La primera ola de preocupación por la IA empresarial fue sencilla. Simplemente eran empleados que pegaban datos confidenciales en herramientas públicas de inteligencia artificial. Los equipos de seguridad respondieron con políticas de uso, bloqueos de dominio y reglas de prevención de pérdida de datos. Esa respuesta tenía sentido en ese momento.

Ya no se ajusta al problema.

La IA en la sombra ha pasado de ser un problema de fuga de datos a un problema de control de acceso. La amenaza no se trata de lo que los empleados escriben en las herramientas de inteligencia artificial. Se trata de qué agentes de IA se ejecutan dentro de la organización, a qué sistemas empresariales están conectados y qué acciones están autorizados o no a realizar.

De herramientas pasivas a actores activos

Los empleados y las unidades de negocio están creando agentes de IA a un ritmo que la mayoría de los equipos de seguridad no pueden seguir. Se están creando asistentes personalizados, agentes de codificación, automatizaciones de flujo de trabajo y aplicaciones de agentes en todos los departamentos, algunos de ellos en plataformas autorizadas, pero muchos a través de extensiones de navegador, funciones nativas de SaaS, herramientas de desarrollo, servidores MCP, agentes basados ​​en terminales y scripts personalizados. Muchos comienzan como experimentos rápidos. Algunos se integran en procesos comerciales críticos en cuestión de días.

El perfil de riesgo de estos agentes es fundamentalmente diferente del de la TI tradicional en la sombra. Una aplicación SaaS no autorizada es un destino de datos. Un agente de IA es un actor que puede llamar a API, usar credenciales almacenadas, recuperar registros, modificar configuraciones, desencadenar flujos de trabajo posteriores y tomar acciones en sistemas de producción, a menudo sin que un humano autorice explícitamente cada paso.

Que un empleado pegue el registro de un cliente en una herramienta pública de inteligencia artificial es un incidente de fuga de datos. Un agente de IA personalizado conectado a Salesforce, Snowflake, GitHub, Gong y Slack es un incidente de control de acceso a punto de suceder. Podría exponer datos, pero también podría realizar acciones de lectura, escritura y eliminación de esos datos. También puede ejecutarse en cuentas de servicio con permisos que nadie auditó y permanecer activo seis meses después de que el empleado que lo creó cambió de rol o dejó la empresa. Nueva investigación de Token Security y Cloud Security Alliance mapea exactamente qué tan extendida se ha vuelto esta exposición.

¿Por qué los controles existentes no lo alcanzan?

La mayoría de los controles de seguridad empresarial se diseñaron para identidades humanas y cargas de trabajo deterministas. Las políticas de IAM, las reglas de DLP y la supervisión de la red suponen un comportamiento predecible y rutas de acceso definidas. Los agentes de IA rompen esos supuestos.

Un agente encargado de resolver una implementación fallida podría leer registros, consultar sistemas de monitoreo, modificar configuraciones de infraestructura, abrir tickets, activar canales de automatización y notificar a los equipos de ingeniería, todo en secuencia, todo usando las mismas credenciales heredadas. Para evitar interrumpir los flujos de trabajo, los desarrolladores otorgan amplios permisos por adelantado. Esos permisos se acumulan. Los agentes heredan privilegios a nivel de creador, el acceso temporal se vuelve permanente y los equipos de seguridad e identidad pierden visibilidad de lo que esas identidades están haciendo realmente.

Bloquear dominios públicos de IA no llega a nada de esto. Cuando un agente tiene credenciales para los sistemas empresariales, ya se ha cruzado el límite. Remediación automatizada de identidades no humanas es donde se cierra esa brecha.

Cómo se ve un inventario real de IA en la sombra

Descubrir la IA en la sombra requiere observar los entornos donde realmente viven los agentes, como plataformas de IA, aplicaciones SaaS con automatización incorporada, cuentas en la nube, herramientas de desarrollo, puntos finales y proveedores de identidad. A continuación se presentan seis preguntas para definir si los equipos de seguridad tienen el control real.

1. ¿Dónde se crean o instalan los agentes? Esto incluye plataformas obvias de IA, pero también asistentes de codificación, funciones de agentes nativos de SaaS, herramientas de desarrollo local y aplicaciones internas que han agregado silenciosamente capacidades de IA.
2. ¿Quién es el propietario de cada agente y quién puede utilizarlo? Sin propiedad, no hay responsabilidad. Un agente creado para un equipo financiero de tres personas que se comparte en toda la organización conlleva un perfil de riesgo muy diferente al de uno dirigido a un solo usuario.
3. ¿A qué recursos y servicios está conectado el agente? Un agente puede parecer inofensivo a nivel de plataforma mientras mantiene conexiones con bases de datos confidenciales o sistemas de producción a través de credenciales que se otorgaron de manera informal y nunca se revisaron.
4. ¿Qué identidades y secretos utiliza? Los agentes se autentican a través de cuentas de servicio, claves API, tokens OAuth, roles de IAM en la nube y secretos de larga duración. Cada tipo de credencial conlleva diferentes riesgos.
5. ¿Cuál es la intención del agente y qué ha hecho realmente? La configuración por sí sola no muestra si un agente está leyendo datos, escribiendo registros o accediendo a sistemas fuera de su alcance previsto. Es necesario comprender la intención y el contexto de comportamiento para priorizar la respuesta.
6. ¿El agente sigue activo? Los datos de Agentic Pulse de Token Security encontraron que el 65,4% de los chatbots agentes nunca se han utilizado desde su creación, pero sus credenciales permanecen activas. Los agentes inactivos con acceso en vivo son una exposición persistente y subestimada.

La curva de madurez para garantizar la seguridad de la IA agente

La mayoría de las organizaciones se encuentran en el comienzo de esto y tienen poco o ningún inventario de agentes. El siguiente paso es obtener visibilidad parcial para saber qué agentes existen, incluso sin el contexto completo. Después de eso, necesitan enriquecimiento y contexto para comprender la intención y asignar la propiedad, el acceso y las credenciales a cada agente. El siguiente paso es aplicar medidas de control con controles automatizados que corrijan los permisos excesivos, notifiquen a los propietarios de agentes inactivos y señalen nuevos agentes que se conectan a sistemas confidenciales.

El objetivo no es bloquear la adopción de la IA. Los equipos están bajo una presión real para utilizar estas herramientas y muchas de las ganancias de productividad son legítimas. Si la seguridad se convierte en un obstáculo, el uso se vuelve más clandestino y invisible. El mejor resultado es la habilitación gobernada para proporcionar un camino para que los equipos implementen agentes con controles automatizados que se ejecutan continuamente en segundo plano.

Esto requiere tratar a los agentes de IA de la misma manera que trataría a cualquier otra identidad en la empresa con descubrimiento continuo, propiedad definida, acceso con alcance y gestión del ciclo de vida desde la creación hasta el desmantelamiento.

La cuestión de la IA en la sombra ha cambiado. Ya no se trata de: ¿qué datos están incorporando los empleados a la IA? La cuestión ahora es: ¿qué agentes operan en nuestro entorno y a qué les dimos acceso? Esas son preguntas diferentes. El segundo es el que define la exposición y el riesgo de una organización. Si estás trabajando en ese inventario ahora, Vale la pena ver cómo otros lo abordan..