Dal Cin, Paolo, Daniel Kendzior, Yusof Seedat, y Renato Marinho. 2025. “Three Essentials for Agentic AI Security.” MIT Sloan Management Review, 4 de junio de 2025. https://sloanreview.mit.edu/article/agentic-ai-security-essentials/

El artículo destaca la importancia de gestionar la seguridad en agentes de IA autónomos mediante un enfoque de tres fases: modelado de amenazas, pruebas de seguridad y protección en tiempo real. Muchas empresas aún no están preparadas para estos riesgos, lo que puede comprometer datos y operaciones. Implementar estas medidas es clave para adoptar IA responsablemente y evitar vulnerabilidades.

Estos agentes, que operan de forma independiente utilizando modelos de lenguaje a gran escala (LLMs), tienen la capacidad de interactuar con múltiples sistemas, tomar decisiones y automatizar procesos complejos dentro de organizaciones. Su autonomía, si bien es una ventaja importante para aumentar la eficiencia, también introduce riesgos significativos que requieren una atención especializada para evitar vulnerabilidades que puedan poner en peligro la integridad de los datos y la seguridad organizacional.

Uno de los puntos clave que resaltan los autores es que muchas empresas no están suficientemente preparadas para enfrentar estos riesgos. Según encuestas realizadas, solo un 42% de los ejecutivos equilibra el desarrollo y la implementación de herramientas de IA con inversiones adecuadas en seguridad. Peor aún, apenas un 37% ha establecido procesos formales para evaluar la seguridad de estas tecnologías antes de incorporarlas en sus operaciones diarias. Esto revela una brecha preocupante entre la adopción acelerada de IA y la preparación para gestionar sus implicaciones de seguridad.

Para responder a este desafío, el artículo propone un marco estructurado basado en tres fases esenciales. La primera fase es el modelado de amenazas, que consiste en identificar y comprender los riesgos específicos que los agentes de IA autónomos pueden generar. Esto implica analizar cómo la autonomía y la interacción con sistemas externos pueden abrir puertas a posibles ataques o fallos. La segunda fase son las pruebas de seguridad, donde los agentes se someten a simulaciones y escenarios controlados que permiten detectar y corregir vulnerabilidades antes de su despliegue real. Finalmente, la tercera fase es la implementación de protecciones en tiempo de ejecución, es decir, mecanismos de supervisión y control que garanticen que estos agentes actúan conforme a las políticas y objetivos de la organización, previniendo comportamientos no deseados o maliciosos durante su funcionamiento.

El artículo también ejemplifica cómo este enfoque puede aplicarse en la práctica con el caso de una empresa brasileña del sector salud. Esta organización enfrentaba un problema común en muchas instituciones: un cuello de botella costoso causado por el procesamiento manual de solicitudes de exámenes médicos. Al implementar agentes de IA para automatizar esta tarea, aplicaron el marco de seguridad propuesto, logrando identificar riesgos, mitigarlos y asegurar que la automatización no comprometiera la seguridad de los datos ni la calidad del servicio. Este ejemplo ilustra cómo la aplicación rigurosa de principios de seguridad puede facilitar la adopción responsable y efectiva de tecnologías avanzadas en sectores sensibles.

En conclusión, el artículo subraya la importancia de un enfoque proactivo y sistemático en la gestión de la seguridad de los agentes de IA autónomos. Solo mediante la identificación temprana de riesgos, pruebas rigurosas y controles continuos en tiempo real, las organizaciones podrán aprovechar al máximo las ventajas de estas tecnologías sin poner en riesgo su integridad, privacidad o cumplimiento normativo. La seguridad, por tanto, debe ser una prioridad inseparable del desarrollo y despliegue de agentes de IA para asegurar que su impacto sea positivo y sostenible a largo plazo.