La OWASP (Open Worldwide Application Security Project) divulgó en diciembre de 2025 el Top 10 de Aplicaciones Agénticas 2026, documento que identifica las 10 amenazas de mayor impacto para sistemas de inteligencia artificial que funcionan con autonomía para planificar, decidir y actuar en múltiples etapas y sistemas.
Los sistemas agénticos de IA están avanzando rápidamente de proyectos piloto a ambientes de producción en los sectores financiero, salud, defensa, infraestructura crítica y sector público, diferenciándose de automatizaciones específicas por planificar, decidir y actuar a través de múltiples pasos y sistemas, frecuentemente en nombre de usuarios y equipos. El documento identifica 10 categorías principales de vulnerabilidades: secuestro de objetivos del agente (ASI01), uso indebido y explotación de herramientas (ASI02), abuso de identidad y privilegios (ASI03), vulnerabilidades en la cadena de suministro agéntica (ASI04), ejecución inesperada de código (ASI05), envenenamiento de memoria y contexto (ASI06), comunicación interagente insegura (ASI07), fallas en cascada (ASI08), explotación de la confianza humano-agente (ASI09) y agentes deshonestos (ASI10).
El secuestro de objetivos del agente representa la vulnerabilidad más crítica, permitiendo que atacantes manipulen los objetivos, selección de tareas o caminos de decisión de un agente a través de inyección de prompt indirecto, salidas engañosas de herramientas, artefactos maliciosos, mensajes falsificados entre agentes o datos externos envenenados. A diferencia de la inyección de prompt tradicional que afecta una única respuesta de modelo, esta vulnerabilidad captura el impacto agéntico más amplio donde entradas manipuladas redirigen objetivos, planificación y comportamiento multietapa. El uso indebido de herramientas ocurre cuando agentes aplican herramientas legítimas de forma insegura o no intencional debido a inyección de prompt, desalineación o delegación insegura, llevando a la exfiltración de datos, manipulación de salida de herramientas o secuestro de flujo de trabajo, con riesgos amplificados por la memoria del agente, selección dinámica de herramientas y delegación.
La vulnerabilidad de abuso de identidad y privilegios explota la confianza dinámica y delegación en agentes para escalar accesos y eludir controles manipulando cadenas de delegación, herencia de roles, flujos de control y contexto del agente, incluyendo credenciales en caché o historial de conversación a través de sistemas interconectados. Las vulnerabilidades en la cadena de suministro surgen cuando agentes, herramientas y artefactos relacionados proporcionados por terceros son maliciosos, comprometidos o adulterados en tránsito, incluyendo componentes de origen estático y dinámico como modelos y pesos de modelos, herramientas, plugins, conjuntos de datos, otros agentes, interfaces agénticas como MCP (Model Context Protocol) y A2A (Agent2Agent), registros agénticos y canales de actualización. El documento recomienda diversas estrategias de mitigación, incluyendo el tratamiento de todas las entradas de lenguaje natural como no confiables, aplicación de privilegio mínimo para herramientas de agentes, validación de intención del usuario y del agente antes de ejecutar acciones críticas, mantenimiento de logs exhaustivos y monitoreo continuo de actividad de agentes, aislamiento de identidades y contextos de agentes, e implementación de sandboxes de ejecución y controles de salida. La iniciativa fue desarrollada por la comunidad global OWASP con decenas de especialistas en seguridad de la industria, academia y gobierno que contribuyeron con investigación de amenazas, hallazgos de equipos rojos y mitigaciones probadas en campo, con soporte de organizaciones que construyen plataformas agénticas, instituciones públicas y proveedores de productos.
Este post fue resumido a partir de la publicación original con el uso de IA, con revisión humana.
Con información de OWASP