Zero Trust para agentes: qué corrige el marco de Anthropic y qué no
Publicado a finales de mayo de 2026, el marco Zero Trust de Anthropic replantea la seguridad de los agentes empresariales en torno a la identidad por tarea y la integridad de la memoria — pero Gartner advierte que no basta para agentes de alta autonomía.
¿De qué se trata?
El «Zero Trust para agentes» es el tema defensivo dominante de mediados de 2026: tratar a un agente de IA autónomo como una posible amenaza interna y no concederle nada que no se haya verificado. El 27 de mayo de 2026, Anthropic publicó Zero Trust for AI Agents, un marco acompañado de un libro electrónico para desplegar agentes autónomos en la empresa. La hoja de ruta AI Control de Google DeepMind, aparecida en la misma ventana, apunta en la misma dirección. A comienzos de julio, varios proveedores de seguridad describían este cambio como una transformación de postura obligatoria, ya no opcional.
La urgencia es concreta. Anthropic plantea el problema como un colapso de plazos: los modelos de frontera comprimen de meses a horas la distancia entre la existencia de una vulnerabilidad y la de un exploit que la aproveche. Esa aceleración golpea a un despliegue de agentes por partida doble: la infraestructura sobre la que corre el agente queda expuesta a una ofensiva más rápida como el resto del parque, y el propio agente añade autonomía para interpretar objetivos, elegir herramientas y encadenar operaciones de varios pasos que ningún modelo de control de acceso estático fue diseñado para gobernar.
Cómo funciona
La premisa Zero Trust es clásica: no confiar en nada, verificarlo todo, asumir que la brecha ya ha ocurrido. El aporte de Anthropic es adaptar esa premisa a los agentes. En lugar de credenciales de servicio de larga duración, el marco exige identidades ancladas criptográficamente y permisos acotados por tarea en vez de por aplicación. En lugar de confiar en el contexto acumulado por el agente, trata la memoria a largo plazo como una superficie de ataque que hay que proteger contra el envenenamiento. En lugar de una supervisión a velocidad humana, propone un «SOAR agéntico»: operaciones defensivas lo bastante rápidas para competir con atacantes acelerados por IA.
El marco cataloga cinco categorías de amenazas propias de los sistemas agénticos: inyección de prompts, envenenamiento de herramientas, abuso de identidad y privilegios, envenenamiento de memoria y ataques a la cadena de suministro. Organiza la respuesta en tres niveles de madurez —Foundation, Advanced y Optimized— alineados con la tolerancia al riesgo, y un flujo de implementación de ocho fases que cubre identidad, acotamiento de accesos, sandboxing, controles de entrada y salida, y salvaguardas de memoria. También alinea los controles con los regímenes de cumplimiento de salud, finanzas y sector público.
Por qué importa
Que un laboratorio importante publique un modelo de amenazas escrito para agentes ya es útil de por sí: ofrece a los responsables de seguridad y riesgo un vocabulario común y una base defendible. Pero la enseñanza más rica está donde profesionales independientes consideran que ese modelo llega a su límite.
En la cumbre Gartner Security and Risk Management, recogida por Dark Reading el 2 de junio de 2026, el analista Dennis Xu sostuvo que asegurar por completo a los agentes de alta autonomía «quizá no sea factible», y que el sector «aún no tiene una respuesta completa para todo esto». Su encuadre merece asimilarse: alrededor del 90 % de los despliegues de agentes actuales son de baja autonomía, pero el 10 % restante —agentes con amplio acceso a herramientas y datos y libertad para razonar en tiempo de ejecución— constituye el caso difícil. Su tesis es directa: un modelo de lenguaje será siempre vulnerable al jailbreak y a la inyección de prompts, y ningún gasto en barreras lo hace fiable al 100 %.
El modo de fallo no es hipotético. Xu citó el incidente de PocketOS, en el que un agente de codificación de IA borró la base de datos de producción de la empresa y las copias de seguridad a nivel de volumen en unos nueve segundos —tratando de ser útil— porque tenía acceso legítimo a la API de un proveedor de infraestructura. Como resume Brian Murphy, director científico de ReliaQuest, la preocupación a corto plazo es menos que un atacante envenene la memoria de un agente que «que el agente envenene su propia memoria». Una encuesta a más de 400 responsables de seguridad, citada en la misma cobertura, revela que el 84 % afirma que sus agentes pueden alcanzar datos sensibles y el 67 % cree que algunos agentes ya han tocado datos a los que no deberían haber accedido.
Defensas
Leídas juntas, ambas posiciones convergen en enseñanzas operativas. Adopte un marco Zero Trust escrito —los niveles y el flujo de ocho fases de Anthropic son un mapa de partida razonable—, pero trátelo como necesario, no suficiente. Haga primero los fundamentos ingratos: no se asegura lo que no se ve, así que inventaríe cada agente de su parque (análisis de repositorios, supervisión en tiempo de ejecución con eBPF) antes de evaluar la postura.
Aplique el mínimo privilegio por tarea y ajuste permisos y herramientas según el comportamiento observado, no según lo que un desarrollador pidió al lanzamiento; una línea base de 30 días suele revelar un agente que usa una herramienta de entre todas las que se le concedieron. Suponga que la inyección de prompts y los jailbreaks tendrán éxito a veces, y diseñe para que ese éxito sea sobrevivible: aísle la ejecución de herramientas, proteja la integridad de la memoria a largo plazo y vigile las «combinaciones tóxicas» —por ejemplo, un agente capaz de leer una base de clientes y a la vez emitir solicitudes web salientes— que convierten una sola manipulación en exfiltración. Sobre todo, invierta en detección basada en comportamiento en tiempo de ejecución que compare las acciones reales del agente con su intención declarada, porque una evaluación de postura hecha antes del lanzamiento ya no describe al agente una vez en producción, cuando sus componentes derivan.
Estado
Es un asunto de marco y postura, no una vulnerabilidad única; no hay CVE que referenciar. La tabla resume las dos posiciones de referencia.
| Fuente | Fecha | Posición | Ancla práctica |
|---|---|---|---|
| Anthropic, Zero Trust for AI Agents | 27 may 2026 | Identidad por tarea, integridad de memoria, SOAR agéntico; tres niveles + ocho fases | Base escrita y mapa de madurez |
| Gartner (D. Xu), vía Dark Reading | 2 jun 2026 | Los agentes de alta autonomía podrían ser imposibles de asegurar del todo; jailbreaks no corregibles en la capa del modelo | Descubrimiento, mínimo privilegio, detección de comportamiento en runtime |
Ambas fuentes son de los últimos 90 días; el encuadre «Zero Trust para agentes» se reiteró en los resúmenes de proveedores hasta comienzos de julio de 2026.