La clave es permitir que los agentes colaboren entre sí y con los usuarios, manteniendo siempre controles consistentes a nivel empresarial.

Por último, la dimensión de seguridad integrada dentro de la observabilidad es esencial: señales de riesgo, aplicación de políticas y herramientas conectadas deben ayudar a identificar cuanto antes agentes comprometidos o mal alineados con las políticas corporativas, para poder actuar antes de que el problema derive en daños regulatorios, económicos o reputacionales.

Agent 365 y el enfoque de control unificado para agentes

Como respuesta a la necesidad de visibilidad y gobierno, Microsoft presenta Agent 365 como su plano de control unificado para gestionar agentes de IA a escala empresarial. Esta solución se plantea como una plataforma única desde la que registrar, gobernar, securizar, observar y operar todos los agentes, independientemente de que estén construidos sobre tecnologías de Microsoft, frameworks abiertos o herramientas de terceros.

Agent 365 aspira a ser la base estratégica sobre la que las organizaciones puedan alinear a los diferentes equipos —negocio, TI, seguridad, desarrollo y unidades de IA— en torno a una vista compartida del ecosistema de agentes. Contar con ese punto centralizado evita que cada área cree su propia isla de automatización y facilita establecer políticas coherentes en toda la compañía.

En este modelo, los denominados frontier firms —las empresas más avanzadas en adopción de IA— están utilizando la ola de los agentes para modernizar su forma de entender la gobernanza y el control de datos. Lejos de ver la seguridad como un freno, la integran como parte del diseño de sus agentes, reduciendo exposiciones innecesarias de información y desplegando controles de ámbito corporativo que cubren tanto a usuarios humanos como a sistemas automatizados.

Este enfoque también impulsa un cambio en la cultura interna: los líderes de negocio pueden marcar la visión y los objetivos de la IA, pero TI y seguridad pasan a ser socios igualitarios en cualquier iniciativa que implique agentes. Su participación no se limita a la fase final de validación, sino que se integra desde el inicio en la definición de requisitos, arquitectura y criterios de éxito.

El resultado es una organización que puede moverse rápido, experimentar y escalar agentes de IA, pero manteniendo un marco sólido de observabilidad, gobierno y seguridad. Sin esa base, la velocidad de adopción se convierte en un arma de doble filo; con ella, la empresa está en una posición mucho más sólida para aprovechar el potencial de la IA sin poner en jaque sus activos críticos.

Siete acciones clave para una gobernanza sólida de la IA

Además de describir el estado actual del panorama, Cyber Pulse propone una serie de acciones prioritarias para reforzar la gobernanza y la seguridad de los agentes en cualquier organización, con independencia de su tamaño o sector.

La primera recomendación es definir claramente el alcance de cada agente y aplicar el principio de mínimo privilegio. Esto significa delimitar con precisión qué puede y qué no puede hacer el agente, qué datos puede consultar, en qué sistemas puede escribir y bajo qué circunstancias. Cuanto más acotado esté su ámbito de operación, menor será el impacto potencial de un fallo o un ataque.

En segundo lugar, se propone extender las políticas de cumplimiento y DLP a los escenarios de IA. Las normas de protección de datos, retención de información, trazabilidad y auditoría que ya se aplican a otros sistemas deben adaptarse para tener en cuenta prompts, contextos de conversación, resultados generados por los modelos y registros de acción de los agentes.

Una tercera acción clave consiste en ofrecer plataformas autorizadas y fáciles de usar para la creación de agentes, con el fin de reducir la tentación de acudir a herramientas no aprobadas. Si los equipos de negocio disponen de soluciones potentes, seguras y bien soportadas, la shadow IA pierde atractivo y resulta más sencillo mantener el control sin frenar la innovación.

El cuarto punto pasa por preparar planes específicos de respuesta ante incidentes relacionados con IA. Estos planes deben contemplar escenarios como agentes manipulados, accesos indebidos a datos por parte de sistemas automatizados o errores sistemáticos en las recomendaciones. Incluir a especialistas en IA en los equipos de respuesta es fundamental para interpretar correctamente las señales y actuar con rapidez.

Asimismo, se anima a las organizaciones a alinearse con los marcos regulatorios emergentes, documentando el origen de los datos de entrenamiento, los procesos de evaluación de riesgos y las medidas de mitigación adoptadas. La transparencia y la trazabilidad serán cada vez más exigidas por reguladores, clientes y socios.

Cyber Pulse también insiste en la necesidad de que el riesgo de IA se gestione desde el máximo nivel ejecutivo, integrándolo en la agenda de dirección al mismo nivel que otros riesgos estratégicos. No es un asunto puramente técnico, sino un factor que puede afectar a la continuidad del negocio, la confianza de los clientes y la reputación de la marca.

Por último, se destaca la importancia de fomentar una cultura de innovación segura, en la que los equipos se sientan empoderados para experimentar con IA, pero dentro de un marco claro de responsabilidades, límites y buenas prácticas. Compartir experiencias, lecciones aprendidas y soluciones entre organizaciones puede acelerar la madurez del ecosistema y reducir la probabilidad de incidentes graves.

En conjunto, el panorama que dibuja Microsoft Cyber Pulse muestra una realidad en la que los agentes de IA ya forman parte del músculo operativo de las empresas, aportando eficiencia y nuevas capacidades, pero también abriendo la puerta a riesgos inéditos si se despliegan sin control. Las organizaciones que consigan combinar observabilidad profunda, gobernanza rigurosa y principios de Zero Trust aplicados tanto a personas como a agentes estarán en mejor posición para exprimir el potencial de esta tecnología con la tranquilidad de que su seguridad, su cumplimiento y su reputación no quedan a la intemperie.