Cómo los Agentes de IA Exponen las Fallas Fundamentales en la Arquitectura IAM Tradicional

El Problema Central: Los Humanos No Siempre Están Detrás del Teclado

Los sistemas tradicionales de Gestión de Identidad y Acceso (IAM) se basaban en una única suposición: alguien está realmente allí para autenticar. Una persona se sienta en una pantalla de inicio de sesión, ingresa una contraseña, recibe una notificación MFA, la aprueba. Este flujo de trabajo ha definido la seguridad durante décadas.

Pero los agentes de IA destruyen completamente esta suposición.

Cuando un agente autónomo procesa solicitudes API a alta velocidad durante horas no laborables, no puede detenerse para responder a desafíos MFA. Cuando un agente delegado maneja tareas de calendario y correo en nombre de un usuario, nunca debería heredar el conjunto completo de permisos de ese usuario. El sistema de autenticación no puede requerir interacción humana para procesos que funcionan 24/7 sin supervisión humana. Toda la arquitectura—pantallas de inicio de sesión, solicitudes de contraseña, autenticación multifactor verificada por humanos—se convierte en deuda arquitectónica en el momento en que los agentes toman el control de la ejecución del flujo de trabajo.

El verdadero problema: el IAM tradicional no puede distinguir entre una solicitud legítima de un agente y una operación comprometida que opera con credenciales válidas. Cuando un principal no tiene acceso a una operación API a través de los canales de autorización normales, el sistema lo detecta. Pero cuando las credenciales de ese principal son secuestradas o cuando la intención de un agente se vuelve maliciosa mediante envenenamiento de contexto, los sistemas tradicionales no tienen salvaguardas. Esta brecha entre la validación técnica de identidad y la confianza real define el desafío central de la autenticación agentica.

Dos Modelos de Agentes Fundamentalmente Diferentes, Dos Requisitos de Identidad Diferentes

Agentes Delegados por Humanos: El Problema del Alcance y del Menor Privilegio

Un agente delegado por humanos opera bajo autoridad delegada—tú autorizas a un asistente de IA para gestionar tu calendario. Pero aquí está la parte peligrosa: la mayoría de los sistemas actuales otorgan al agente tu conjunto completo de permisos o requieren que definas manualmente las restricciones. Ninguna de las dos opciones funciona.

El agente no necesita heredar toda tu identidad. Necesita permisos con un alcance preciso. Entiendes intuitivamente que un servicio de pago de facturas no debería transferir fondos a cuentas arbitrarias. Instintivamente evitas que la instrucción financiera sea malinterpretada. Los sistemas de IA carecen de esta capacidad de razonamiento contextual, por eso el acceso de menor privilegio no es opcional—es obligatorio.

Cómo funciona esto técnicamente:

El sistema implementa una validación de doble identidad. El agente opera bajo dos identidades simultáneamente:

• Tu identidad (el humano delegante) con permisos completos
• La identidad restringida del agente con límites de alcance explícitos

Cuando delegas la autorización, se realiza un intercambio de tokens. En lugar de que el agente reciba tus credenciales, recibe un token restringido que contiene:

• agent_id: El identificador único para esta instancia específica del agente
• delegated_by: Tu ID de usuario
• scope: Los límites de permisos (p.ej., “banca:pagar-facturas” pero explícitamente NO “banca:transferir”)
• constraints: Restricciones de política como listas de beneficiarios aprobados, límites de monto de transacción y marcas de tiempo de expiración

Así es como se ve el flujo: