La alerta conjunta de la NSA, la CISA y el resto de socios de Five Eyes confirma lo que muchos en el oficio veníamos anticipando: los agentes de inteligencia artificial ya operan en infraestructura crítica con permisos que ningún humano puede auditar en tiempo real. La nota técnica, publicada esta semana, no es un manual de buenas prácticas. Es una bandera roja.
Le adelanto que el documento, firmado por las cinco agencias de la alianza anglosajona —NSA estadounidense, GCHQ británica, ASD australiana, CSE canadiense y GCSB neozelandesa— junto con la CISA, traza por primera vez una doctrina compartida sobre cómo desplegar agentes autónomos de IA sin entregarles las llaves del reino. Llega tarde. Pero llega.
Anatomía del problema: agentes que deciden y actúan sin supervisión humana
Conviene precisar de qué hablamos. Un agente de IA no es un chatbot. Es un sistema que recibe un objetivo, planifica pasos, ejecuta acciones sobre infraestructura real —servidores, bases de datos, APIs, sistemas SCADA— y aprende de los resultados. El salto cualitativo respecto a los modelos de lenguaje convencionales es enorme: el agente no responde, opera.
El problema, tal y como lo formulan NSA y CISA, es triple. Primero, los permisos: para que un agente sea útil necesita credenciales con privilegios elevados sobre sistemas sensibles. Segundo, la trazabilidad: las decisiones del agente se toman dentro de un modelo cuya lógica interna no es plenamente auditable. Tercero, la persistencia: estos agentes mantienen sesiones largas, acumulan contexto y reconfiguran su propio comportamiento.
Traducido al oficio: tenemos un ejecutor con acceso de administrador y memoria propia trabajando sin testigos. Cualquier veterano de la contrainteligencia técnica sabe lo que esto significa.
Lo escribí hace años en El quinto elemento: el próximo 11S empezará con un clic. Hoy ya ni siquiera hace falta el clic. Basta con un agente mal configurado al que un atacante consiga manipular mediante prompt injection indirecto, envenenamiento de datos de entrenamiento o secuestro de su cadena de herramientas. El vector de ataque es nuevo. La superficie expuesta, gigantesca.
El historial de los servicios: por qué Five Eyes mueve ficha ahora
No es casualidad que la alerta venga firmada por los cinco. Five Eyes lleva meses detectando actividad anómala atribuida a APTs estatales que ya están probando vectores específicos contra despliegues de IA en redes occidentales.
Sigo de cerca el rastro de Volt Typhoon —el grupo atribuido al MSS chino— desde que Microsoft Threat Intelligence y Mandiant publicaron las primeras atribuciones técnicas en 2023. La línea de trabajo del grupo siempre ha sido la misma: prepoblamiento silencioso de infraestructura crítica estadounidense (energía, agua, transporte) para activar sabotaje en escenario de crisis con Taiwán. Lo que cambia ahora es que los agentes de IA les dan acceso lateral por la puerta principal, sin necesidad de explotar vulnerabilidades clásicas.
En paralelo, los servicios rusos —el SVR a través de APT29 (Cozy Bear) y el GRU mediante Sandworm— llevan al menos un año experimentando con manipulación de modelos de lenguaje en operaciones de influencia. La diferencia entre un APT que roba documentos y un APT que reprograma a tu agente IA para que filtre por sí mismo es brutal. La primera es exfiltración. La segunda es subversión del oficio entero.
Cabe recordar el precedente de SolarWinds en 2020: el SVR comprometió la cadena de suministro de software y mantuvo acceso durante meses sin detección. El daño se midió en años, no en semanas. Si trasladamos esa misma lógica a agentes de IA con privilegios de administrador en infraestructura crítica, el cálculo de daños se vuelve sencillamente imposible de acotar.
Dossier Moncloa: Ojos en la Sombra
El vector de amenaza que articula la alerta de Five Eyes es híbrido y tiene tres capas. La primera es ciberataque clásico contra la cadena de herramientas del agente: comprometer un MCP server, una API conectada o el modelo subyacente. La segunda es prompt injection indirecto: ocultar instrucciones maliciosas en datos que el agente procesa rutinariamente —correos, documentos, páginas web—. La tercera, la más inquietante, es la manipulación de la memoria persistente del agente, lo que en términos clásicos de tradecraft equivale a reclutar un topo que ni siquiera sabe que ha sido reclutado.
Las agencias implicadas en el tablero son claras. Atacan: APT29 y APT28 (servicios rusos), Volt Typhoon, APT31 y APT40 (servicios chinos), Lazarus Group (atribuido a Pyongyang). Defienden: las cinco agencias firmantes, con la NSA y la CISA como punta de lanza técnica, y CCN-CERT en España monitorizando los IOCs derivados. Miran con interés especial: el Mossad y la Unidad 8200 israelí (que ya han integrado IA agéntica en sus propios despliegues), la DGSE francesa y el BND alemán, que llevan año y medio negociando con Washington el acceso a inteligencia técnica sobre estos vectores.
Hemos entregado las llaves de nuestra infraestructura crítica a sistemas que no podemos auditar y que nuestros adversarios ya están aprendiendo a manipular antes que nosotros a defendernos.
El nivel de clasificación estimado del material que circula en el lado clasificado de esta alerta —el que no se ha publicado— lo sitúo en Top Secret con compartimentación SCI específica de Five Eyes. La parte pública es deliberadamente abstracta. Quienes conocen el oficio saben que detrás hay incidentes concretos, atribuciones técnicas firmadas y, casi con seguridad, al menos una compromisión confirmada en infraestructura crítica de algún miembro de la alianza que no se reconocerá públicamente.
Le pongo en contexto la posición española. El CCN-CERT lleva meses ajustando sus guías STIC a la realidad de la IA agéntica y me consta por fuentes en La Moncloa que el CNI ha elevado a la Comisión Delegada para Asuntos de Inteligencia un informe específico sobre exposición de infraestructura crítica nacional —las 8.000 instalaciones críticas y atacables a través de internet de las que llevo años escribiendo— frente a este tipo de despliegues. La frontera sur no es ajena: la DGST marroquí ha incorporado capacidades de IA en sus operaciones de vigilancia digital, y eso obliga a recalibrar contramedidas.
El riesgo de la alerta de Five Eyes está en su propio formato. Es una guía. No es un mandato regulatorio. Las grandes corporaciones que despliegan agentes —y los integradores tecnológicos que los venden a Estados— seguirán moviéndose más rápido que cualquier doctrina pública. La asimetría entre velocidad de despliegue y velocidad de defensa es hoy el mayor problema operativo del oficio.
El próximo hito será la reunión técnica de Five Eyes prevista para finales del segundo trimestre de 2026, donde se espera traducción operativa de la guía en requisitos vinculantes para contratistas con acceso a redes clasificadas. Hasta entonces, cada agente desplegado es un riesgo asumido a ciegas.
Por ahora, sin atribución pública de ningún incidente concreto. Pero el oficio sabe leer entre líneas. Y la línea está clara.
