El 88% de empresas reportó incidentes en agentes IA en 2026

Hay un dato que viene circulando en la prensa especializada y que merece más atención que la que está recibiendo: el 88% de las organizaciones reportó incidentes confirmados o sospechosos relacionados con agentes IA en el último año, según el State of AI Agent Security 2026 Report de Gravitee recogido por VentureBeat. En paralelo, el 82% de los ejecutivos del mismo estudio declara confiar en que sus políticas actuales protegen contra acciones no autorizadas de agentes. Esa brecha —entre la confianza declarada arriba y la incidencia real en operaciones— es el problema central de la seguridad IA empresarial en 2026.

No es un fallo del modelo. No es un fallo de los proveedores. Es un fallo de gobernanza interna que se repite empresa tras empresa y que ahora, con frameworks como Semantic Kernel demostrando RCE vía prompt injection, se vuelve muy caro de seguir ignorando.

Tres factores estructurales explican el gap. El primero es velocidad: los agentes se incorporaron a las operaciones antes de que las estructuras de seguridad existentes pudieran adaptarse. Una empresa que tardaba 18 meses en aprobar un nuevo SaaS estuvo dispuesta a darle a un agente acceso a Salesforce, Drive y al sistema de tickets en una sprint review.

El segundo es opacidad: los ejecutivos ven el dashboard que les muestra el proveedor, no la realidad del flujo subyacente. Cuando Microsoft publicó las dos CVE de Semantic Kernel a inicios de mayo, muchas organizaciones se enteraron por la prensa de que tenían el framework corriendo en producción.

El tercero es asimetría de incentivos: el equipo que despliega el agente busca demostrar valor rápido; el equipo de seguridad llega después, cuando el agente ya tiene permisos y dependencias. Cambiar eso requiere voluntad organizacional, no más herramientas.

“La capa más nueva de tu stack debería ser la mejor monitoreada, no la peor. Con agentes IA está pasando lo contrario.”

• OKPrompt injection multi-turn: ataques con éxito del 92% sobre modelos open weight en pruebas controladas, según Help Net Security. No es una hipótesis, ya pasó en producción.
• OKTools mal expuestas: las CVE de Semantic Kernel demostraron que una sola función registrada sin pensarlo puede dar RCE. Cualquier agente con 20+ tools tiene exposición equivalente.
• OKSupply chain: paquetes npm/PyPI maliciosos que imitan integraciones legítimas (correo, calendario, CRM) y exfiltran datos en silencio.
• OKAgent-to-agent: un agente comprometido inyecta instrucciones a otro vía artefactos compartidos. El bug que viaja entre sistemas sin intervención humana.

1. 1Inventariar agentes como inventarías servidores. Cada agente debe tener dueño, propósito documentado y revisión de permisos trimestral. Hoy la mayoría no tiene ni eso.
2. 2Minimizar el tool registry. Cada herramienta accesible al modelo es una nueva primitiva de ataque. Si tu agente tiene 40 tools, cuestiona 30.
3. 3Human-in-the-loop para acciones con efectos secundarios. Escribir en disco, ejecutar código, modificar registros en CRM: aprobación humana obligatoria. La capacidad del modelo no es excusa para saltarse esto.
4. 4Logging y observability como en producción cualquier. Cada llamada del agente, cada herramienta invocada, cada prompt entrante: log estructurado y revisable.
5. 5Red team interno trimestral. Si nunca atacaste a tu propio agente, asume que alguien ya lo está atacando.

Si tu organización tiene agentes en producción y no puedes responder en menos de cinco minutos cuántos son, qué permisos tienen y cuándo fue su última revisión, estás en el 71% del problema. No en el 29% de la solución. La buena noticia es que cerrar la brecha no requiere tecnología nueva: requiere aplicar a los agentes lo que ya aplicamos a APIs, bases de datos y aplicaciones críticas. La mala noticia es que pocos lo están haciendo.

Hay una segunda conversación que también toca empezar: la del rol del equipo de seguridad en el ciclo de vida del agente. Hoy, en la mayoría de empresas, el equipo de seguridad llega en el peor momento posible —cuando el agente ya está deployado, ya tiene permisos, ya tiene usuarios— y se le pide que apruebe ex-post. Ese patrón rompe en cuanto las consecuencias empiezan a materializarse. La función necesita entrar en la fase de diseño, antes de que se elijan herramientas y se firmen contratos de SaaS. Es un cambio cultural, no técnico, y por eso cuesta más.

Un último apunte sobre la responsabilidad ejecutiva. Cuando ese 82% de ejecutivos reporta confianza en sus controles, en muchos casos lo hace de buena fe: están reportando lo que les dicen sus dashboards. El problema es que los dashboards heredados no fueron diseñados para visibilizar los riesgos específicos de los agentes. Pedirle al CISO que monitorice agentes con la misma instrumentación que aplicaba a perímetro de red en 2018 es injusto. La inversión en observability específica para agentes —telemetría de tool-use, logging de prompts entrantes, alertas sobre patrones anómalos de invocación— es la próxima compra obligada del CISO, no opcional.