Hace dos años el debate era si ChatGPT iba a quitarte el trabajo. En junio de 2026 el debate real es otro: si el agente que acabas de conectar a tu CRM, a tu WordPress o a la API de facturación va a hacer algo que nadie en tu equipo aprobó. Y lo peor es que la respuesta que te venden —más filtros en el prompt, más políticas en el modelo, más «IA responsable» en el PDF— no encaja con cómo funcionan esos agentes en producción.
Lo digo sin rodeos: si sigues tratando la IA como una caja negra que hay que «alinear» y ya, estás protegiendo el componente equivocado. Los investigadores que publican en CSO Online lo plantean así: no puedes asegurar agentes autónomos haciendo el modelo más robusto; hace falta control en el sistema que lo rodea —herramientas, memoria, APIs, permisos, ejecución en runtime. El modelo debe tratarse como un componente no confiable, no como el cerebro de confianza de tu infraestructura.
Eso no es filosofía de laboratorio. Bessemer lo resume en una frase que me resuena: asegurar agentes de IA es, para muchos CISO, el reto de ciberseguridad definitorio de 2026. Gartner ya proyectaba que el 40% de las aplicaciones empresariales embeberían agentes específicos este año. El problema no es la predicción; es que el inventario de agentes en tu empresa sigue siendo un Excel que nadie actualiza y el firewall sigue mirando puertos, no intenciones.
La trampa del «modelo más seguro»
En mi experiencia con pymes y agencias, el patrón se repite. Llega un proveedor con un chatbot «enterprise», prometen cifrado, cumplimiento RGPD y algún filtro anti-inyección. Firmas. Tres meses después alguien del marketing conecta el mismo tipo de herramienta a una hoja de cálculo con datos de clientes porque «iba más rápido que pedirlo a IT». Eso es IA sombra, y no es anecdótico: IBM ya cuantificaba en 2025 que las brechas ligadas a IA sombra costaban de media 4,63 millones de dólares por incidente —unos 670.000 dólares más que una brecha «clásica». No porque el atacante sea más listo sino porque el agente actúa a velocidad de máquina entre sistemas mientras tú sigues pensando en capas 3 y 4.
¿Y la encuesta de Dark Reading que citan en Bessemer? Casi la mitad de los profesionales de ciberseguridad señalan ya los sistemas agénticos y autónomos como el vector de ataque más peligroso. No el ransomware del viernes. El empleado digital que nadie dio de alta en el directorio activo pero sí tiene credenciales vía OAuth.
Aquí es donde la conversación en inglés va por delante de la española. En foros y informes de 2026 no discuten si GPT-5 es mejor que GPT-4; discuten taxonomías OWASP para aplicaciones agénticas, abuso de herramientas, secuestro de objetivos, identidades no humanas que multiplican la superficie. Las empresas tienen más identidades de máquina que de personas y los agentes son otra categoría más. Si tu respuesta es «limitamos tokens», no estás en la misma partida.
Lo que sí toca si tienes web, tienda o CMS
No hace falta ser banco para estar expuesto. Un agente que publica en WordPress, responde tickets o genera presupuestos desde WooCommerce no es un chat: es un microservicio con criterio propio. La recomendación que se repite en la industria —y que comparto— es incómoda pero clara: identidad propia por agente, mínimo privilegio, segmentación, proxy que inyecte credenciales sin que el modelo las vea, auditoría de cada llamada a herramienta. Suena a DevOps, no a marketing. Precisamente por eso falla en la mayoría de proyectos que veo.
Y mientras tanto, en España el Gobierno acaba de enviar al Congreso su ley orgánica de IA, con multas que en El País se resumen hasta en 35 millones o el 7% de la facturación en casos graves, y con etiquetado obligatorio de contenido generado a partir del 2 de agosto de 2026. Perfecto. ¿Cuántas tiendas online llevan ya marcado en el flujo de publicación qué párrafo salió de un LLM? Muy pocas. La ley empuja transparencia; el mercado sigue vendiendo «autopublicación con IA» sin trazabilidad. Esa brecha es la misma que en seguridad: obligación en el papel, caos en el runtime.
La encuesta de la Cloud Security Alliance a más de 1.500 responsables de seguridad añade una ironía que me molesta: el 77% ya usa IA generativa en su stack de seguridad, pero la exposición de datos sensibles sigue siendo la preocupación número uno para el 61%. O sea, defendemos con la misma tecnología que nos preocupa atacar. No digo que esté mal usar IA en SOC; digo que si no inventarias antes tus agentes internos, estás apagando fuego con gasolina cara.
Qué haría mañana (sin PowerPoint)
Primero, inventario real: qué agente existe, qué APIs toca, qué datos lee, quién lo aprobó. Segundo, separar identidades y revocar cuando el proyecto muere —que suele ser nunca. Tercero, observabilidad de acciones, no solo de prompts: qué herramienta llamó, qué devolvió, qué salió por correo. Cuarto, para webs y contenido, diseñar ya el marcado de IA en plantillas y metadatos; agosto llega en calendario de verano, no en calendario de proyecto. Quinto, dejar de comprar «seguridad de modelo» como producto único; es capa, no estrategia.
Los que cierren esa brecha en 2026 definirán cómo se despliega IA en pymes serias. Los que esperen a la primera multa o al primer incidente público gastarán 2027 en informes forenses. Yo ya he visto suficientes plugins de «IA para WordPress» sin registro de quién autorizó qué acción como para no fiarme del siguiente que prometa magia en un clic.
Si mañana tu proveedor de hosting o tu SaaS favorito te ofreciera un agente preinstalado con acceso a base de datos y correo, pero te quitara visibilidad sobre cada acción que ejecuta en tu nombre, ¿lo activarías para ganar dos horas a la semana o lo rechazarías hasta tener el inventario y los permisos bajo control?