Los investigadores instan a tratar a los agentes de IA como sistemas no confiables para la seguridad criptográfica

Tu asistente de IA favorito puede ser inteligente, pero los investigadores ahora argumentan que debe tratarse con la misma sospecha con la que tu computadora trata un programa descargado aleatoriamente. Un artículo de mayo de 2026 publicado en arXiv sostiene que los agentes de IA, especialmente aquellos que manejan transacciones financieras, deben diseñarse como componentes fundamentalmente no confiables dentro de sistemas más grandes.

El artículo, titulado “La seguridad de los agentes es un problema de sistemas” (arXiv:2605.18991), llega en un momento en que la industria cripto apuesta fuertemente por agentes de IA autónomos para gestionar todo, desde operaciones DeFi hasta operaciones de monederos. El CEO de Circle, Jeremy Allaire, ha proyectado que miles de millones de agentes de IA realizarán independientemente actividades económicas utilizando stablecoins en los próximos tres a cinco años.

Los sistemas operativos modernos no confían en procesos individuales. Cada aplicación se ejecuta en un entorno aislado con permisos limitados, solo puede acceder a archivos a los que se le han otorgado explícitamente y se termina si intenta traspasar sus límites. Los investigadores quieren aplicar la misma filosofía a los agentes de IA.

El artículo aboga por tres medidas específicas. Primero, hacer cumplir invariantes de seguridad a nivel de sistema, es decir, reglas estrictas que no puedan anularse por la propia IA. Segundo, implementar un entorno aislado con privilegios mínimos, donde los agentes solo tengan acceso a los recursos mínimos necesarios para su tarea específica. Tercero, garantizar una separación efectiva entre instrucciones y datos, lo que aborda uno de los vectores de ataque más peligrosos en los sistemas de IA hoy en día.

Ese último punto es más importante de lo que puede parecer. Los ataques de inyección de indicaciones funcionan precisamente porque los agentes de IA a menudo no pueden distinguir entre instrucciones legítimas y datos maliciosos que contienen comandos ocultos. Cuando un agente procesa un memo de transacción que secretamente contiene instrucciones para redirigir fondos, la falta de separación se convierte en un problema de $500,000.

Ese número no es hipotético. Un incidente en abril de 2026 provocó que exactamente esa cantidad fuera extraída de un monedero cripto debido a fallas en la infraestructura de IA y llamadas maliciosas a herramientas. El ataque explotó la vulnerabilidad que los investigadores advierten: un agente de IA con demasiado acceso, verificación insuficiente de las herramientas que llamaba y ninguna protección a nivel de sistema para detectar la anomalía antes de que los fondos salieran del monedero.

La naturaleza autónoma de estos agentes aumenta el riesgo. Un operador humano que recibe un correo de phishing podría detenerse y reflexionar. Un agente de IA que recibe una inyección de instrucciones cuidadosamente diseñada la ejecuta a velocidad de máquina, potencialmente agotando los activos antes de que cualquier sistema de monitoreo pueda reaccionar.

Algunas empresas ya están avanzando en la dirección que recomienda el documento. Ledger ha delineado una hoja de ruta de seguridad para 2026 que incluye iniciativas de seguridad hardware diseñadas específicamente para entornos de agentes de IA. La lógica es sencilla: si no puedes confiar plenamente en la capa de software, ancla las operaciones críticas en hardware que ofrezca garantías criptográficas independientes del comportamiento de la IA.

La recomendación del artículo de tratar esto como un “problema de sistemas” en lugar de un “problema de modelo” es una distinción significativa. Desplaza la responsabilidad desde los desarrolladores de IA solamente hacia el ecosistema más amplio de proveedores de infraestructura, diseñadores de protocolos y operadores de plataformas.

Observe los protocolos que implementan cálculo verificable para las acciones de agentes de IA, atestación en cadena del comportamiento del agente y controles de acceso de privilegios mínimos obligatorios. Estas características probablemente se convertirán en requisitos básicos para las plataformas de agentes de IA de nivel institucional en los próximos 12 a 18 meses.