viernes, 6 de febrero de 2026

Shadow AI: los agentes que ya están en tu casa

 

Una mañana hace un par de meses, encendí el dashboard nuevo de Defender que muestra agentes locales detectados en endpoints. Esperaba ver dos o tres.

Vi treinta y siete.

OpenClaw en máquinas de marketing. Claude Code en máquinas de desarrollo. GitHub Copilot CLI en varias laptops de ingeniería. Algún agente custom que ni siquiera pude identificar al primer intento — resultó ser un script con un MCP server montado por alguien del equipo de data science.

Esto es shadow AI. Y a febrero 2026, es probablemente el riesgo más subestimado de las organizaciones medianas y grandes.

Defino shadow AI como cualquier agente o herramienta de IA que opera en endpoints o en la nube de la empresa sin estar registrada, gobernada o auditada por el equipo de seguridad. La parte “sin gobierno” es la importante. No es que sea malicioso — la mayoría no lo es. Es que está fuera del radar.

Auditable is no-negociable El contenido generado por IA puede ser incorrecto.

Por qué importa

Primera razón: estos agentes operan con permisos del usuario que los corre. Si el usuario tiene acceso a tu CRM, el agente local también. Y el agente no sigue las mismas reglas que tú aplicas a Copilot empresarial. No tiene Prompt Shields, no tiene DLP de Purview, no tiene logging unificado. Lo que filtre, ya está filtrado.

Segunda: muchos de estos agentes mandan datos a APIs de terceros. Cada query hecha a un agente local que se conecta a la API de Anthropic, OpenAI, o cualquier otro proveedor, manda contexto fuera. Si ese contexto incluye texto sensible — y casi siempre incluye algo — tienes flujo de datos no inventariado.

Tercera: al ser locales, sobreviven a apagones de servicios cloud y a controles de red. Si tu firewall corporativo bloquea el dominio del proveedor, el agente local que ya tenía credenciales y caché puede operar offline parcialmente. Hay menos puntos de control que con servicios SaaS.

 

 

Lo que está dando Microsoft

Microsoft empezó a atacar esto en serio con Defender más Intune. La capacidad de descubrir agentes locales — empezó con OpenClaw y se expandió a GitHub Copilot CLI y Claude Code — es el primer paso. Te dice qué tienes. Después tú decides qué hacer.

Las opciones

Bloquear todo. Política dura: ningún agente local en endpoints corporativos. Ventaja: simple. Desventaja: matas productividad real, y la gente buscará caminos. Le pasó a una empresa amiga: bloquearon Claude Code, los devs lo siguieron usando desde laptops personales conectadas a recursos de la empresa por VPN. Empeoraron el problema.

Permitir todo. Política blanda: la gente usa lo que quiera. Ventaja: nadie protesta. Desventaja: no sabes qué pasa. No me parece responsable.

Permitir con governance. Lo que yo hago. Lista permitida de agentes locales aprobados (Claude Code y GitHub Copilot CLI están en mi lista hoy). Configuración obligatoria que registra el agente con identidad de Entra Agent ID. Logging activado. Restricciones por destinos web y por tipos de datos.

Esto último es lo que hace posible la combinación de Agent 365 más Defender más Intune. Hace doce meses, ni siquiera tenía la capacidad técnica de hacer governance sobre estos agentes. Ahora sí.

 

 

Lo que aprendí en el camino

No subestimes el número. Vas a encontrar más de lo que esperas. Si tu primer escaneo te encuentra dos, mira mejor — probablemente hay diez.

No subestimes el valor que la gente le saca. Hay quien usa Claude Code seriamente para trabajo crítico. Bloquearlo sin alternativa es romper el flujo de alguien que está aportando. Habla con los usuarios antes de cortarles.

Sí subestima la conciencia que tienen sobre los riesgos. Mucha gente buena, talentosa, técnica, no tiene la menor idea de que su prompt se manda a un servidor externo. Lo da por hecho. Las charlas de awareness siguen siendo importantes.

 

The image depicts a complex diagram illustrating various components and processes related to software, including a server, cache bypass, data flow, and security measures, with annotations for potential semantic challenges and behaviors. El contenido generado por IA puede ser incorrecto.

¿Hacia dónde va esto? A mi juicio, hacia un modelo de “AI runtime” empresarial donde los agentes locales son ciudadanos de primera clase pero con governance. Microsoft está apostando a que sea su control plane (Agent 365) el que orquesta. Otros proveedores tienen visiones distintas. La pelea por el control plane de los agentes va a ser una de las grandes en el 2027.

Por ahora, escanea. Inventariа. Decide. No mires hacia otro lado.

Publicado por en
Etiquetas: , ,

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)