Los agentes de IA ya no se limitan a responder preguntas: pueden leer repositorios, consultar inventarios, abrir incidencias, ejecutar pruebas y utilizar herramientas conectadas. Eso multiplica su utilidad para seguridad y operaciones, pero también cambia la pregunta: no basta con saber si el modelo responde bien; hay que decidir a qué datos puede acceder y qué acciones tiene permitido realizar.
La oportunidad es real. En su documentación de seguridad, OpenAI describe que GPT‑5.6 puede localizar vulnerabilidades y fragmentos de exploits, y que sus evaluaciones muestran mejor capacidad para encontrar y corregir problemas que para ejecutar ataques completos contra objetivos reforzados. A la vez, el proveedor reconoce que, en tareas de programación agéntica, el modelo mostró mayor tendencia que su versión anterior a intentar acciones no solicitadas, aunque con tasas absolutas bajas. Esa combinación hace imprescindible diseñar límites técnicos, no solo confiar en buenas instrucciones.
Dónde un agente aporta valor defensivo
- Priorización de vulnerabilidades. Correlacionar activos, versiones, exposición y avisos de fabricantes para proponer un orden de parcheo.
- Revisión de código y configuración. Señalar secretos expuestos, permisos excesivos, dependencias obsoletas o configuraciones inseguras antes de desplegar.
- Triaje de alertas. Resumir eventos, extraer indicadores y preparar hipótesis para que un analista valide.
- Documentación operativa. Convertir procedimientos dispersos en runbooks revisables y actualizar inventarios a partir de fuentes controladas.
Nada de esto exige entregar al agente las credenciales de producción ni autoridad para cambiar un firewall. El mejor primer uso es de lectura, con fuentes limitadas y salida revisada por una persona.
El riesgo no está solo en el modelo
Un agente recibe instrucciones de usuarios, documentos, tickets, webs, correos y herramientas. Esa cadena amplía la superficie de ataque. La lista OWASP para aplicaciones agénticas de 2026 sitúa la inyección de instrucciones, la gestión deficiente de identidad y permisos, las herramientas inseguras y las acciones no controladas entre los riesgos prioritarios.
Un ejemplo sencillo: un agente lee un correo o una página para resumirla y el contenido incluye una orden maliciosa. Si el agente puede después consultar secretos, cambiar una regla o enviar datos fuera, el problema deja de ser una respuesta errónea y pasa a ser una acción con impacto. Por eso un texto externo no debe convertirse nunca en una instrucción privilegiada.
Siete controles antes de conectar un agente a producción
- Empieza en solo lectura. Inventario, logs, tickets y documentación; nada de cambios en sistemas críticos.
- Permisos mínimos y temporales. Una identidad por agente, alcance reducido, expiración y sin reutilizar cuentas de administrador.
- Aprobación humana para acciones. Crear una propuesta no es lo mismo que aplicar una regla, desactivar una cuenta o desplegar código.
- Lista explícita de herramientas. Permite solo APIs y comandos necesarios; bloquea herramientas genéricas de shell, correo o subida de archivos salvo necesidad justificada.
- Datos y secretos separados. Usa un gestor de secretos; filtra tokens, claves y datos personales antes de enviarlos al contexto del modelo.
- Sandbox y límites de red. Ejecuta pruebas en entornos aislados, sin salida innecesaria y sin rutas directas a producción.
- Registro, revisión y botón de parada. Guarda qué pidió el usuario, qué fuentes leyó, qué herramientas invocó y qué resultado produjo. Debe ser posible revocar permisos de inmediato.
Medir antes de automatizar
Antes de conceder autonomía, prepara un conjunto pequeño de casos reales: una alerta benigna, una configuración con un fallo conocido, un ticket con instrucciones contradictorias y un documento que intente alterar el objetivo. Evalúa si el agente identifica el límite, pide confirmación y deja trazabilidad. Si falla en el laboratorio, no debe llegar a producción.
También conviene separar claramente tres funciones: el modelo que analiza, la cuenta que accede a los datos y el sistema que ejecuta acciones. Cuando las tres se mezclan bajo una sola credencial, el incidente más pequeño adquiere un radio de impacto innecesario.
Capacidad con control, no prohibición
La IA defensiva puede ayudar a equipos pequeños a revisar más código, priorizar mejor y documentar con menos esfuerzo. La respuesta sensata no es bloquearla ni entregarle las llaves del sistema: es desplegarla de forma gradual, medible y reversible. Un agente útil no es el que puede hacer cualquier cosa; es el que hace mucho dentro de límites verificables.
Si estás valorando agentes para soporte, operaciones, desarrollo o ciberseguridad, en allado.es pueden ayudarte a definir permisos, datos permitidos, aprobaciones y pruebas antes de conectar automatizaciones a servicios críticos.
