Actualizado: 2026-07-07

La conversación sobre agentes en empresa dejó de ser aspiracional hace unos doce meses. En abril de 2025 la mayoría de los grandes despliegues eran pilotos con supervisor humano; en abril de 2026 ya hay agentes ejecutando pasos completos de procesos de back-office sin aprobación humana en cada acción. Ese salto ha desplazado la gobernanza del comité trimestral al control operativo diario, y ha dejado un conjunto de prácticas que ya no son opcionales si quieres pasar la próxima auditoría o explicar un incidente a dirección sin improvisar.

Puntos clave

  • La gobernanza ha bajado al plano de ingeniería: ya no basta una política que diga qué no se puede hacer, hace falta una cadena técnica que lo haga difícil.

  • Una auditoría seria en 2026 entra con cinco preguntas: inventario de agentes, trazabilidad, pruebas de guardrails, procedimiento de fallo y responsabilidad jurídica.

  • Los tres controles que absorben la mayoría de los incidentes: revisión humana por umbral, disyuntor automático, y modo sombra persistente.

  • La Ley de IA europea aplazó en 2026 los sistemas de alto riesgo a diciembre de 2027, pero ya exige nombres concretos en el papel para cuando llegue esa fecha.

  • El mínimo viable: inventario vivo, presupuesto por agente, y separación de intención y ejecución en acciones irreversibles.

De comité a control operativo

Hasta hace poco, la gobernanza de IA en la empresa media era una capa de políticas redactadas por el comité y un registro de modelos en Confluence. Funcionaba mientras los sistemas de IA eran clasificadores con humano al final del proceso. Con agentes que reservan billetes, ajustan pedidos, responden tickets o modifican configuración de infraestructura, esa capa documental dejó de ser suficiente.

El cambio de fondo es que los agentes toman decisiones con efectos laterales reales: pagos, cambios de estado en sistemas, correos enviados, infraestructura desplegada. Cada uno de esos efectos es un registro que alguien querrá auditar.

La consecuencia práctica es que la gobernanza ha bajado al plano de ingeniería. Ya no basta con una política que diga qué no se puede hacer. Hace falta una cadena técnica que haga imposible, o al menos difícil, hacer lo que la política prohíbe. Los agentes son, en términos prácticos, identidades no humanas con credenciales, alcance y trazabilidad, y el mismo rigor que aplicamos a cuentas de servicio debe aplicárseles.

Qué pide hoy una auditoría razonable

Una auditoría interna seria en 2026 entra con cinco preguntas:

  • ¿Qué agentes están en producción, con qué permisos y quién los ha aprobado? Responder esto exige un inventario de agentes tan estricto como el de cuentas de servicio, con registro de alcance, modelo subyacente, herramientas invocables y ventana de validez.

  • ¿Qué ha hecho cada agente en los últimos noventa días? La trazabilidad granular no se limita al log de llamadas al modelo: incluye la cadena completa de razonamiento, las herramientas invocadas, los parámetros, el resultado y el efecto lateral producido. Se ha convertido en el entregable más costoso de montar y en el que más piden los auditores.

  • ¿Qué barandillas están activas y cómo se demuestra que funcionan? Las auditorías piden evidencia de que los controles no son decorativos. Eso implica pruebas periódicas de inyección de instrucciones, revisión de casos donde el agente intentó salirse de su alcance y cómo fue bloqueado, y revisión de falsos negativos detectados manualmente.

  • ¿Qué ocurre cuando el agente falla? Aquí es donde muchos proyectos no tienen respuesta. Un agente que entra en bucle, que gasta presupuesto, que entrega una salida tóxica o que ejecuta una acción irreversible necesita un circuito de contención claro: disyuntor, cola de revisión humana, alerta a equipo responsable, procedimiento de reversión.

  • ¿Quién responde jurídicamente? El calendario se movió a mitad de año: el paquete de simplificación de la Comisión Europea (el «Digital Omnibus»), con acuerdo político en mayo de 2026 y luz verde final del Consejo el 29 de junio, aplazó las obligaciones de los sistemas de alto riesgo del 2 de agosto de 2026 al 2 de diciembre de 2027 (2 de agosto de 2028 para los que van integrados en productos regulados), según confirma la Comisión Europea[1]. El plazo se retrasó, pero el reparto de responsabilidad no cambia: proveedor del modelo, desplegador dentro de la empresa, responsable de cumplimiento y usuario final tienen obligaciones distintas y separables, y conviene dejarlas asignadas en el inventario de agentes antes de que llegue la fecha.

Lo que rompió en 2025 y dejó lección

El año pasado dejó un catálogo de incidentes que explican por qué la gobernanza pasó a plano operativo. La foto sectorial cuadra con la anécdota: en una encuesta de la Cloud Security Alliance a más de 1.500 responsables de seguridad, el 92% de las grandes empresas admite no tener visibilidad completa sobre la identidad de sus agentes y el 95% duda de poder detectar o contener uno comprometido; el 64% de las compañías con más de 1.000 millones de dólares de facturación atribuyó a fallos de sistemas de IA pérdidas superiores al millón de dólares durante 2025 (nota de investigación de la Cloud Security Alliance[2]).

  • Agentes con acceso a correo corporativo que ejecutaron instrucciones inyectadas en firmas de mensajes entrantes.

  • Agentes de soporte que, confundidos por un usuario insistente, escalaron permisos de cuenta sin autorización real.

  • Agentes de infraestructura que, ante una ambigüedad, eligieron el camino destructivo que resolvía su tarea sin preservar estado.

De esos incidentes salieron patrones defensivos que hoy son estándar:

  • Aislamiento estricto entre contenido no confiable y herramientas sensibles: cualquier agente que procesa correo de terceros no debería poder mover dinero ni conceder permisos en el mismo contexto.

  • Restricción temporal de alcance: el agente tiene permisos amplios durante la ventana de su tarea y vuelve a mínimos al terminar.

  • Separación de intención y ejecución: una cadena propone y otra verifica antes de actuar, obligatoria para acciones irreversibles.

Los postmortems de incidentes con IA documentan estos mismos patrones con casos concretos.

Inventario de agentes y mínimo viable de cumplimiento

El mínimo que una empresa responsable tiene hoy empieza por un registro central. Cada agente productivo necesita:

  • Identificador único y descripción de función.

  • Modelo base con versión.

  • Herramientas expuestas y sistemas afectados.

  • Propietario de negocio y responsable técnico.

  • Fecha de última revisión de seguridad.

Las políticas razonables añaden una barandilla económica: cada agente tiene un presupuesto de llamadas y un presupuesto monetario por unidad de tiempo. Un agente en bucle en 2026 cuesta dinero real por tokens y por acciones sobre sistemas de terceros, y sin límite técnico el riesgo es ilimitado.

agent_id: finance-reconciliation-001
owner_business: finanzas.cuentasporpagar@empresa.es
owner_technical: plataforma-ia@empresa.es
model: claude-opus-4-7
scope:
  tools: [ledger.read, sap.invoice.read, email.draft]
  budget_calls_per_day: 2000
  budget_eur_per_day: 40
  systems: [sap-prod, exchange-corp]
controls:
  human_review: acciones > 1000 eur
  circuit_breaker: errores > 5% en 10 min
  audit_log: warehouse.agent_events
last_security_review: 2026-03-12

Barandillas que están absorbiendo la mayoría de los incidentes

Tras un año de producción, tres controles acumulan la mayoría de los saves:

  • Revisión humana obligatoria por umbral: cualquier acción por encima de un umbral económico, de alcance o de reversibilidad pasa por aprobación humana explícita, sin importar cuánta confianza declare el agente.

  • Disyuntor automático sobre tasa de error o comportamiento anómalo: si el agente falla demasiado o se comporta fuera de su patrón histórico, se suspende solo y alerta.

  • Modo oscuro persistente: la mayor parte de cambios nuevos en agentes pasan semanas en sombra, ejecutando en paralelo al humano sin efectos, antes de recibir autonomía real.

Gartner avisa de que aplicar la misma gobernanza a todo agente, sin distinguir su nivel real de autonomía, es la receta para el fracaso: prevé que para 2027 un 40% de las empresas rebajará de categoría o retirará agentes autónomos por huecos de gobernanza que solo salen a la luz tras un incidente en producción (Gartner, mayo de 2026[3]).

La evaluación continua se ha profesionalizado también. Las pruebas de regresión sobre casos ya conocidos, las pruebas adversariales contra inyección de instrucciones y los simulacros de fallo forman parte del ciclo de despliegue estándar. El detalle completo del framework de evaluación está en evaluaciones de agentes en producción.

Mi lectura

La gobernanza de agentes en 2026 no es un problema nuevo; es el problema clásico de identidades privilegiadas con un grado extra de impredecibilidad. Las empresas que han tenido menos incidentes son las que han tratado a sus agentes como cuentas de servicio con superpoderes, no como usuarios humanos ni como aplicaciones tradicionales.

Si solo tuviera que elegir tres cosas para empezar, serían:

  • Inventario vivo.

  • Revisión humana por umbral.

  • Disyuntor por anomalía.

El resto se construye encima de esos tres pilares sin grandes sobresaltos. Y, sobre todo, conviene resistir la tentación de tratar la gobernanza como fricción a reducir: es la única capa que distingue un agente útil de un incidente pendiente de ocurrir.

Este artículo también está disponible en inglés.

Fuentes

  1. según confirma la Comisión Europea
  2. nota de investigación de la Cloud Security Alliance
  3. Gartner, mayo de 2026