Por Sanjay Beri, Cofundador y CEO, Netskope

Desde nuestra posición privilegiada como punto de inspección global en línea del tráfico de IA (y de todo tipo) de las empresas, que procesa miles de millones de transacciones, podemos hacernos una idea clara de la situación actual. La empresa media utiliza actualmente 60 aplicaciones distintas de IA, mientras que las empresas más expertas utilizan más de 500.

Por cada gigabyte que sus empleados envían a las herramientas de IA, estas les devuelven 4,3 gigabytes. La IA se ha convertido en un generador neto de información y el riesgo no solo se concentra en lo que entra, sino también en lo que sale.

El 80 % de las aplicaciones de IA generativa que analizamos obtienen una calificación de deficiente en cuanto a seguridad empresarial según nuestro Índice de Confianza en la Nube. Aproximadamente una de cada cuatro empresas ni siquiera cuenta con políticas de gobernanza de la IA aplicadas en tiempo real. Ese es el panorama con el que se enfrenta un director de seguridad de la información cada lunes por la mañana. No nos referimos solo al kernel de Linux.

Mythos, de Anthropic, y el consorcio Project Glasswing realizarán un trabajo real e importante en el software de código abierto a nivel mundial, incluidos los sistemas operativos, los navegadores y las bibliotecas críticas. Los parches acabarán llegando a todas las empresas y todos nos beneficiaremos. Por otro lado, los modelos actuales y futuros detectarán estas vulnerabilidades para los atacantes y las combinarán en forma de exploits con gran rapidez.

Sin embargo, este modelo y los que vendrán en el futuro harán que todo un campo enorme y cada vez más importante de la seguridad (donde se encuentra Netskope) y las redes sea aún más crítico.

El vector que importa

Visualícelo, porque ya está ocurriendo ahora mismo en su empresa.

Un empleado instala un asistente de IA que resume sus correos electrónicos, prioriza su agenda y redacta las actualizaciones de su CRM. El asistente se conecta a estos sistemas a través del Protocolo de Contexto de Modelos (MCP), el estándar que se está imponiendo rápidamente como forma predeterminada de conexión de los agentes al software empresarial. Cada conexión está autorizada por el usuario. Cada solicitud se autentica como el usuario. Cada llamada a la API llega a un destino autorizado.

Nada parece estar mal para el punto final, el proveedor de SaaS o su pila de identidades. Sin embargo, los datos confidenciales están fluyendo hacia un agente que su equipo de seguridad nunca ha revisado, que opera con el nivel de privilegios de uno de sus empleados y que está sujeto al criterio de un modelo no determinista que puede alucinar, ser manipulado con entradas de comando o, simplemente, cometer un error.

Un navegador parcheado no lo detecta. Un sistema operativo parcheado no lo detiene. Un escáner de vulnerabilidades de día cero en bibliotecas de código abierto nunca lo detectaría. No se trata de una vulnerabilidad de código. Se trata de un problema de identidad y datos que se aprovecha del tráfico autenticado para llegar a destinos que ya has aprobado.

Nuestro informe señaló directamente a MCP como una preocupación emergente y la razón por la que nuestra definición de IA agente es importante ahora son los sistemas autónomos que ejecutan tareas de varios pasos a través de API sin intervención humana directa en cada acción. Cuando se desarrollen las capacidades de clase Mythos —como ha indicado claramente Anthropic, esto sucederá en un plazo de entre seis y 18 meses—, los agentes que accedan a la empresa no atacarán el perímetro. Ya estarán dentro, autorizados como tus usuarios.

Para el CIO, este es también el momento de la productividad

Todos los CIO con los que hablo se enfrentan a la misma pregunta por parte del consejo de administración de su empresa: «¿Cómo podemos adoptar la IA de forma segura?».

La respuesta equivocada es «La estamos bloqueando». Bloquear la IA por completo supone perder la guerra por el talento, perder la batalla por la productividad y perder la paciencia del director ejecutivo. Los directivos que están ganando este reto están respondiendo: «Sí, con medidas de seguridad». Están diciendo sí a ChatGPT, sí a Claude Code, sí a Copilot, sí a los agentes y sí a que los empleados realicen el trabajo creativo que desean, dentro de controles integrados que clasifican el comportamiento y los datos en movimiento, y aplican políticas contextuales en la capa de transacciones sin perjudicar la experiencia del usuario final o del agente, sino acelerándola.

Esa respuesta también se alinea con la evolución de la seguridad y las redes. Las arquitecturas que ayudan a los directores de informática son aquellas que les permiten establecer políticas y supervisar la actividad al mismo tiempo, y gestionar la identidad, los datos y el tráfico en su conjunto, de modo que habilitar la IA no suponga multiplicar el número de puntos que deben supervisar. Cuando se combina la convergencia de plataformas y la habilitación de la IA, el retorno de la inversión se refleja tanto en el balance de seguridad como en el empresarial.

Tres preguntas que debe formular a su equipo ahora mismo

1. ¿A cuántos destinos de IA se dirigió el tráfico desde nuestra red la semana pasada y qué datos se enviaron a dichos destinos? Si no puede responder con una sola búsqueda, tiene un problema de visibilidad antes que de riesgo. La mediana de las empresas que observamos está ejecutando 60 aplicaciones de IA. ¿Sabe cuántas tiene la suya?

2. ¿Sus controles de datos se aplican a las peticiones y respuestas, y no solo a las subidas de archivos? La mayoría de los sistemas DLP heredados se diseñaron para archivos adjuntos y eventos de copiar y pegar. Las peticiones son una modalidad diferente y, con una proporción de 4,3:1 entre descargas y subidas en el tráfico de IA, el riesgo se concentra precisamente donde la mayoría de las políticas no llegan.

3. ¿Cuáles de sus aplicaciones SaaS o en la nube tienen habilitadas capacidades de agente o MCP y bajo qué identidad opera el agente? Si hoy no hay una respuesta clara a esta pregunta, en seis meses será un tema que se abordará desde el consejo de dirección.

Mirando al largo plazo

El proyecto Glasswing hará que el software sea más seguro en todo el mundo. Ese es un verdadero avance. Sin embargo, no hay ningún parche que pueda ofrecer una respuesta cuando un CISO plantea la siguiente pregunta, aún más difícil: «¿Qué ocurre cuando un modelo de clase Mythos se ejecuta dentro de nuestra empresa, actúa sobre nuestros datos y toma decisiones en nombre de nuestros empleados?».

La respuesta está en el mundo en tiempo real, en la red, en las comunicaciones dinámicas. La respuesta está en la plataforma. Reside en la capa de transacciones y datos. Y tiene que estar activa y lista antes de que lleguen los modelos, los agentes, los usuarios, los robots o cualquier otro elemento, no después.

Anthropic reconoce la importancia de que los principales líderes del sector se unan para trabajar juntos y abordar estos retos, y esperamos seguir colaborando con ellos y con otros desarrolladores pioneros en IA. Como dice Anthropic, «el Proyecto Glasswing es un punto de partida». Ninguna organización puede resolver por sí sola los desafíos que tenemos por delante. Los desarrolladores de IA de vanguardia, las empresas de software, los investigadores de seguridad, los mantenedores de código abierto y los gobiernos de todo el mundo tienen un papel esencial que desempeñar.

En Netskope nos especializamos en seguridad y redes para el mundo moderno, reinventadas para un mundo en el que el agente más capaz de su red puede ser una IA que usted no ha implementado. Ese es nuestro trabajo. Ese ha sido siempre el trabajo. Y cada día nos arremangamos para ello.