AI Security

Tus agentes de IA superan a tu plantilla

Las identidades de máquina ya superan a los empleados hasta en una proporción de 80 a 1, y la mayoría carece de gobierno. Por qué tus agentes de IA son tu riesgo de seguridad que más rápido crece.

Por Leon Soliman · 2026-06-26 · 2 min de lectura

Puntos clave

Las identidades no humanas, incluidos los agentes de IA, las cuentas de servicio y las claves de API, ya superan en número a la plantilla humana hasta en una proporción de 80 a 1 en las grandes organizaciones.
La mayoría conserva credenciales permanentes y un acceso amplio que nadie rota ni retira; en muchos parques tecnológicos, el 47 por ciento de estas identidades tiene más de un año y nunca se ha revisado.
Los mercados de habilidades para agentes se han convertido en una cadena de suministro activa: en un mercado de uso extendido, los investigadores hallaron que aproximadamente una de cada cinco habilidades estaba armada con fines maliciosos.
La solución es el gobierno, no otra herramienta: un inventario real de las identidades no humanas, el mínimo privilegio, la rotación y un proceso de baja que funcione para los agentes.

Has contratado una plantilla que nadie gestiona

Cada agente de IA que despliegas es un trabajador con una llave de tus sistemas. Inicia sesión, lee datos, llama a otros servicios y actúa sin que nadie lo vigile. La diferencia es que nadie en la empresa lo trata como un miembro de la plantilla, así que nadie le aplica los controles que aplicaría a uno.

Las cifras ya son difíciles de ignorar. KPMG informa de que las identidades no humanas, es decir, las cuentas de servicio, las claves de API, las credenciales de automatización y los agentes de IA que operan dentro del negocio, superan en número a los usuarios humanos hasta en una proporción de 80 a 1 en las grandes organizaciones. La investigación del sector concluye que el 47 por ciento de estas identidades tiene más de un año sin rotación de credenciales, y la gran mayoría conserva mucho más acceso del que jamás necesita.

La cadena de suministro de agentes ya es una superficie de ataque

Los agentes modernos no trabajan solos. Incorporan habilidades, complementos y conectores de mercados compartidos, y cada uno es un paquete con acceso a tus datos y tus sistemas. Esa comodidad es también una puerta. Cuando instalas una habilidad, heredas todo lo que su autor colocó dentro de ella.

Esto ya no es teórico. En un mercado de habilidades para agentes de uso extendido, los investigadores de seguridad hallaron que aproximadamente una de cada cinco habilidades publicadas había sido armada con fines maliciosos, y más de un tercio arrastraba al menos un fallo de seguridad, desde la inyección de instrucciones hasta secretos expuestos. Los agentes autónomos ya representan en torno a uno de cada ocho incidentes de seguridad de IA notificados, y la mayoría de las empresas afirma haber sufrido al menos un incidente con agentes en el último año.

Gobierna a los agentes como gobiernas a las personas

La respuesta no es frenar la adopción, ni es otro producto de detección acoplado a posteriori. Es tratar a las identidades no humanas con la disciplina que ya aplicas a los empleados: un inventario completo de qué agentes existen, qué credenciales conservan y qué tienen permitido tocar.

Eso significa mínimo privilegio por defecto, rotación programada de credenciales, supervisión de lo que cada agente hace en realidad y un proceso de baja real para que un agente retirado pierda su acceso el mismo día en que deja de usarse. Las empresas que lo hacen bien conservan la velocidad de los agentes sin heredar una superficie de ataque sin gobierno. Las que no, descubrirán que su mayor plantilla era la que nunca dieron de alta.

Leer a continuación: Tu cifrado tiene fecha de caducidad · La opacidad de la IA ahora juega en su contra

Preguntas frecuentes

¿Qué es una identidad no humana?

Una identidad no humana es cualquier credencial que pertenece a software y no a una persona: cuentas de servicio, claves de API, tokens OAuth, bots de automatización y agentes de IA. Cada una puede autenticarse y actuar dentro de tus sistemas, por eso necesitan el mismo gobierno que las cuentas humanas.

¿Cómo empezamos a gobernar los agentes de IA?

Comienza con un inventario: enumera cada agente e identidad no humana, las credenciales que conserva y el acceso que tiene. A partir de ahí, aplica el mínimo privilegio, rota las credenciales de forma programada, supervisa la actividad y define un paso de baja que retire el acceso en el momento en que un agente se da de baja.

Tus agentes de IA ya son tu mayor plantilla. Gobernarlos ya no es opcional.

AI Agents Non-Human Identity AI Security Governance Supply Chain

Más del Servola Journal

Information Security

Tu cifrado tiene fecha de caducidad

2026-06-26 · 2 min de lectura

Leer el artículo →

AI Risk and Governance

La opacidad de la IA ahora juega en su contra

2026-06-25 · 3 min de lectura

Leer el artículo →

AI Governance

El comité de empresa puede vetar tu IA

2026-06-25 · 3 min de lectura

Leer el artículo →

Servola

Servola ayuda a las empresas a inventariar, gobernar y retirar sus agentes de IA e identidades no humanas antes de que se conviertan en la brecha, en alemán e inglés.

Solicitar una presentación privada Sobre Servola →

Servola es asesoría tecnológica para un reducido número de familias y family offices. Cuando una decisión no se puede delegar, nos sentamos de su lado de la mesa.

Servola Systems GmbH · Ludwigshafen, Germany · [email protected]

← Todos los artículos