En septiembre de 2025, Anthropic hizo pública una campaña de ciberespionaje en la que un actor estatal utilizó un agente de IA para ejecutar de forma autónoma una operación contra 30 objetivos globales. Según el informe, el sistema automatizado llevó a cabo de manera independiente entre el 80 y el 90 % de las acciones tácticas: reconocimiento, generación de exploits y movimiento lateral a velocidad de máquina. Este caso confirmó una tendencia que ya apuntaban organismos como ENISA y MITRE: la evolución desde el uso puntual de IA en ciberataques hacia operaciones casi totalmente automatizadas.
Cyber kill chain clásica frente a agentes de IA: un modelo que se queda corto
El modelo de cyber kill chain de Lockheed Martin, ampliamente adoptado desde 2011, asume que el atacante progresa por fases secuenciales —desde el acceso inicial hasta la acción sobre el objetivo—. En cada eslabón, las defensas tradicionales tienen oportunidades de detección: antivirus y EDR ante la descarga de malware, monitorización de red ante movimientos anómalos, controles de acceso frente a escaladas de privilegios y plataformas SIEM para correlacionar eventos dispersos.
Incluso grupos avanzados como APT29 o LUCR‑3, diseñados para el sigilo, dejan trazas medibles: inicios de sesión desde geolocalizaciones atípicas, patrones horarios inusuales o comportamientos que se desvían de la línea base de usuario. La mayoría de soluciones de detección de amenazas se construyen sobre la identificación de estas anomalías respecto al comportamiento esperado.
Los agentes de IA rompen este supuesto básico. Son, por diseño, entidades que trabajan de forma transversal sobre múltiples sistemas, intercambian datos entre aplicaciones y operan de manera continua. Cuando un agente de este tipo resulta comprometido, el atacante ya no necesita “recorrer” la kill chain paso a paso: el propio agente se convierte en una kill chain persistente y legítima.
Agentes de IA en SaaS: acceso legítimo convertido en cobertura perfecta
En la práctica, un agente corporativo de IA en entornos SaaS suele contar con un nivel de acceso muy amplio e incluso sobredimensionado. Para automatizar procesos, se le otorgan permisos sobre CRM (como Salesforce), mensajería corporativa (Slack), almacenamiento en la nube (Google Drive), plataformas de productividad (Google Workspace) o sistemas ITSM (ServiceNow), entre otros. El histórico de actividad de estos agentes se convierte, de facto, en un mapa detallado de dónde residen los datos críticos y cómo se usan.
Si un atacante compromete un agente de este tipo, hereda de forma instantánea sus privilegios, tokens, integraciones y canales de comunicación de confianza, además de su “derecho a existir” en la infraestructura. Copias masivas de datos, consultas a múltiples sistemas o movimientos entre aplicaciones se perciben como parte del flujo normal de negocio y no como un incidente. En consecuencia, muchos de los eslabones de la kill chain tradicional quedan, en la práctica, completamente omitidos.
Incidente OpenClaw: primera gran crisis de seguridad con agentes de IA
El caso OpenClaw ilustra la magnitud de este riesgo. La investigación reveló que aproximadamente el 12 % de las “skills” del marketplace público de la plataforma eran maliciosas. Una vulnerabilidad crítica de ejecución remota de código (RCE) permitía comprometer un agente con un solo clic, y se identificaron más de 21 000 instancias de agentes expuestas directamente a internet.
El aspecto más preocupante no fue tanto el vector de entrada como el alcance del acceso legítimo que obtenía el atacante al explotar un agente ya conectado a Slack y Google Workspace. Ese agente era capaz de leer mensajes, archivos, correos y documentos, y contaba con memoria persistente entre sesiones. Lo que en un ataque convencional sería el tramo final de una intrusión exitosa —el acceso a información sensible—, en este escenario se convirtió en el punto de partida.
Por qué las defensas tradicionales son casi ciegas ante ataques vía agentes de IA
La mayoría de herramientas de ciberseguridad actuales se centran en el descubrimiento de comportamientos anómalos. Sin embargo, cuando el atacante “cabalgaba” sobre el flujo de trabajo legítimo de un agente de IA, prácticamente todo resultaba normal desde la óptica de los sistemas: mismos servicios SaaS, franjas horarias habituales, volúmenes de datos coherentes con la función automatizada. El resultado es un importante déficit de visibilidad: el comportamiento del agente es correcto según la lógica de negocio y no dispara reglas de correlación ni firmas tradicionales.
Shadow AI: expansión del riesgo y difuminación de responsabilidades
Un factor adicional es el fenómeno de shadow AI: agentes de IA, plugins y conectores activados por usuarios sin intervención del departamento de TI. Estos componentes enlazan directamente datos corporativos con plataformas de IA externas mediante API, OAuth o protocolos como Model Context Protocol (MCP), generando “cadenas tóxicas” de integración entre sistemas que, de forma aislada, parecerían razonablemente seguros.
Cómo reducir el riesgo: inventario, gobierno de identidades y análisis de comportamiento
El primer paso para gestionar este nuevo vector de ataque es una inventarización exhaustiva de todos los agentes de IA en el entorno SaaS, incluyendo funciones de IA embebidas y conectores de terceros no aprobados formalmente. Soluciones como Reco Agentic AI Security automatizan este descubrimiento y construyen un mapa de qué aplicaciones SaaS están vinculadas a cada agente, qué permisos tienen concedidos y a qué datos acceden realmente.
La visualización de las relaciones SaaS‑to‑SaaS permite detectar combinaciones peligrosas de privilegios creadas por la suma de múltiples integraciones (MCP, OAuth, APIs directas). Ningún propietario de aplicación concede, por sí solo, un acceso crítico, pero la cadena completa de permisos sí lo hace. Sobre esta base, es posible evaluar el riesgo de cada agente según el alcance de sus derechos, su acceso cruzado entre sistemas y la sensibilidad de la información que manipula, aplicando posteriormente principios de identity and access governance y mínimo privilegio para reducir drásticamente el impacto potencial de una brecha.
En paralelo, el uso de un motor de análisis de comportamiento centrado en identidades —no solo humanas, sino también de agentes de IA— permite distinguir entre automatización normal y actividad sospechosa en tiempo casi real. Este enfoque hace posible detectar ataques incluso cuando estos se camuflan bajo procesos habituales, algo que los modelos de alerta tradicionales difícilmente logran.
El modelo kill chain partía de la premisa de que un atacante debía “ganarse” cada nuevo nivel de acceso. En la era de los agentes de IA, un único agente comprometido puede ofrecer acceso completo y formalmente legítimo a datos críticos sin un solo paso que se parezca a un ataque clásico. Las organizaciones que solo monitorizan el comportamiento de usuarios humanos se exponen a no ver llegar la siguiente ola de amenazas. Adoptar cuanto antes visibilidad extremo a extremo sobre agentes de IA en el ecosistema SaaS, sus permisos y su conducta real —apoyándose en herramientas especializadas y en una gobernanza estricta de identidades y privilegios— es un paso decisivo para prevenir incidentes del calibre de OpenClaw y construir una estrategia de seguridad de inteligencia artificial resiliente a largo plazo.
