El problema no empieza cuando un agente de IA toma una mala decisión, sino bastante antes, cuando toca datos que están vivos en memoria y nadie puede fingir que siguen protegidos solo por estar cifrados o guardados en la nube.
Herramientas como Claude Code y Codex ya entran en repositorios, revisan código, detectan fallos, proponen arreglos y aplican cambios. Eso acelera el desarrollo, pero también desplaza el foco de seguridad hacia la exposición de datos en uso, justo la zona más delicada de todo el ciclo de vida de la información.
La fuga más seria ocurre mientras el dato se está usando
Laura Lacarra, del Future Cibersecurity Lab de Innovation Cyber, sitúa ahí el riesgo principal en la adopción de agentes.
El ciclo de vida del dato suele dividirse en tres estados, en reposo, en tránsito y en uso. Las empresas llevan años levantando defensas para los dos primeros, pero el tercero resulta más incómodo porque obliga a proteger información que debe estar accesible para que el sistema trabaje con ella.
Heartbleed permitió en 2014 leer fragmentos de memoria RAM de servidores.
Aquella vulnerabilidad sirve como recordatorio muy concreto de lo que significa dejar expuesto el dato mientras se procesa. No hablamos de una teoría lejana, sino de un precedente conocido en el que la memoria dejó de ser un espacio transitorio para convertirse en una ventana abierta.
Un documento puede esconder órdenes que el agente obedece
Ahí entra otra pieza incómoda del puzle, la prompt injection, una técnica que introduce instrucciones ocultas en texto invisible dentro de documentos adjuntos. El agente las interpreta como órdenes válidas y puede acabar ejecutando acciones que su usuario nunca pretendió autorizar.
Visto así, el archivo deja de ser un simple soporte de información y pasa a comportarse como una trampa. Parte de ese riesgo ya se ha visto en ataques con prompt injection, donde el problema no era solo qué leía el sistema, sino qué obedecía después.
La escena cambia todavía más cuando la IA también cae del lado del atacante. La automatización permite lanzar decenas de agentes en paralelo, afinar ataques sofisticados y generar campañas de phishing personalizadas a escala masiva, una presión que ya aparece en agentes usados en ciberataques.
El hardware vuelve al centro cuando la memoria importa
Para cerrar esa grieta, Confidential Computing ya está disponible en los servicios en la nube de AWS, Azure y Google Cloud. La idea consiste en proteger los datos durante su procesamiento, justo en el punto donde muchas arquitecturas tradicionales pierden visibilidad y control.
Los TEE, o Trusted Execution Environments, añaden aislamiento a nivel de hardware, cifrado de los datos en memoria RAM y atestación criptográfica antes del uso. Dicho de otro modo, no basta con guardar bien la información o moverla por canales seguros, también hace falta crear un recinto verificable mientras la máquina la manipula.
El control fino del agente ya no es solo una cuestión técnica
Los MCPs, o Model Context Protocol, permiten construir conectores propios para definir con precisión qué puede hacer un agente, a qué datos accede y qué queda registrado. Ese detalle importa porque convierte permisos difusos en reglas concretas, algo mucho más fácil de auditar cuando un sistema actúa por cuenta propia.
En paralelo, el AI Act europeo pide a las empresas respuestas concretas sobre el uso de herramientas de IA, el acceso a datos, la responsabilidad ante decisiones incorrectas y la auditoría de las acciones de los agentes. La discusión ya no gira solo en torno a si una herramienta ahorra tiempo, sino a quién responde cuando automatiza un error.
Desde el equipo de AI Governance de CDO de Telefónica explican que la política corporativa está evolucionando hacia un modelo de AI Governance por diseño para escalar de forma efectiva, automatizada y continua al mismo ritmo que la adopción de la IA. La formulación importa porque desplaza la gobernanza del terreno documental al operativo, allí donde los agentes leen, ejecutan y dejan rastro.
Telefónica lo resume con otra ambición empresarial muy concreta, reforzar su papel como vía de acceso de la tecnología de las personas mediante la IA agéntica. Entre esa promesa y el riesgo más material hay una tensión difícil de ignorar, porque cuanto más útil resulta un agente para tocar código, documentos y sistemas, más valiosos son también los datos que maneja en uso.