Nadie gestiona el acceso de agentes IA en el 85% de empresas que los usan en producción

Cloud Security Alliance encuestó a 228 profesionales de TI y seguridad en enero y encontró una realidad preocupante: 85% de las organizaciones ejecutan agentes IA en entornos de producción, pero nadie tiene responsabilidad clara sobre cómo estos agentes se autentican o a qué pueden acceder. Los agentes de automatización de tareas lideran el despliegue en 67% de empresas, seguidos por recuperación de datos (52%) y agentes de generación de código (50%). Estos agentes interactúan principalmente con aplicaciones internas y APIs (56%), plataformas SaaS (49%), e infraestructura cloud (44%).

Esto representa un problema fundamental de infraestructura que las empresas parecen decididas a ignorar hasta que rompa algo importante. Hemos visto este patrón antes con contenedorización y microservicios — la nueva tecnología se despliega más rápido de lo que evoluciona la infraestructura de soporte. La diferencia aquí es que los agentes IA pueden tomar decisiones y realizar acciones de manera autónoma, haciendo que el radio de impacto de controles de acceso mal configurados sea potencialmente catastrófico. Cuando 43% de organizaciones usan cuentas de servicio compartidas para acceso de agentes y 31% permite que los agentes operen bajo identidades humanas, esencialmente estás volando a ciegas.

La encuesta revela la disfunción organizacional predecible: la responsabilidad por los controles de acceso de agentes está dispersa entre seguridad (28%), desarrollo (25%), y equipos de negocio (18%), con 15% sin certeza de quién es responsable cuando los agentes se comportan mal. Solo 57% expresa confianza moderada a alta en que sus agentes tienen acceso apropiadamente delimitado — una admisión sorprendentemente honesta que sugiere que el número real es mucho menor.

Para desarrolladores construyendo sistemas potenciados por IA, esto debería ser una llamada de atención. Si tu organización carece de gestión clara de identidad de agentes, probablemente estás heredando deuda de seguridad significativa. Empieza a hacer preguntas difíciles sobre rotación de credenciales, logging de acceso, y respuesta a incidentes para tus integraciones IA antes de que la negligencia de alguien más se convierta en tu emergencia de producción.