Los agentes de IA están acelerando la forma en que realizamos el trabajo. Programe reuniones, acceda a datos, active flujos de trabajo, escriba código y realice acciones en tiempo real para aumentar la productividad más allá de la velocidad humana en toda su empresa.
Y llega un momento en el que todos los equipos de seguridad finalmente se enfrentan a la siguiente pregunta:
«Espera… ¿quién aprobó esto?»
A diferencia de los usuarios y las aplicaciones, los agentes de IA suelen implementarse rápidamente, compartirse ampliamente y recibir amplios privilegios de acceso, lo que dificulta el seguimiento de la propiedad, la autorización y la responsabilidad. Lo que alguna vez fue una pregunta fácil ahora es sorprendentemente difícil de responder.
Los agentes de IA alteran los modelos de acceso tradicionales
Los agentes de IA son más que un simple tipo de usuario. Son fundamentalmente diferentes de los humanos y de las cuentas de servicios tradicionales, y estas diferencias alteran los modelos de acceso y autorización existentes.
Human Access se basa en una intención clara. Los privilegios están vinculados a los roles, se revisan periódicamente y están limitados por el tiempo y el contexto. Aunque las cuentas de servicio no son humanas, normalmente están diseñadas específicamente, tienen un alcance limitado y están vinculadas a aplicaciones o funciones específicas.
Los agentes de IA son diferentes. Operan con autoridad delegada y pueden actuar en nombre de múltiples usuarios o equipos sin requerir una participación humana continua. Una vez aprobados, son autónomos y persistentes, a menudo operan en todos los sistemas y se mueven entre diferentes sistemas y fuentes de datos para completar tareas de un extremo a otro.
En este modelo, el acceso delegado no sólo automatiza las acciones de un usuario, sino que también las amplía. Mientras que los usuarios humanos están limitados por permisos otorgados explícitamente, los agentes de IA a menudo reciben derechos de acceso más amplios y poderosos para operar de manera efectiva. Como resultado, el agente puede realizar acciones que el propio usuario no está autorizado a realizar. Si existe permiso, el agente puede realizar la acción. Un agente puede realizar una acción incluso si el usuario no tenía la intención de realizarla o no sabía que la acción era posible. Como resultado, los agentes pueden causar exposición, a veces de forma accidental, a veces de forma implícita, pero siempre de forma legal desde un punto de vista técnico.
Así es como se produce la deriva del acceso. Los agentes acumulan autoridad silenciosamente a medida que se expande su alcance. A medida que se agregan integraciones, los roles cambian y los equipos van y vienen, el acceso de los agentes permanece. Estos pueden ser intermediarios poderosos con poderes amplios y de largo plazo, a menudo sin una propiedad clara.
No es de extrañar que los supuestos existentes sobre IAM se desmoronen. IAM asume identidades claras, propietarios definidos, roles estáticos y revisiones periódicas que abordan el comportamiento humano. Los agentes de IA no siguen esos patrones. No encajan claramente en categorías de usuarios o cuentas de servicio, operan continuamente y su acceso efectivo se define por cómo se utilizan, no por cómo fueron autorizados originalmente. Si no se repensan estos supuestos, IAM no reconocerá los riesgos reales que plantean los agentes de IA.
Tres tipos de agentes de IA en la empresa
En entornos empresariales, no todos los agentes de IA asumen los mismos riesgos. Los riesgos varían dependiendo de la propiedad del agente, el alcance del uso del agente y los derechos de acceso, lo que da como resultado diferentes categorías con implicaciones de seguridad, responsabilidad y radio de explosión significativamente diferentes.
Agente personal (propiedad del usuario)
Los agentes personales son asistentes de inteligencia artificial que los empleados individuales utilizan para ayudar con sus tareas diarias. Redactan contenido, resumen información, programan reuniones o ayudan con la codificación, siempre en el contexto de un usuario.
Estos agentes normalmente operan dentro de los privilegios del usuario propietario del agente. Estos accesos se heredan en lugar de extenderse. Si el usuario pierde el acceso, el agente también pierde el acceso. Debido a la propiedad clara y al alcance limitado, el radio de explosión es relativamente pequeño. Los agentes personales son los más fáciles de entender, gestionar y remediar porque los riesgos están directamente relacionados con los usuarios individuales.
Agente externo (propiedad del proveedor)
Los agentes de terceros están integrados en plataformas SaaS y de IA que los proveedores ofrecen como parte de sus productos. Los ejemplos incluyen capacidades de IA integradas en sistemas CRM, herramientas de colaboración y plataformas de seguridad.
Estos agentes se gestionan a través de gestión de proveedores, contratos y modelos de responsabilidad compartida. Puede haber una visibilidad limitada de cómo trabajan internamente los clientes, pero las responsabilidades están claramente definidas. En otras palabras, el vendedor es dueño del agente.
La principal preocupación aquí es el riesgo de la cadena de suministro de IA o la confianza en que los proveedores protejan adecuadamente a sus agentes. Sin embargo, desde una perspectiva corporativa, la propiedad, las vías de aprobación y las responsabilidades suelen entenderse bien.
Agente de la organización (compartido y a menudo sin propietario)
Los agentes de la organización se implementan internamente y se comparten entre equipos, flujos de trabajo y casos de uso. Automatizan procesos, integran sistemas y trabajan en nombre de múltiples usuarios. Para ser eficaces, a estos agentes se les suelen conceder permisos amplios y persistentes que van más allá del acceso de un solo usuario.
Aquí es donde se concentran los riesgos. Los agentes organizacionales a menudo no tienen un propietario claro, un aprobador único ni un ciclo de vida definido. Si algo sale mal, no está claro quién es el responsable o incluso no se entiende completamente lo que el agente puede hacer.
Como resultado, los agentes organizacionales presentan los mayores riesgos y el mayor alcance explosivo, no porque sean maliciosos, sino porque operan a escala y sin una responsabilidad clara.
Problema de omisión de autenticación del agente
Como se explica en el artículo Agentes que crean rutas de omisión de autorización, los agentes de IA no solo realizan tareas, sino que también actúan como intermediarios de acceso. En lugar de que los usuarios interactúen directamente con el sistema, los agentes utilizan sus propias credenciales, tokens e integraciones para actuar en su nombre. Esto cambia el lugar donde realmente se toman las decisiones de autorización.
Cuando un agente actúa en nombre de un usuario individual, puede proporcionarle acceso y funcionalidad más allá de los privilegios autorizados del usuario. Los usuarios que no pueden acceder directamente a ciertos datos o realizar ciertas acciones aún pueden activar agentes que sí puedan hacerlo. Los agentes actúan como representantes, permitiendo acciones que los usuarios nunca podrían realizar por sí solos.
Estas acciones están técnicamente permitidas y el agente tiene acceso válido. Sin embargo, es contextualmente inseguro. Con el control de acceso tradicional, las credenciales son legítimas y no se activa ninguna alerta. Este es el núcleo de la omisión de autenticación del agente. El acceso se otorga correctamente, pero se utiliza de una manera que el modelo de seguridad no está diseñado para manejar.
Repensar el riesgo: ¿Qué hay que cambiar?
Proteger a los agentes de IA requiere un cambio fundamental en la forma de definir y gestionar el riesgo. Los agentes ya no pueden ser tratados como una extensión del usuario o como un proceso automatizado en segundo plano. Estas deben ser tratadas como entidades sensibles y potencialmente de alto riesgo con sus propias identidades, privilegios y perfiles de riesgo.
Esto comienza con una propiedad y una responsabilidad claras. Cada agente debe tener un propietario claro que sea responsable de su propósito, alcance de acceso y revisión continua. Sin propiedad, la autorización no tiene sentido y el riesgo sigue sin gestionarse.
Es importante destacar que las organizaciones también necesitan mapear cómo los usuarios interactúan con los agentes. No basta con entender a qué tienen acceso los agentes. Los equipos de seguridad necesitan tener visibilidad sobre qué usuarios pueden invocar agentes, bajo qué condiciones y con qué privilegios efectivos. Sin este mapa de conectividad usuario-agente, el agente se convierte silenciosamente en una ruta de omisión de autenticación que permite a los usuarios realizar indirectamente acciones que no pueden realizar directamente.
Finalmente, las organizaciones necesitan mapear el acceso de los agentes, la integración y las rutas de datos en todo el sistema. Solo correlacionando Usuario → Agente → Sistema → Acción los equipos pueden evaluar con precisión el radio de la explosión, detectar el uso indebido e investigar de manera confiable actividades sospechosas cuando algo sale mal.
Costo de los agentes de IA para organizaciones no administradas
Los agentes de IA no controlados en las organizaciones convierten las ganancias de productividad en riesgos generales. Estos agentes se comparten entre equipos, se les otorga acceso amplio y persistente y operan sin propiedad o responsabilidad clara. Con el tiempo, se utilizan para nuevas tareas, creando nuevas rutas de ejecución y haciendo que sus acciones sean más difíciles de rastrear y contener. Si algo sale mal, no hay un propietario claro al que responder, arreglar o incluso comprender todo el radio de la explosión. Sin visibilidad, propiedad y control de acceso, los agentes de IA de una organización se convierten en uno de los elementos más peligrosos y menos gestionados del entorno de seguridad de una empresa.
Para obtener más información, visite https://wing.security/.
Source link
