Cinco Ojos alerta: el despliegue rápido de agentic AI eleva el riesgo en infraestructuras críticas
Las agencias de ciberseguridad de la alianza Five Eyes (EE. UU., Reino Unido, Canadá, Australia y Nueva Zelanda) han publicado una guía conjunta que desaconseja el despliegue rápido de agentic AI en entornos de misión crítica. El motivo: la autonomía de estos sistemas tiende a amplificar errores de diseño, configuraciones inseguras y déficits de gobernanza, además de abrir una superficie de ataque “interconectada” por su dependencia de múltiples herramientas, componentes y fuentes de datos.
El documento, titulado Careful adoption of agentic AI services, parte de una premisa operativa: estos agentes ya están siendo considerados para sectores como infraestructuras críticas y defensa, por lo que “es crucial” implantar controles específicos frente a riesgos de agentic AI. Entre sus mensajes más contundentes, los autores piden asumir que, hasta que maduren prácticas, métodos de evaluación y estándares, los sistemas agentic AI pueden comportarse de forma inesperada.
Por qué el despliegue rápido de agentic AI preocupa a Five Eyes
A diferencia de un LLM usado como asistente, agentic AI suele orquestar acciones: consulta datos, toma decisiones, ejecuta tareas mediante herramientas (tooling), integra servicios de terceros y opera con permisos en sistemas corporativos. Según Five Eyes, esa composición multiplica puntos de fallo y vectores de abuso: cada componente integrado y cada permiso concedido amplía el “attack surface”, elevando la probabilidad de explotación por actores maliciosos.
La guía ilustra escenarios de riesgo donde la combinación de permisos excesivos y prompts aparentemente legítimos deriva en acciones destructivas o encubrimiento. En un ejemplo, un agente con capacidad de aplicar parches y con permisos de escritura amplios podría ejecutar también instrucciones ajenas a su ámbito (como borrar logs de firewall) si el sistema no implementa controles de autorización, validación y separación de funciones.
Riesgo sistémico: privilegios heredados y confianza implícita
Otro caso descrito muestra un patrón que preocupa especialmente a los defensores: un agente encargado de procurement con acceso a sistemas financieros, correo y repositorios contractuales. Con el tiempo, otros agentes y procesos “confían” implícitamente en sus salidas. Si un atacante compromete una herramienta de bajo riesgo integrada en el workflow, puede heredar privilegios del agente y ejecutar fraude (modificar contratos, aprobar pagos no autorizados) incluso generando evidencias falsas como logs adulterados para evadir detección.
Qué piden las agencias: resiliencia antes que productividad
El posicionamiento central del texto es priorizar “resilience, reversibility and risk containment” por encima de las ganancias de eficiencia. En la práctica, esto significa despliegues incrementales (comenzar por tareas acotadas y de bajo riesgo), supervisión humana, monitorización rigurosa, gobernanza fuerte y rendición de cuentas explícita. Five Eyes remarca que el incremento de autonomía aumenta el impacto de fallos y misconfigurations: un error en permisos o en controles puede traducirse en acciones de alto impacto sobre activos críticos.
Los autores también reclaman a los proveedores que prueben sus productos de forma exhaustiva y que diseñen comportamientos “fail-safe by default”, de modo que el agente se detenga y escale a revisión humana en escenarios de incertidumbre. Ese enfoque busca reducir el “blast radius” cuando la evaluación del agente sea ambigua o cuando la señal de riesgo no sea concluyente.
Un vacío emergente: inteligencia de amenazas específica para agentes
La guía avisa además de un desajuste en el ecosistema de seguridad: parte de los marcos y catálogos de riesgos se centran en LLMs, mientras que la inteligencia de amenazas y la modelización adversarial para agentic AI aún están evolucionando. Five Eyes sugiere que esto puede dejar sin cubrir vectores propios de la autonomía y de la orquestación de herramientas, por lo que anima a practicantes y a investigadores a ampliar el foco más allá del prompt y del modelo.
Quién firma la guía y dónde se encuadra
El texto está cofirmado por organismos de referencia del bloque, incluyendo CISA y NSA (EE. UU.), NCSC-UK (Reino Unido), el Canadian Centre for Cyber Security, NCSC-NZ (Nueva Zelanda) y ASD/ACSC (Australia). La guía compila decenas de riesgos (se citan 23 categorías) y más de un centenar de buenas prácticas, con un énfasis claro en control de permisos, observabilidad, pruebas, gobernanza y gestión de dependencias.
Para contexto y fuentes oficiales: CISA publica de forma regular directrices y avisos vinculados a ciberdefensa e infraestructuras críticas en https://www.cisa.gov/, mientras que el NCSC del Reino Unido centraliza recomendaciones y marcos de seguridad en https://www.ncsc.gov.uk/.
El mensaje final es inequívoco: el despliegue rápido de agentic AI no solo añade complejidad, sino que amplifica fragilidades existentes. Hasta que maduren estándares y prácticas de evaluación, Five Eyes pide planificar implementaciones asumiendo comportamientos inesperados, con controles para limitar daños, revertir acciones y contener riesgos por diseño.
