La regla nunca se rompió

El 30 de junio de 2026, el equipo de seguridad de Microsoft publicó una advertencia sobre las herramientas a las que se conectan tus agentes de IA. El problema no es un virus ni un fallo sin parchear. Es la breve descripción en lenguaje corriente que acompaña a cada herramienta para indicarle al agente qué hace la herramienta y cuándo usarla. Un agente lee ese texto y confía en él. Si un atacante lo edita, el agente sigue la edición.

El ejemplo de Microsoft es deliberadamente anodino. Se le pide a un agente de finanzas que reúna las últimas treinta facturas impagadas y las envíe a un servidor. Cada paso individual parece legítimo, así que nada dispara una alarma. El agente no es hackeado. Recibe una instrucción, en un lugar que nadie pensó en vigilar.

Ya ha ocurrido

Esto no es un escenario de laboratorio. En septiembre de 2025, unos investigadores encontraron un paquete de npm llamado postmark-mcp que había imitado una herramienta de correo legítima a lo largo de quince versiones limpias. La versión 1.0.16 coló una sola línea que copiaba en secreto cada correo que el agente enviaba a una dirección externa. Los equipos que habían aprobado la herramienta meses antes quedaron expuestos en el momento en que actualizaron.

La razón por la que esta clase de ataque sigue funcionando es que la mayoría de los controles vigilan el modelo, no la caja de herramientas. Un filtro de prompts lee lo que escribe el usuario. No vuelve a leer la descripción de una herramienta en la que el agente confía desde hace seis meses, que es exactamente donde se esconde ahora la instrucción.

Trata tus herramientas como una cadena de suministro

La propia guía de Microsoft es el marco correcto para un dueño. Cada herramienta conectada es parte de tu cadena de suministro. Mantén una lista de publicadores de herramientas aprobados, desactiva el permitir todo y deja que cada agente use solo las herramientas concretas que necesita. Trata la descripción de una herramienta como un prompt del sistema, revisa cualquier cambio en ella como revisarías un cambio de código y señala los comandos que no tienen por qué aparecer en un campo de ayuda.

Nada de eso exige un producto nuevo. Exige saber a qué están conectados tus agentes, quién lo escribió y qué cambió desde que lo aprobaste. La mayoría de las empresas que despliegan agentes en finanzas, compras y soporte no pueden responder hoy a esas tres preguntas, y ahí está la verdadera exposición.