Modelo de madurez agéntica de OWASP: no opere en las celdas rojas
El informe State of Agentic AI de OWASP (junio de 2026) añade un modelo de madurez de adopción: una matriz de dos ejes donde la autonomía de los agentes supera a la gobernanza y deja 'celdas rojas' sin supervisión.
¿Qué es esto?
El 1 de junio de 2026, el OWASP GenAI Security Project publicó la versión 2.01 de su informe State of Agentic AI Security and Governance. La novedad principal no es una amenaza inédita, sino una herramienta de decisión: un modelo de madurez de adopción empresarial que la co-líder Ariel Fogel (Pillar Security) presentó en el OWASP GenAI Security Summit durante Infosecurity Europe, el 4 de junio. El contexto importa: la edición de 2025 catalogaba amenazas plausibles; la de 2026 vincula un CVE, un aviso de fabricante o un incidente de producción a casi cada categoría. El riesgo ya es empírico, y la tesis del informe es clara: la mayoría de las organizaciones despliegan agentes más rápido de lo que pueden gobernarlos.
Cómo funciona
El modelo mapea la gobernanza sobre dos ejes vinculados.
El primer eje es qué se despliega, en seis niveles de autonomía creciente: AT0 shadow AI (adoptado al margen de toda gobernanza), AT1 asistente embebido de fabricante (usted lo consume), AT2 plataforma integrada (plataforma nativa de IA sobre sus datos, sin código arbitrario), AT3 agente citizen-developer (flujos low-code que actúan sobre datos reales), AT4 agente que ejecuta código (genera y ejecuta código con privilegios locales o en la nube) y AT5 agente propio a medida (usted lo construyó; controla identidad, herramientas y límites).
El segundo eje es la madurez de gobernanza, en cuatro niveles: Nivel 0 inconsciente/ad hoc (sin política de IA, registro mínimo), Nivel 1 experimentación sin barreras (pilotos sin límites de autonomía ni criterios de escalado), Nivel 2 políticas definidas con humano en el bucle (casos de uso mapeados al AI Act/RGPD, un responsable nombrado como un CAIO, AI-SBOM establecido) y Nivel 3 supervisión continua integrada (flujos por nivel de riesgo, paneles de deriva en tiempo real, kill switches, gobernanza como código).
Ubique un agente en el eje de despliegue y compruebe si la gobernanza coincide. Fogel presenta el resultado como una matriz de colores: verde cuando la gobernanza coincide con el despliegue, amarillo cuando los equipos de seguridad y gobernanza carecen de visibilidad plena, rojo cuando la autonomía se entrega sin los controles correspondientes. Su frase: «No opere en las celdas rojas.» Una gobernanza de Nivel 1 que ejecuta un agente AT4 que ejecuta código es una celda roja de manual: el agente corre código arbitrario mientras nadie vigila, a velocidad de máquina.
Por qué importa
Los datos del informe explican por qué las celdas rojas están tan pobladas. De 53 proyectos agénticos que OWASP rastrea, 28 son agentes de programación, y los repositorios con más avisos de seguridad son plataformas de flujo y de agentes (n8n con 57, Claude Code con 22, AutoGPT con 15). Siete proyectos publican actualizaciones a diario o más, superando a los pipelines clásicos de análisis de composición de software. La inyección de prompts abarca seis de las diez categorías del Top 10 de OWASP para aplicaciones agénticas, porque el modelo trata el prompt del sistema, la solicitud del usuario y el texto recuperado como un único flujo de tokens indiferenciado — la «lethal trifecta» de Simon Willison y la «Agents Rule of Two» de Meta describen la misma exposición. Sin embargo, según datos de IBM citados, solo el 37 % de las organizaciones tiene una política para detectar el shadow AI — es decir, muchos despliegues AT0 permanecen en gobernanza de Nivel 0 sin que nadie lo sepa.
Defensas
El modelo es prescriptivo sobre la solución. Cuando la gobernanza es insuficiente para el nivel de despliegue, OWASP señala solo dos respuestas: invertir en controles diseñados para sistemas agénticos o reducir los permisos y la autonomía del agente hasta que los controles existentes basten. No hay una tercera opción basada en la esperanza.
Sobre todo, el informe subraya que los controles necesarios no son versiones reforzadas de la seguridad tradicional. Como los agentes actúan a velocidad y escala de máquina, los equipos necesitan: líneas base de comportamiento en tiempo real en lugar de revisión periódica; mecanismos de contención y parada inmediatos (kill switches); respuesta a incidentes conjunta entre los equipos de seguridad funcional y de seguridad informática, ya que la misma decisión de arquitectura suele crear ambas exposiciones; y mejor higiene de identidad — credenciales efímeras y atestación criptográfica para que cada acción sea trazable y acotada. El co-líder John Sotiropoulos resume el objetivo como reducir el «impuesto cognitivo» de una guía cada vez más voluminosa: descubra sus agentes más avanzados, priorice las cargas de mayor riesgo y decida invertir en controles más rápidos o restringir el despliegue. En la práctica: inventaríe cada agente, ubíquelo en ambos ejes y trate cada celda roja como una acción inmediata, no como una nota de backlog.
Estado
| Elemento | Detalle |
|---|---|
| Informe | State of Agentic AI Security and Governance v2.01 |
| Editor | OWASP GenAI Security Project |
| Publicación | 1 de junio de 2026; modelo presentado el 4 de junio (Infosecurity Europe) |
| Eje de despliegue | AT0–AT5 (shadow AI → agente propio a medida) |
| Eje de gobernanza | Nivel 0–3 (ad hoc → supervisión continua) |
| Regla de acción | «No opere en las celdas rojas» |