80% de las empresas Fortune 500 utilizan agentes de IA creados con herramientas low-code/no-code

Así lo afirma un estudio de Microsoft. Sin embargo, menos de la mitad cuenta con controles específicos de seguridad para ellos, exponiendo a las organizaciones a riesgos internos y “agentes dobles”.

Microsoft publicó recientemente Cyber Pulse: An AI Security Report, un informe que traza una radiografía de cómo las organizaciones están adoptando agentes de inteligencia artificial y, al mismo tiempo, enfrentan una creciente brecha de visibilidad y control que podría traducirse en vulnerabilidades críticas de seguridad.

El informe, basado en telemetría propia de Microsoft, muestra que más del 80% de las empresas que conforman la lista Fortune 500 han desplegado agentes activos de IA construidos con herramientas de bajo código o sin código en sus operaciones diarias.

Estas herramientas automatizan tareas complejas, desde la redacción de propuestas hasta la gestión de alertas de seguridad, pero su rápida adopción ha superado la capacidad de muchas organizaciones para observar, gobernar y asegurar estos agentes con los mismos estándares que aplican a los empleados humanos.

Una de las preocupaciones centrales del informe es la proliferación de lo que Microsoft denomina “agentes dobles”: programas autónomos de IA con excesivos privilegios o acceso sin supervisión que, si son manipulados o utilizados de forma insegura, pueden convertirse en vectores de ataque dentro de la propia empresa.

El documento alerta que esta falta de gobernanza crea “brechas de visibilidad” que los equipos de seguridad no siempre detectan, lo que puede permitir que estos agentes actúen sin controles adecuados.

Microsoft también pone cifras a otro aspecto crítico: según su Data Security Index 2026, solo el 47% de las organizaciones encuestadas ha implementado controles específicos de seguridad para el uso de inteligencia artificial generativa.

Esto significa que más de la mitad de las empresas carece de mecanismos básicos para proteger los datos, definir privilegios o rastrear el comportamiento de los agentes de IA.

El informe advierte que el 29% de los empleados ya utiliza agentes de IA no sancionados por los equipos de tecnología o seguridad, lo que multiplica los riesgos de fuga de información, malconfiguraciones o explotación por parte de actores maliciosos.

Microsoft describe este fenómeno como “sombra de IA” (shadow AI), una versión moderna del riesgo que suponía el software no autorizado en las redes corporativas antes de la era de la nube.

Para enfrentar estos riesgos, Cyber Pulse aboga por aplicar los principios de seguridad Zero Trust (confianza cero) a los agentes de IA, tratándolos como se trataría a cualquier usuario o servicio crítico: permisos mínimos necesarios, verificación explícita de identidad y asunción de posibles compromisos como base de diseño de la seguridad.

Además, propone enfoques como inventarios centrales de agentes, controles de acceso y monitoreo en tiempo real para asegurar que estas herramientas operen dentro de los límites previstos.

Más allá de la advertencia, Microsoft plantea que la gobernanza adecuada de los agentes de IA no es solo una necesidad de seguridad sino una ventaja competitiva. Organizaciones que construyen marcos sólidos de observabilidad y control no solo reducen riesgos, sino que también aceleran la innovación al permitir que IA y humanos colaboren de forma segura en flujos de trabajo críticos.

Este nuevo informe destaca que la próxima frontera de la seguridad corporativa ya no se limita a proteger redes o datos, sino que también incluye comprender y gestionar la actividad de entidades autónomas dentro del propio tejido operativo. La transición hacia esta visión será clave para definir quién lidera o queda rezagado en la adopción segura de inteligencia artificial.

Le puede interesar: Anthropic lanzó Claude Code Security y sacudió a las acciones de ciberseguridad