Por Eusebio Nieva, director técnico de Check Point Software para España y Portugal.

La inteligencia artificial está entrando en una fase que redefine por completo nuestra manera de entender el riesgo de seguridad. Los agentes autónomos, capaces de actuar, recordar, extender sus capacidades y ejecutar código, ya no son una visión futurista, sino una realidad que crece a un ritmo vertiginoso. Plataformas como OpenClaw demuestran cómo rápidamente pueden escalar estos ecosistemas cuando se incorporan memoria persistente, habilidades especializadas y extensiones. Pero junto con esta autonomía, los riesgos aumentan de manera proporcional.

Investigaciones recientes del equipo Lakera de Check Point Software muestran un patrón preocupante. Los sistemas de IA agentiva parecen combinar lo peor de los ecosistemas de software tradicionales con las vulnerabilidades de los modelos de lenguaje, y sin contar con los controles de seguridad maduros de ninguno de los dos. Tres nuevas clases de amenaza emergen y nos indican que estamos entrando en una era de seguridad radicalmente distinta.

La persistencia de memoria es uno de los vectores más delicados. A diferencia de los chatbots tradicionales, que procesan cada interacción de manera aislada, los agentes autónomos retienen memoria a largo plazo: contexto, preferencias, historiales de tareas e incluso instrucciones a nivel de sistema.

El peligro no se manifiesta como un ataque súbito, sino como una deriva progresiva que, con el tiempo, puede llevar al agente a realizar acciones fuera de su política original. Experimentos de laboratorio demostraron cómo este proceso llegó a culminar en la ejecución de un reverse shell, un efecto amplificado precisamente por la persistencia de la memoria.

Los ecosistemas de habilidades representan otro desafío crítico. Los agentes modernos dependen de extensiones modulares que amplían su alcance operativo, desde la ejecución de código hasta el acceso a sistemas de archivos, solicitudes de red y conectividad con servicios de terceros. Ya se han visto campañas masivas de “envenenamiento” del ecosistema de habilidades de agentes como openclaw con el propósito de distribuir malware de tipo “infostealer”. En algunos casos hasta un 12% de las habilidades (skills) habían sido “envenenadas”.

La combinación de autonomía del agente y la exposición de la cadena de suministro genera un riesgo inédito: el usuario no revisa el código, el agente puede seleccionar la habilidad de manera autónoma y el modelo carece de visibilidad sobre el comportamiento real de la extensión. Mientras en software tradicional auditamos dependencias y verificamos firmas, muchos ecosistemas de agentes crecen más rápido que sus mecanismos de gobernanza, favoreciendo la expansión rápida sobre la seguridad sistemática.

Eso sin contar los estudios que identificaron más de 30,000 instancias de OpenClaw expuestas públicamente en Internet, muchas de ellas sin ningún tipo de autenticación. Recordemos que estos agentes ingieren rutinariamente emails, documentos, páginas web, mensajes de chat y habilidades de terceros como parte de su operación normal, lo que los convierte en vectores de prompt injection persistentes y por lo tanto difíciles de proteger con sistemas tradicionales.

Un cambio de escala que la seguridad aún no ha asumido

Estos problemas apuntan a un desafío aún más profundo: el vacío de gobernanza. Sin normas claras, mecanismos de supervisión ni principios de seguridad integrados, los ecosistemas tienden a la inestabilidad. Los actores maliciosos aprovechan la ambigüedad, mientras los desarrolladores subestiman la creatividad de los atacantes. La IA agentiva, a veces, complica aún más la atribución de responsabilidades.

¿Es la plataforma responsable de las habilidades maliciosas? ¿El desarrollador responde por comportamientos en tiempo real? ¿El modelo es responsable de ejecutar instrucciones inseguras? ¿El usuario debe auditar acciones autónomas? Los sistemas tradicionales de ciberseguridad evolucionaron alrededor de límites claros, pero la IA agentiva los difumina. Un agente autónomo es a la vez motor de razonamiento, sistema con estado, entorno de ejecución, participante de mercado y actor en red. Cada capa introduce riesgos distintos y juntos forman una superficie de ataque que no puede mitigarse solo con bastionado de prompts.

La urgencia es aún mayor porque estos agentes están pasando de la experimentación a la integración empresarial. Ya se despliegan en investigación, desarrollo, análisis de datos, automatización de flujos de trabajo e incluso gestión de infraestructura. Sin embargo, los enfoques de seguridad siguen anclados en modelos de amenaza tradicionales. La transición de una IA que sugiere a una IA que ejecuta no es incremental; es integral.

La memoria persistente se convierte en un vector de ataque que debe monitorizarse, versionarse y verificarse. Las habilidades funcionan como componentes de la cadena de suministro, que requieren revisión, aislamiento y mínimos privilegios. Y la autonomía amplifica vulnerabilidades pequeñas, multiplicando el riesgo cuando un agente puede actuar repetidamente y sin supervisión.

En este contexto, la industria debe asumir que los sistemas de IA ya no son solo modelos, sino entornos operativos completos. La emoción por los ecosistemas de agentes está justificada: los beneficios en productividad son reales. Pero sin inversión paralela en arquitectura de seguridad y gobernanza, corremos el riesgo de construir sistemas poderosos sobre cimientos de confianza frágiles.

La IA agentiva representa un salto extraordinario en capacidad. Que se traduzca en un salto en resiliencia dependerá de lo que hagamos ahora. Prepararse es la única forma de garantizar que la autonomía y la innovación no se conviertan en un riesgo sistémico en el futuro. La seguridad de la era de la IA que actúa debe pensarse antes de que los agentes tomen decisiones que no podremos revertir.