¿Cómo cambian las reglas del juego los agentes de IA?
La mayoría de los programas de seguridad tratan el acceso como un momento puntual, no como un proceso. Se verifica una credencial, se abre una sesión y se asume que el entorno es seguro. Esta suposición es válida cuando la identidad del otro extremo es la de una persona que toma decisiones deliberadas dentro de un ámbito definido. Sin embargo, no es válida para un agente que hereda el acceso, opera de forma autónoma y no cuenta con supervisión humana para detectar acciones indebidas.
Mythos demostró esto a gran escala. Un sistema de IA capaz de desarrollar de forma autónoma exploits funcionales para vulnerabilidades que sobrevivieron a décadas de revisión humana opera de manera muy similar a un agente comprometido o un agente humano dentro de su entorno. Posee velocidad, autonomía y acceso heredado sin que nadie lo supervise. La Cloud Security Alliance calificó a los agentes de IA como una superficie de ataque crítica precisamente por esta razón.
Operan bajo las credenciales de un usuario o una cuenta de servicio compartida, heredando el acceso que dicha cuenta conlleva. Este acceso no fue diseñado para el agente, sino para un propósito más amplio, acumulado con el tiempo y rara vez revisado teniendo en cuenta la tarea específica del agente.
El resultado es un agente con acceso permanente a datos privilegiados que no debería tener, operando con permisos que nadie le otorgó explícitamente. Los controles de acceso no fueron diseñados para detectar esto.
Para comprender el porqué, es necesario distinguir entre dos términos que a menudo se usan indistintamente, pero que no deberían: autenticación y autorización.
La autenticación no es autorización.
La autenticación confirma la identidad de un agente en el momento de la conexión. Ahí termina su función. La autorización determina qué acciones puede realizar dicho agente durante la sesión. Sin ella, un agente autenticado opera con los permisos heredados, sin control alguno, mientras dure la sesión. Ahí radica el riesgo.
Consideremos un ejemplo comúnautorización frente a autenticaciónEjemplo: Se implementa un agente para consultar una base de datos. Se autentica correctamente mediante una cuenta de servicio heredada. Dicha cuenta también tiene permisos de escritura en un sistema financiero al que el agente nunca debería haber accedido. La autenticación se completó sin problemas. En ningún momento del proceso se le preguntó si el agente debía tener acceso al sistema financiero. Nada le impidió usar dicho acceso. El agente fue autenticado, pero nunca autorizado.
Esto no es un caso excepcional. Es la condición predeterminada para la mayoría de las implementaciones de agentes de IA. Los agentes heredan un acceso que nunca se diseñó para ellos y, sin una autorización en tiempo de ejecución, ese acceso queda sin control mientras dure la sesión.
La autorización en tiempo de ejecución es la respuesta.
La autorización en tiempo de ejecución implica que cada acción del agente se evalúa continuamente en función de su identidad, los recursos disponibles y el contexto de la solicitud. El acceso se limita a lo que requiere la tarea. Cada acción privilegiada se evalúa en el momento en que se produce, y la política la definen personas. La aplicación de la política se realiza automáticamente en cada acción del agente, sin necesidad de revisión humana durante su ejecución.
La distinción es importante porque los agentes no son deterministas. A diferencia de un proceso programado que ejecuta los mismos pasos en el mismo orden, el comportamiento de un agente cambia según el contexto y las instrucciones. Una acción que fue apropiada en una sesión puede no serlo en la siguiente. Las revisiones de acceso estáticas no pueden seguir el ritmo de esa variabilidad. La autorización en tiempo de ejecución sí puede.
La sesión es donde se ejerce el control.
Saber que existe un agente y comprender su riesgo son puntos de partida necesarios. Ninguno de estos factores impide que un agente acceda a información que no debería tener. El control se ejerce a nivel de sesión y debe ser continuo.
La mayoría de las organizaciones pueden indicar que un agente se conectó. Sin embargo, pocas pueden precisar qué hizo después. ¿Se mantuvo dentro de los límites previstos? ¿Cuándo comenzó a realizar acciones para las que no estaba diseñado? Es precisamente en esta brecha donde la aplicación de la normativa en tiempo de ejecución cobra mayor importancia.
Cada acción que un agente realiza dentro de una sesión se evalúa según la política que la rige. Si una acción no cumple con dicha política, la respuesta es inmediata. No se generará ninguna alerta ni se marcará para su revisión. La acción se detiene antes de completarse.
La grabación de sesiones extiende ese control a la rendición de cuentas. Un registro completo de cada acción privilegiada que un agente realizó dentro de una sesión no solo satisface a un auditor, sino que también les indica a los equipos de seguridad exactamente qué hizo el agente, en qué orden y si se mantuvo dentro de los límites establecidos. Cuando algo sale mal, la respuesta ya está ahí.
La autorización en tiempo de ejecución controla lo que hace un agente. La grabación de la sesión lo demuestra.
Cómo se ve realmente la rendición de cuentas
Se les está pidiendo a los responsables de seguridad que rindan cuentas por las acciones de sus agentes de IA. Es una expectativa razonable que la mayoría de las organizaciones no pueden cumplir actualmente.
Se requiere evidencia: un registro completo y rastreable de cada acción privilegiada realizada por un agente, vinculado a la persona que autorizó la política que la regía. Cada sesión es monitoreada. Cada acción queda registrada antes de que alguien la solicite.
La presión regulatoria en torno a la rendición de cuentas de la IA se está acelerando. La capacidad de auditoría para la actividad iniciada por la IA está pasando de ser una buena práctica a un requisito legal en múltiples marcos regulatorios, y el ritmo de este cambio no disminuye. Las organizaciones que desarrollan esta capacidad ahora no están reaccionando a una regulación, sino que están construyendo la postura que sus juntas directivas exigirán mucho antes de que llegue cualquier fecha límite.
Los agentes de IA no van a desaparecer. La cuestión es si el programa de seguridad que los rige fue diseñado para la clase de identidad que representan.
Ver original aquí
