Muchas empresas del área metropolitana de Barcelona están probando agentes de IA conectados a CRM, ERP, correo, bases documentales y herramientas colaborativas. El riesgo no está solo en el modelo de IA, sino en las herramientas que el agente puede usar y en la confianza que la organización deposita en ellas.
El llamado tool poisoning muestra una debilidad importante: si un agente recibe instrucciones manipuladas desde una herramienta, un conector, una descripción de API o un resultado aparentemente legítimo, puede actuar de forma insegura sin que el usuario lo perciba.
Qué es el tool poisoning en agentes de IA
Un agente de IA empresarial no responde únicamente a preguntas. También puede consultar sistemas, ejecutar acciones, resumir documentos, crear tickets, enviar correos o actualizar registros. Para hacerlo, utiliza herramientas integradas.
El tool poisoning consiste en manipular alguna de esas herramientas o su contexto operativo para influir en el comportamiento del agente. Puede afectar a descripciones de funciones, documentación interna, respuestas de APIs, conectores de terceros, instrucciones incrustadas en documentos o metadatos que el agente interpreta como fiables.
El problema es que el agente puede tratar esa información como una instrucción válida. Si no existen controles adecuados, una herramienta contaminada puede inducir acciones no previstas, exposición de datos, decisiones incorrectas o ejecución de procesos fuera de política.
Por qué importa a dirección, tecnología y operaciones
Para un CIO, un fundador o un responsable de operaciones, el riesgo no es teórico. Los agentes de IA se están incorporando a procesos donde ya existen permisos, datos sensibles y flujos de aprobación. Cuando se conectan a sistemas reales, dejan de ser asistentes y pasan a ser actores operativos.
El fallo principal suele estar en el modelo de gobierno. Muchas organizaciones revisan la seguridad de la aplicación principal, pero no analizan con el mismo rigor los conectores, permisos, prompts de sistema, fuentes documentales, herramientas auxiliares y dependencias externas.
En una pyme, este riesgo puede crecer rápido porque la adopción suele empezar con pruebas informales. Un equipo conecta una herramienta, otro automatiza una tarea y, sin una revisión común, el entorno acaba teniendo permisos acumulados y controles poco claros.
Dónde aparece la exposición dentro de la empresa
La exposición puede aparecer en herramientas SaaS integradas, plugins de productividad, automatizaciones internas, bases de conocimiento, chatbots corporativos, conectores con repositorios documentales o integraciones con sistemas de atención al cliente.
También puede surgir cuando los agentes leen contenido no verificado. Un documento compartido, una página interna, un campo de una base de datos o una respuesta de un sistema externo pueden contener instrucciones que el agente interpreta como prioritarias si no se han definido límites.
Otro punto crítico son los permisos. Si un agente tiene acceso amplio para leer, escribir, enviar o modificar información, cualquier manipulación de su cadena de herramientas puede tener impacto operativo. La seguridad debe diseñarse desde el principio con privilegios mínimos y trazabilidad.
Controles básicos antes de escalar agentes de IA
Inventario de herramientas: documentar qué agentes existen, qué herramientas usan, qué datos consultan y qué acciones pueden ejecutar. Sin inventario no hay gobierno posible.
Revisión de permisos: aplicar privilegio mínimo. Un agente que solo necesita leer datos no debe poder modificar registros, enviar mensajes externos o lanzar procesos críticos.
Separación entre contenido e instrucciones: el agente debe distinguir entre información que debe analizar y órdenes que puede obedecer. Esta separación es clave para reducir ataques por instrucciones indirectas.
Validación de herramientas y conectores: revisar quién mantiene cada integración, cómo se actualiza, qué dependencias utiliza y qué controles existen sobre cambios de configuración o descripción.
Registro y supervisión: conservar logs de acciones, llamadas a herramientas, respuestas recibidas y decisiones ejecutadas. La trazabilidad permite detectar comportamientos anómalos y responder con rapidez.
Qué deberían hacer ahora las empresas en Barcelona
Para las empresas del entorno de Barcelona que están incorporando IA generativa en procesos administrativos, comerciales, técnicos o de soporte, el primer paso no debería ser bloquear la innovación. Debería ser ordenar el uso real de agentes y automatizaciones.
Conviene empezar con una revisión práctica: qué herramientas de IA se usan, quién las ha autorizado, qué datos procesan, qué sistemas tocan y qué riesgos introduce cada integración. Este análisis puede formar parte de una auditoría digital orientada a seguridad, gobierno y eficiencia operativa.
La revisión debe priorizar los agentes con capacidad de acción, no solo los que generan texto. Un asistente que resume documentos tiene un perfil de riesgo distinto a un agente que actualiza oportunidades comerciales, responde a clientes o modifica datos internos.
Un plan de acción ejecutivo y realista
Primero, establecer una política mínima de uso de agentes de IA: qué está permitido, qué requiere aprobación y qué queda prohibido hasta nueva revisión. La política debe ser breve, aplicable y conocida por los equipos.
Segundo, clasificar los agentes por criticidad. Los que manejan datos sensibles, ejecutan acciones o conectan con sistemas centrales deben revisarse antes que los casos de uso exploratorios.
Tercero, implantar controles de cambio. Ningún conector, herramienta o prompt operativo debería modificarse sin registro, revisión y responsable asignado.
Cuarto, probar escenarios adversos. No basta con comprobar que el agente funciona. Hay que verificar cómo responde ante instrucciones maliciosas en documentos, resultados inesperados, herramientas alteradas o permisos insuficientemente delimitados.
Quinto, asignar responsabilidad. La seguridad de agentes de IA no puede quedar solo en manos de usuarios avanzados ni exclusivamente en IT. Requiere coordinación entre tecnología, operaciones, legal, dirección y responsables de proceso.
La seguridad del agente depende del sistema completo
El tool poisoning recuerda una lección básica: un agente de IA es tan seguro como el ecosistema que lo rodea. Modelo, herramientas, datos, permisos, procesos y personas forman una misma superficie de riesgo.
Las empresas que quieran aprovechar agentes de IA con criterio deben pasar de la experimentación aislada a un gobierno operativo. La pregunta no es solo qué puede hacer la IA, sino bajo qué límites, con qué controles y con qué responsabilidad empresarial.