CISA + Five Eyes publican la primera guía conjunta sobre adopción de IA agéntica
El 1 de mayo de 2026, CISA, NSA y las agencias cibernéticas de los Five Eyes publicaron 'Careful Adoption of Agentic AI Services' — una taxonomía de 5 riesgos y un manual de despliegue que los operadores de infraestructuras críticas deben incorporar a sus marcos de ciberseguridad existentes.
¿De qué se trata?
El 1 de mayo de 2026 (el documento en sí lleva fecha del 30 de abril), la Cybersecurity and Infrastructure Security Agency (CISA) estadounidense y la National Security Agency (NSA) copublicaron Careful Adoption of Agentic AI Services junto con las otras cuatro autoridades cibernéticas de los Five Eyes: el ASD ACSC de Australia, el Canadian Centre for Cyber Security, el NCSC de Nueva Zelanda y el NCSC del Reino Unido.
Es el primer documento conjunto de los Five Eyes dedicado específicamente a la IA agéntica — definida en la guía como software construido sobre grandes modelos de lenguaje capaz de planificar, decidir y ejecutar acciones de varios pasos a través de herramientas, datos y otros agentes sin supervisión humana continua. El documento tiene 22 páginas, es de descarga gratuita y se dirige explícitamente a “desarrolladores, proveedores y operadores” de estos sistemas, con un público secundario marcado: las organizaciones de infraestructuras críticas y defensa que ya los están desplegando. La cobertura de prensa fue inmediata: CyberScoop, Industrial Cyber y la entrada de blog complementaria del NCSC del Reino Unido lo difundieron entre el 1 y el 4 de mayo.
Este es el artículo sobre el documento: lo que dice, dónde se sitúa en la pila normativa y qué debe hacer un operador este trimestre.
Cómo funciona
La guía se articula en torno a una taxonomía de cinco categorías de riesgo y una postura de despliegue que las agencias presentan como una serie de negativas: rechazar permisos amplios, rechazar las acciones de alto impacto totalmente autónomas, rechazar los silos “específicos de IA” que sortean el programa de seguridad existente.
La taxonomía:
Categoría de riesgo Qué cubre Modo de fallo concreto
-------------------- --------------------------------------------- -------------------------------------------
Privilegio Acceso demasiado amplio concedido al agente Un único compromiso hereda los derechos
del agente — modificar contratos, aprobar
pagos, moverse lateralmente, con registros
que parecen legítimos
Diseño / Decisiones arquitectónicas inseguras tomadas Comprobaciones de rol amplias, segmentación
configuración en el despliegue débil, una herramienta de tercero mal
configurada que cascada hasta facturación
o IAM
Comportamiento El agente cumple su objetivo de una forma Goal hacking, mala interpretación de
que el diseñador no previó instrucciones ambiguas, acciones no
autorizadas vía prompt injection, engaño
estratégico
Estructural Fallo en cascada a través de un sistema Un agente alucina, los agentes aguas abajo
multi-agente interconectado toman la salida como verdad, una
herramienta de tercero inyecta a lo largo
de la cadena
Rendición de Imposibilidad de reconstruir lo ocurrido Registros fragmentados, decisiones
cuentas distribuidas, razonamiento opaco — el
cumplimiento y la atribución se rompenLa postura de despliegue se apoya en esta taxonomía. Tres piezas importan especialmente para un operador en funcionamiento:
La identidad es por agente, criptográfica y de corta duración. Cada agente (y cada subagente engendrado) debe llevar una identidad verificada anclada criptográficamente, usar credenciales de corta duración y cifrar todo el tráfico entre agentes y entre agente y servicio. Esto elimina el patrón de “cuenta de servicio compartida” que se ha colado en los primeros despliegues de agentes, y alinea la flota de agentes con la misma base de identidad que ya aplica a humanos y cargas de trabajo bajo zero trust.
La aprobación humana se reserva para acciones de alto impacto — y la decide el diseñador. La guía es inusualmente directa aquí: la decisión sobre qué acciones requieren aprobación humana “es trabajo de los diseñadores del sistema, no del agente”. Un agente nunca debería poder declarar que una acción que desea emprender es lo bastante poco impactante como para saltarse el punto de control humano.
La seguridad de la IA agéntica se integra en el programa cibernético existente, no se aparta. El documento es explícito en que “los sistemas de IA son fundamentalmente sistemas TI” y deben gobernarse con los mismos marcos que la organización ya utiliza — secure-by-design, defensa en profundidad, IAM, monitorización continua, respuesta a incidentes. El riesgo de mantener un canal paralelo de “seguridad de IA”, según la lectura de las agencias, es permitir que la capacidad agéntica esquive los controles que el resto de la organización ha pasado una década endureciendo.
La cadencia de despliegue recomendada por el documento es progresiva: empezar con casos de uso de bajo riesgo y no sensibles, ampliar solo cuando el operador haya ganado confianza en el comportamiento del agente, modelar amenazas antes de la integración, fail-safe por defecto (escalado a un humano ante la duda) y reprobar continuamente contra un modelo de amenazas en evolución.
Por qué importa
Tres elementos hacen que este documento merezca lectura aunque no sea responsable de infraestructura crítica.
Es la primera vez que los Five Eyes hablan con una sola voz sobre IA agéntica. Productos conjuntos anteriores de esta coalición han modelado las decisiones de compra en sectores regulados — secure-by-design, respuesta a ransomware, seguridad de la cadena de suministro. Careful Adoption of Agentic AI Services se incorpora ahora a esa estantería y será citado en concursos, auditorías y briefings ejecutivos mucho antes de que aterrice cualquier regulación específica para IA agéntica. Si construye o vende agentes en sectores regulados, el documento ya forma parte de la lista de compras de su cliente.
La taxonomía de riesgos se reutilizará. Las cinco categorías (privilegio, diseño/configuración, comportamiento, estructural, rendición de cuentas) son lo bastante generales para alinearse directamente con el OWASP Top 10 para aplicaciones LLM y MITRE ATLAS, y lo bastante específicas para producir una lista de controles utilizable. Espere verla integrada en modelos de amenazas internos y en escáneres comerciales en los próximos dos trimestres. La categoría “estructural” en particular — fallo en cascada a través de mallas de agentes — es la primera vez que un documento gubernamental nombra ese riesgo de forma diferenciada de la prompt injection sobre un solo agente.
El documento es honesto sobre lo que sigue sin resolver. Dos pasajes destacan. Primero: “hasta que las prácticas de seguridad, los métodos de evaluación y los estándares maduren, las organizaciones deben asumir que los sistemas de IA agéntica pueden comportarse de forma inesperada y planificar los despliegues en consecuencia, priorizando la resiliencia, la reversibilidad y la contención del riesgo sobre las ganancias de eficiencia”. Segundo: las agencias reconocen explícitamente que algunos riesgos específicos de los agentes aún no están cubiertos por los marcos existentes y piden más investigación. Es una señal significativa — leída junto a la información de la misma semana en CyberScoop según la cual algunos proveedores admiten en privado que la prompt injection puede no resolverse nunca por completo, los Five Eyes están diciendo discretamente a los operadores que planifiquen como si la brecha de capacidad subyacente fuera a persistir.
Defensas
El documento es en sí un manual defensivo. La lista de acciones condensada, traducida a lo que un operador puede hacer este trimestre:
-
Inventaríe sus agentes y sus privilegios. Construya (o actualice) un registro de cada agente desplegado, las herramientas y los datos que puede alcanzar, las credenciales que lleva y los subagentes que puede engendrar. La categoría de privilegio existe porque la mayoría de los primeros despliegues concedieron un alcance excesivo por defecto. Reduzca al mínimo privilegio y vuelva a probar.
-
Emita identidades criptográficas por agente con credenciales de corta duración. Sustituya cualquier clave de API de larga duración o token de cuenta de servicio compartida por identidades de carga de trabajo (mTLS, JWT firmados con TTL corto, o su plano de identidad zero-trust existente). Trate cada subagente engendrado como un nuevo principal, no como una continuación del padre.
-
Codifique una matriz de aprobación humana que el agente no pueda reescribir. Decida, en tiempo de diseño, qué acciones requieren un humano en el bucle — movimiento de fondos, cambios de IAM, eliminación de ficheros, comunicaciones salientes, cambios de configuración en sistemas de producción. Aplique la matriz en la capa de orquestación, no en el propio prompt ni en la descripción de herramienta del agente.
-
Mapee las cinco categorías de riesgo sobre sus controles existentes. Recorra privilegio, diseño/configuración, comportamiento, estructural y rendición de cuentas e identifique cuáles de sus controles actuales (IAM, segmentación, observabilidad, gestión del cambio, runbooks de IR) los cubren y dónde están los huecos. Trate los huecos como elementos de su registro de riesgo existente, no como un flujo separado de “riesgo de IA”.
-
Instrumente el razonamiento interno, no solo las entradas y salidas. La categoría de rendición de cuentas no tiene solución sin telemetría sobre llamadas a herramientas, contexto recuperado, pasos intermedios de razonamiento y desvío de objetivo. Sea cual sea su plataforma de agentes, exija registros estructurados en cada una de esas etapas y diríjalos a su SIEM existente. Para la respuesta a incidentes, la pregunta “qué decidió el agente y por qué” necesita una respuesta que no dependa de la explicación a posteriori del propio agente.
-
Modele amenazas antes de la integración, no después. Antes de conectar un agente a una nueva herramienta o fuente de datos, recorra la cadena: a qué contenido no confiable expone esto al agente (la prueba de la lethal trifecta sigue siendo aplicable), cuál es el radio de impacto si el agente es secuestrado, puede hacerse reversible la acción. La guía es explícita en que las decisiones de integración tomadas en el momento del despliegue crean debilidades estructurales que persisten mucho después de la puesta en producción.
-
Adopte de forma incremental, fail-safe por defecto. Empiece con casos de uso de bajo riesgo y no sensibles. Configure el agente para que escale a un revisor humano en caso de duda en lugar de improvisar. Amplíe el alcance solo cuando la telemetría operativa lo justifique. Resista la presión de saltarse la rampa progresiva porque un competidor anunció un despliegue más agresivo — la guía es inequívoca: la resiliencia y la reversibilidad pesan más que la eficiencia en esta etapa de la tecnología.
Estado
| Elemento | Referencia | Fecha | Notas |
|---|---|---|---|
| Publicación del documento | CISA / NSA / ASD ACSC / CCCS / NCSC-NZ / NCSC-UK | 2026-05-01 (documento fechado 2026-04-30) | Primera guía conjunta de los Five Eyes dedicada a la IA agéntica |
| PDF oficial (espejo DoD) | media.defense.gov | 2026-04-30 | 22 páginas |
| PDF oficial (espejo ASD) | cyber.gov.au | 2026-05 | Contenido idéntico |
| Cobertura de prensa | CyberScoop, Industrial Cyber, blog del NCSC UK | 2026-05-01 → 2026-05-04 | Lectura alineada de la taxonomía de cinco riesgos |
| Comunicado de CISA | cisa.gov | 2026-05-01 | Confirma el enfoque del director en funciones de CISA Nick Andersen |
El encuadre adecuado para esta publicación no es “otro documento de guía gubernamental”. Es el momento en que la taxonomía de cinco riesgos de la IA agéntica entró en el lenguaje de las compras de los sectores regulados. Los operadores que quieran anticiparse a la pregunta de auditoría dentro de seis meses ya deberían estar mapeando su flota de agentes contra las cinco categorías — y reduciendo privilegios, endureciendo la identidad e instrumentando la telemetría de razonamiento hasta que el mapa vuelva limpio.
Sources
- → https://www.cisa.gov/news-events/news/cisa-us-and-international-partners-release-guide-secure-adoption-agentic-ai
- → https://www.cisa.gov/resources-tools/resources/careful-adoption-agentic-ai-services
- → https://www.cyber.gov.au/business-government/secure-design/artificial-intelligence/careful-adoption-of-agentic-ai-services
- → https://www.cyber.gov.au/sites/default/files/2026-05/careful_adoption_of_agentic_ai_services.pdf
- → https://media.defense.gov/2026/Apr/30/2003922823/-1/-1/0/CAREFUL%20ADOPTION%20OF%20AGENTIC%20AI%20SERVICES_FINAL.PDF
- → https://cyberscoop.com/cisa-nsa-five-eyes-guidance-secure-deployment-ai-agents/
- → https://industrialcyber.co/ai/cisa-and-partners-release-agentic-ai-security-guidance-to-protect-critical-infrastructure-outline-mitigation-action/
- → https://www.ncsc.gov.uk/blogs/thinking-carefully-before-adopting-agentic-ai