Hay una diferencia entre un cuchillo y una mano que lo empuña. La entendemos de forma intuitiva. Durante décadas, la ciberseguridad ha operado bajo esa misma lógica: existen herramientas peligrosas, pero siempre hay alguien detrás. Un operador humano que decide, dirige, adapta. Alguien que duerme, se equivoca, tiene un presupuesto limitado y un jefe que le pide resultados. Toda nuestra arquitectura defensiva, nuestros modelos de amenazas, nuestros tiempos de respuesta, nuestros marcos legales, se han construido sobre ese supuesto.
¿Qué ocurre cuando la mano desaparece y el cuchillo se mueve solo?
No es una pregunta retórica. Tampoco es ciencia ficción. Es lo que está empezando a ocurrir, y las implicaciones para quien tiene la responsabilidad de proteger una organización van mucho más allá de actualizar el antivirus o contratar un servicio de detección gestionada.
El agente que no necesita instrucciones
Para entender lo que viene, conviene distinguir entre dos cosas que a menudo se confunden. Una es la inteligencia artificial como herramienta de apoyo: un modelo que genera texto, analiza patrones, sugiere código. Eso lo llevamos viendo años. Es útil, a veces impresionante, pero sigue siendo un instrumento. La otra es la inteligencia artificial agéntica: sistemas que no se limitan a responder preguntas, sino que razonan, planifican, toman decisiones y ejecutan acciones de forma autónoma, en múltiples pasos, interactuando con herramientas y entornos del mundo real.
La diferencia no es de grado. Es de naturaleza.
Un modelo de lenguaje genera un correo de phishing convincente cuando alguien se lo pide. Un agente de inteligencia artificial identifica el objetivo, recopila información, redacta un mensaje personalizado, lo envía, evalúa la respuesta y adapta su siguiente movimiento. Todo sin que nadie le diga qué hacer en cada paso.
El informe de predicciones de Trend Micro para 2026 documenta esta transición con casos concretos. Lo que en 2025 era malware asistido por inteligencia artificial (FunkSec, donde un humano dirige y la máquina ayuda) ha evolucionado hacia malware operacionalmente independiente (LameHug). El caso S1ngularity mostró cómo herramientas de inteligencia artificial de línea de comandos se utilizaron para reconocimiento autónomo en sistemas comprometidos. El grupo Global Group Ransomware ya experimenta con agentes automatizados que negocian directamente con las víctimas el pago del rescate.
No estamos hablando de predicciones especulativas. Estamos hablando de capacidades que ya existen y que están madurando a una velocidad que obliga a replantearse cosas que dábamos por sentadas.
La anatomía de un enjambre
Para apreciar la magnitud del cambio, merece la pena detenerse en cómo funcionan estos sistemas agénticos en la práctica. No son un programa monolítico que ejecuta una secuencia de instrucciones. Son enjambres de agentes especializados, cada uno con una función, coordinados por un orquestador que distribuye tareas, evalúa resultados y reasigna recursos.
Piénsese en una empresa con departamentos. Uno se encarga de investigar al objetivo. Otro de encontrar vulnerabilidades. Otro de diseñar el ataque. Otro de ejecutarlo. Otro de gestionar la extorsión. Lo que antes requería un equipo humano coordinado, con todas las fricciones que eso implica (comunicación, horarios, errores, rotación de personal), ahora puede replicarse con agentes que operan las veinticuatro horas, sin fatiga, sin conflictos internos y con una capacidad de aprendizaje iterativo que ningún equipo humano puede igualar.
Estos agentes no operan en el vacío. Se conectan a herramientas reales a través de protocolos como MCP (Model Context Protocol), acceden a bases de datos, interactúan con sistemas de producción y toman decisiones que tienen consecuencias operativas tangibles. Cuando el informe de Trend Micro habla de flujos “automatizado a automatizado” (A2A, automated-to-automated), se refiere precisamente a esto: cadenas de acción donde un agente alimenta al siguiente sin que ningún ser humano revise, valide ni siquiera se entere de lo que está ocurriendo.
Lo que hace especialmente peligroso este modelo es la propagación de errores. En un flujo A2A, si un agente alucina (genera información falsa con apariencia de certeza), ese error no se detiene: alimenta las decisiones del siguiente agente. Trend Micro ilustra esto con un ejemplo que debería inquietar a cualquier director financiero: un agente de previsión que alucina un aumento de demanda y desencadena una orden de compra masiva real. No es un ataque externo. Es una cascada de errores autónomos que se propagan de máquina a máquina hasta generar consecuencias económicas reales antes de que nadie advierta que algo ha ido mal.
Ahora trasládese esa lógica al ámbito ofensivo. Un enjambre de agentes maliciosos donde cada uno se especializa en una fase del ataque, donde los errores se corrigen automáticamente, donde el sistema aprende de cada intento fallido y donde la velocidad de operación supera con creces la capacidad humana de detección y respuesta. Esa es la amenaza que se está configurando.
El problema de la identidad
Hay un aspecto de esta transformación que rara vez se menciona en los titulares pero que tiene implicaciones estructurales profundas: la gestión de identidades.
Los sistemas de gestión de acceso e identidades (IAM, Identity and Access Management) que utilizan las organizaciones fueron diseñados para un mundo con dos tipos de actores: personas y cuentas de servicio de larga duración. Los agentes de inteligencia artificial no son ni lo uno ni lo otro. Se inician, ejecutan tareas, delegan en otros agentes, acceden a herramientas y datos con permisos amplios, y desaparecen. Sus credenciales suelen ser claves API estáticas con privilegios excesivos, porque nadie ha diseñado un modelo de permisos pensado para entidades que existen durante minutos, actúan con autonomía y luego se disuelven.
Esto crea un punto ciego enorme. Si un agente es comprometido o suplantado, opera bajo credenciales legítimas. Para el sistema de detección, sus acciones son indistinguibles de las de un agente autorizado. Un agente impostor, ya sea secuestrado o inyectado maliciosamente, puede moverse lateralmente por la organización, acceder a datos sensibles, ejecutar acciones con consecuencias operativas, y hacerlo todo bajo la apariencia de normalidad.
La pregunta incómoda es directa: ¿cuántas organizaciones tienen hoy un inventario completo de los agentes de inteligencia artificial que operan en sus sistemas? ¿Cuántas saben exactamente qué permisos tienen, a qué datos acceden y qué acciones pueden ejecutar? ¿Cuántas tienen registros de auditoría verificados de lo que hacen esos agentes en cada momento?
La respuesta, en la inmensa mayoría de los casos, es que no lo saben. Y lo que no se ve no se puede proteger.
Cuando el atacante no tiene psicología
Toda la doctrina de defensa en ciberseguridad se ha construido, en mayor o menor medida, sobre la psicología del atacante. Los modelos de amenazas asumen un adversario racional: alguien que busca maximizar el beneficio minimizando el riesgo, que tiene limitaciones de tiempo y recursos, que comete errores, que puede ser disuadido, engañado o agotado. La inteligencia de amenazas estudia motivaciones, patrones de comportamiento, horarios de actividad, preferencias de herramientas. El perfilado criminal, la atribución geopolítica, la negociación de rescates: todo asume que al otro lado hay una mente humana.
Un agente autónomo no tiene psicología. No se cansa. No comete errores por prisa o descuido. No tiene ego ni motivación personal. No negocia porque necesite el dinero: negocia porque un algoritmo ha determinado que es la táctica óptima para maximizar el pago. No se desanima ante una defensa robusta: simplemente pivota a otro vector de ataque o a otro objetivo, sin frustración ni coste emocional.
Esto invalida una parte significativa de lo que sabemos sobre defensa. Los honeypots, las técnicas de decepción, el análisis de comportamiento basado en patrones humanos, los tiempos de respuesta calibrados para la velocidad de actuación de un operador: todo eso necesita revisión. No porque deje de funcionar por completo, sino porque se diseñó para un adversario fundamentalmente diferente del que empieza a emerger.
Hay quien argumentará que esto es exagerar, que la inteligencia artificial agéntica todavía tiene limitaciones significativas, que los ataques completamente autónomos están lejos de ser la norma. Y tiene razón. Hoy. El problema es que la velocidad de evolución de estas capacidades no sigue un ritmo lineal. Lo que era un concepto académico hace dos años es hoy una herramienta operativa. Lo que hoy es una prueba de concepto será una capacidad desplegada en meses, no en años.
La paradoja del defensor
Aquí es donde la reflexión se complica, porque la inteligencia artificial agéntica no es solo una amenaza. Es también la única respuesta viable a esa misma amenaza.
Ningún equipo humano de seguridad, por grande y competente que sea, puede monitorizar, analizar y responder a velocidad de máquina contra un adversario que opera a velocidad de máquina. La asimetría es insuperable si se mantiene el modelo actual. La única forma de equilibrar la ecuación es desplegar defensas igualmente autónomas: agentes defensivos que detecten, analicen y respondan en tiempo real, sin esperar a que un analista revise una alerta y tome una decisión.
Pero esto genera una paradoja que rara vez se articula con claridad. Los mismos riesgos que hacen peligrosa la inteligencia artificial agéntica ofensiva aplican exactamente igual a la defensiva. Un agente defensivo que alucina puede bloquear tráfico legítimo, aislar sistemas críticos sin motivo o provocar una interrupción de servicio peor que el ataque que intentaba prevenir.
Nos encontramos, entonces, ante un escenario donde ambos lados del conflicto operan con sistemas autónomos que nadie controla por completo. La supervisión humana se convierte en una aspiración que la velocidad de las operaciones hace cada vez más difícil de mantener. El ser humano pasa de ser el operador a ser el diseñador de reglas para sistemas que luego actúan sin él.
Esto no es necesariamente malo. Pero requiere una madurez en el diseño, la gobernanza y la supervisión de estos sistemas que, siendo honestos, la mayoría de las organizaciones no tienen hoy.
Lo que no dice el informe
Trend Micro identifica correctamente la amenaza de la inteligencia artificial agéntica. Pero hay aspectos que el informe no aborda y que condicionan significativamente cómo debería interpretarse.
No cuantifica el coste. Propone marcos de confianza cero adaptativos, monitorización continua de agentes, simulaciones adversariales y plataformas defensivas autónomas, pero no dice cuánto cuesta todo esto. Para una empresa mediana europea, estas recomendaciones pueden resultar tan inalcanzables como inútiles si no van acompañadas de una hoja de ruta de priorización realista.
No evalúa la probabilidad. Describe capacidades emergentes como si fueran inminentes y generalizadas. La transición de ataques asistidos a operados por inteligencia artificial es real, pero su penetración en el ecosistema criminal es todavía desigual. La mayoría de los ataques de ransomware en 2026 siguen teniendo un componente humano significativo. Esto no resta importancia a la tendencia, pero sí matiza la urgencia con la que se presenta.
No aborda la regulación europea con profundidad. El Reglamento Europeo de Inteligencia Artificial, la Directiva NIS2, el Reglamento General de Protección de Datos: el marco regulatorio europeo impone obligaciones específicas sobre el despliegue de sistemas autónomos y la gestión de incidentes que condicionan cómo pueden responder las organizaciones europeas. Esta ausencia delata un sesgo geográfico centrado en el mercado estadounidense.
Y, como siempre que un fabricante de soluciones de seguridad publica un informe de amenazas, conviene explicitar el sesgo comercial. Trend Micro tiene incentivos para enfatizar la gravedad de las amenazas y para posicionar sus productos (CREM, Continuous Risk Exposure Management; Trend Vision One) como la respuesta adecuada. Esto no invalida el análisis; las tendencias que describe están corroboradas por fuentes independientes como el NIST, el Foro Económico Mundial y la Cloud Security Alliance, pero exige lectura crítica.
No todo lo que parece urgente lo es. No todo lo que se presenta como solución lo resuelve.
Prepararse para un adversario que no duerme
Si hay algo que este análisis deja claro es que el modelo mental con el que hemos pensado la ciberseguridad necesita actualizarse. No mañana. Ahora.
Para quien toma decisiones en una organización, la implicación más inmediata no es tecnológica. Es conceptual. Hay que dejar de pensar en los agentes de inteligencia artificial como herramientas y empezar a tratarlos como actores. Cada agente desplegado en la organización, sea propio o de terceros, debe tener una identidad gestionada, permisos mínimos, registros de auditoría y mecanismos de revocación. Si no sabemos cuántos agentes operan en nuestros sistemas ni qué hacen, tenemos un problema que ninguna tecnología defensiva puede resolver.
La segunda implicación es operativa. Los tiempos de respuesta calibrados para velocidad humana son insuficientes contra ataques operados por inteligencia artificial. Esto no significa necesariamente automatizar toda la respuesta (con los riesgos que eso conlleva), pero sí significa preposicionar decisiones, establecer reglas de actuación automática para escenarios conocidos y reservar la intervención humana para las decisiones que realmente la requieran.
La tercera es estratégica. La resiliencia deja de ser una aspiración y se convierte en la métrica fundamental. No cuántos ataques prevenimos, sino cuánto tardamos en recuperarnos. No cuántas alertas generamos, sino cuántas decisiones acertadas tomamos bajo presión. La seguridad efectiva en este nuevo escenario se mide por la capacidad de absorber el impacto, aprender de él y adaptarse, no por la ilusión de que podemos detenerlo todo. En este apartado entra la resiliencia congnitiva, pero ese es tema para otro día ;-).
El dilema que queda
No sabemos exactamente cuánto tardará la inteligencia artificial agéntica ofensiva en convertirse en la norma del ecosistema criminal. Puede que dos años. Puede que cinco. Lo que sí sabemos es que la dirección es inequívoca, que las capacidades maduran más rápido de lo que la mayoría de las organizaciones se adaptan y que el coste de llegar tarde será desproporcionado.
El dilema para quien dirige una organización es el de siempre, pero con una urgencia nueva: invertir en prepararse para un escenario que todavía no es generalizado, asumiendo el coste de oportunidad, o esperar a que se materialice y arriesgarse a que la ventana de preparación ya haya cerrado.
No es una pregunta técnica. Es una pregunta de liderazgo. Y como todas las preguntas de liderazgo, se responde con decisiones, no con informes.
La diferencia, esta vez, es que el adversario que viene no dudará, no negociará de buena fe, no se cansará y no cometerá los errores humanos que tantas veces nos han salvado.
Prepararse para eso no es paranoia. Es responsabilidad.
Fuentes
Trend Micro, The AI-fication of Cyberthreats: Trend Micro Security Predictions for 2026 (2025) INF-0003_Trend_Micro_Security_Predictions_2026
NIST, Artificial Intelligence Risk Management Framework (AI RMF 1.0)
World Economic Forum, Global Cybersecurity Outlook 2026 (2026)
Cloud Security Alliance, Top Threats to Cloud Computing – Deep Dive 2025 (2025)
Descubre más desde El Sentido de la Seguridad
Suscríbete y recibe las últimas entradas en tu correo electrónico.