Basado en información de The Hacker News →
Introducción
Los agentes de inteligencia artificial ya no son experimentos de laboratorio: hoy recorren redes empresariales con permisos heredados, cruzan sistemas y ejecutan decisiones a velocidad de máquina. El problema es que la infraestructura de gobierno de identidades fue diseñada para humanos, no para entidades autónomas. Y la brecha entre lo que se despliega y lo que realmente se gobierna se está ensanchando peligrosamente.
El problema
Según reporta The Hacker News en su artículo "Guardian Agents: The Next Layer of Identity Governance", la adopción de agentes de IA en entornos empresariales está generando un nuevo vector de riesgo. Estos agentes no piden permiso: heredan credenciales de usuarios, se mueven lateralmente entre aplicaciones y toman decisiones sin supervisión humana. El modelo tradicional de Identity Governance and Administration (IGA) no fue diseñado para esta realidad, y el resultado es que las organizaciones están exponiendo datos críticos sin darse cuenta.
Consecuencias
Cuando un agente de IA acumula permisos por inercia —sin una política de ciclo de vida, sin revisión periódica, sin registro de acciones— cualquier vulnerabilidad en ese agente se convierte en una puerta abierta para el movimiento lateral. Un atacante que comprometa al agente podría exfiltrar datos, modificar configuraciones o escalar privilegios, todo bajo la apariencia de actividad legítima. El impacto no es solo técnico: también es regulatorio, porque los frameworks de compliance (SOC 2, ISO 27001, PCI-DSS) exigen control de acceso efectivo sobre cualquier entidad, humana o no.