Microsoft publicó su nuevo informe Cyber Pulse con una advertencia clara para los líderes empresariales: la adopción de agentes de IA está creciendo más rápido que la capacidad de muchas organizaciones para verlos, gobernarlos y asegurarlos. Según el reporte, más del 80% de las empresas Fortune 500 ya utilizan agentes activos de IA creados con herramientas low-code/no-code, integrados en procesos clave como ventas, finanzas, seguridad, atención al cliente e innovación de productos.
El documento, presentado por Vasu Jakkal, vicepresidenta corporativa de Microsoft Security, subraya que estos agentes —al igual que las personas— deben protegerse bajo principios de Zero Trust (Confianza Cero). Esto implica aplicar de forma consistente acceso con el menor privilegio, verificación explícita de identidades y contexto, y asumir que una brecha puede ocurrir, diseñando los sistemas para resistir ataques. Lo novedoso, explica Microsoft, no es el marco de seguridad en sí, sino su aplicación a usuarios no humanos que operan a gran escala y a gran velocidad.

La expansión de los agentes es global y atraviesa industrias como software y tecnología (16%), manufactura (13%), servicios financieros (11%) y retail (9%), donde ya se usan para redactar propuestas, analizar datos financieros, priorizar alertas de seguridad y automatizar procesos repetitivos. A diferencia del software tradicional, estos agentes actúan, deciden, acceden a datos e interactúan entre sí, lo que cambia de forma sustancial el perfil de riesgo dentro de las organizaciones.
El mayor problema identificado por el informe es un punto ciego de gestión: muchas empresas no pueden responder con claridad cuántos agentes tienen en operación, quién es responsable de ellos, a qué datos acceden o cuáles están oficialmente autorizados. Este fenómeno, descrito como una nueva forma de “IA en la sombra”, amplifica riesgos conocidos del shadow IT, ya que los agentes pueden heredar permisos, tocar información sensible y generar resultados a gran escala fuera de la visibilidad de los equipos de TI y seguridad.

El dato más preocupante es que el 29% de los empleados ya ha usado agentes de IA no autorizados para tareas laborales. Esto revela una brecha entre la velocidad de adopción y la implementación de controles de acceso, protección de datos, cumplimiento y responsabilidad. En sectores regulados como finanzas, salud o sector público, esta falta de gobernanza puede traducirse en consecuencias críticas.

