OWASP ASI03: cuando un agente hereda más identidad de la que debería
El abuso de identidad y privilegios es el riesgo n.º 3 del Top 10 de OWASP para aplicaciones agénticas. Un agente rara vez obtiene su propia identidad: hereda la tuya, acumula permisos y conserva tokens que sobreviven a la tarea.
¿Qué es esto?
ASI03 — Abuso de identidad y privilegios es la tercera entrada del Top 10 de OWASP para aplicaciones agénticas, el referente de seguridad agéntica publicado por la Agentic Security Initiative del proyecto OWASP GenAI Security (la lista se presentó en diciembre de 2025). La categoría recibió un análisis dedicado el 25 de junio de 2026 por parte de Adversa AI, lo que motiva este recorrido defensivo.
ASI03 designa la clase de riesgo que surge cuando un agente de IA acumula, hereda o explota credenciales y permisos más allá de su alcance operativo previsto. Complementa nuestra cobertura de ASI02 — Uso indebido y explotación de herramientas y de ASI06 — Envenenamiento de memoria y contexto, y completa la forma en que el marco descompone el riesgo agéntico. Si OWASP sitúa el abuso de identidad en el puesto n.º 3 es por una razón estructural: define el radio de impacto de todas las demás entradas. Un secuestro de objetivo o un uso indebido de herramientas solo es tan dañino como las credenciales que el agente porte en el momento en que se dispara.
Cómo funciona
El problema de fondo, expuesto con claridad tanto en el material de OWASP como en los análisis de Adversa y de la CSA, es que los agentes rara vez obtienen su propia identidad: heredan la tuya. Tres propiedades lo vuelven peligroso.
1. HEREDADO el agente se ejecuta bajo las credenciales de un humano
o un servicio, no bajo una identidad propia y acotada
2. ACUMULADO los permisos se apilan a lo largo de llamadas a
herramientas y sesiones, en vez de concederse por tarea
y liberarse después
3. PERSISTENTE tokens y sesiones delegadas sobreviven a la tarea que
los requirió, y quedan disponibles para ser reutilizados
o robados
La identidad de un agente se convierte en un punto de agregación: abarca no solo las credenciales aprovisionadas del agente, sino cualquier token, clave de API o sesión delegada que recoja mediante invocaciones de herramientas, respuestas de API o contexto inyectado. Nada de esto exige un exploit de software clásico. El mecanismo es la operación ordinaria del agente: pide lo que necesita, se le concede más de lo necesario y nunca lo devuelve.
Esa agregación es lo que hace atractiva la categoría para un atacante, y explica por qué ASI03 se sitúa aguas abajo de otros riesgos. Una inyección de prompts (LLM01) o una divulgación de información sensible (LLM02) se vuelve mucho más grave cuando el agente afectado porta credenciales amplias y de larga duración. Como lo plantea OWASP, comprometer un único agente sobreprivilegiado cuesta menos que hacer phishing a cien humanos, porque el agente ya ha hecho por ti el trabajo de recopilar credenciales.
Aquí no se reproduce ningún payload; la forma es la lección. Una identidad demasiado amplia, más un canal de entrada no confiable, más un token persistente: he ahí un incidente de abuso de privilegios que solo espera un disparador.
Por qué importa
La magnitud del sobreaprovisionamiento de identidades no humanas (NHI) es la parte que los defensores subestiman. Las cifras del sector citadas en la guía de Adversa son contundentes: aproximadamente el 73 % de los secretos en manos de identidades no humanas portan permisos excesivos, y cerca de 1 de cada 20 identidades de máquina de AWS dispone de privilegios de administración completos. Cuando un agente hereda o adquiere una de esas credenciales, el radio de impacto potencial de una compromisión se extiende mucho más allá de lo que justificaba el propósito original del agente.
Esto importa ahora porque el número de identidades no humanas en una empresa típica ya supera con creces al de los humanos, y los despliegues agénticos suman más cada semana, cada una un punto de agregación potencial. La gobernanza de identidades tradicional se diseñó en torno a ciclos de vida humanos: alta, cambio de rol, baja, revisiones de acceso periódicas medidas en meses. Los agentes operan a escala de segundos y generan subagentes y sesiones de herramientas que ninguna revisión de acceso trimestral verá jamás.
ASI03 es además, en gran medida, invisible para los controles perimetrales. Cada credencial que usa el agente es, por definición, una que le fue emitida. No hay paquete malformado ni binario no autorizado; hay una identidad autorizada haciendo cosas autorizadas con más autoridad de la que la situación exigía. El fallo es de alcance y ciclo de vida, no de autenticación, precisamente el tipo de fallo que las herramientas basadas en firmas o patrones no detectan.
Defensas
OWASP, Adversa y el Agent Identity Governance Framework de la Cloud Security Alliance convergen en un conjunto de controles coherente. Nada exótico; la disciplina consiste en aplicarlo a las identidades de máquina, a la velocidad de los agentes.
- Da a cada agente su propia identidad. No dejes que los agentes se ejecuten bajo una cuenta humana o un principal de servicio compartido. Una identidad distinta y atribuible por agente es la condición previa para poder acotar, auditar y revocar cualquier cosa.
- Acota por tarea, no por agente. Concede los permisos más estrechos que exija la tarea inmediata, derivados de un rol definido, y evita las concesiones amplias permanentes. Trata «¿qué podría hacer esta identidad en su peor día?» como una entrada de diseño, no como una pregunta de respuesta a incidentes.
- Haz las credenciales efímeras y vinculadas. Prefiere tokens de vida corta, emitidos justo a tiempo, limitados a una sola tarea o sesión, idealmente vinculados a la carga de trabajo, de modo que un token filtrado caduque antes de ser útil y no pueda reutilizarse en otro lugar.
- Detén la acumulación de privilegios entre sesiones. Libera los tokens y sesiones delegadas adquiridos al terminar la tarea; no dejes que la autoridad efectiva del agente crezca a lo largo de su vida.
- Gobierna la delegación de forma explícita. Cuando un agente llama a otro agente o a una herramienta que se reautentica, propaga la identidad y la autorización de forma intencionada: el problema de propagación de autorización es un modo de fallo en sí mismo, y la herencia silenciosa de privilegios entre agentes es donde los sistemas multiagente más filtran.
- Inventaría y supervisa las identidades no humanas de forma continua. No puedes acotar lo que no ves. Mantén un inventario vivo de las identidades de los agentes y sus concesiones, y alerta sobre permisos excesivos, credenciales latentes pero privilegiadas y usos anómalos. Aplica a las NHI el mismo rigor que los programas maduros aplican a las altas y bajas de humanos, a cadencia de máquina.
El principio unificador: la identidad de un agente es una frontera de autorización, no una comodidad. Diseña la autoridad que porta cada identidad y la vida útil de cada token que sostiene, y parte de la base de que toda credencial abandonada acabará siendo heredada por algo que no tenías previsto.
Estado
| Elemento | Referencia | Fecha | Notas |
|---|---|---|---|
| Top 10 de OWASP para aplicaciones agénticas | OWASP GenAI | 2025–2026 | ASI03 = Abuso de identidad y privilegios, punto n.º 3 de 10 |
| Guía de análisis de ASI03 | Adversa AI | 2026-06-25 | Definiciones, estadísticas de NHI, controles defensivos |
| Modelado de la amenaza | disesdi | 2026 | Visión desde el lado del atacante de ASI03 |
| Agent Identity Governance Framework | Cloud Security Alliance | 2026 | Modelo de gobernanza de identidades de agentes / NHI |
ASI03 es una categoría de marco, no un CVE aislado: seguirá «parchándose» solo al ritmo en que los desarrolladores den a los agentes su propia identidad acotada y de corta duración, y traten las credenciales no humanas con la misma disciplina de ciclo de vida que las humanas. La conclusión para cualquiera que ponga un agente en producción: enumera cada credencial que pueda portar, determina cuánto te costaría su peor uso legítimo y acota la identidad antes de que el agente siquiera empiece a razonar.
Sources
- → https://genai.owasp.org/resource/owasp-top-10-for-agentic-applications-for-2026/
- → https://adversa.ai/blog/owasp-asi03-identity-privilege-abuse-in-ai-agents/
- → https://disesdi.substack.com/p/attacking-and-threat-modeling-the-ff9
- → https://labs.cloudsecurityalliance.org/agentic/agentic-identity-governance-framework-v1/
- → https://genai.owasp.org/2025/12/09/owasp-top-10-for-agentic-applications-the-benchmark-for-agentic-security-in-the-age-of-autonomous-ai/