La IA agéntica hace referencia a los sistemas de inteligencia artificial diseñados para operar con un alto grado de autonomía: percibir su entorno, formular planes de varios pasos, ejecutar secuencias de acciones y adaptarse a la retroalimentación sin necesidad de dirección humana en cada paso. A diferencia de las herramientas de IA tradicionales que responden a una única solicitud, los sistemas agénticos persiguen objetivos a lo largo de horizontes temporales prolongados, a menudo invocando herramientas externas como la búsqueda web, la ejecución de código, el acceso a archivos, las API y las bases de datos para completar objetivos complejos. El término abarca un espectro que va desde simples asistentes que invocan herramientas hasta agentes plenamente autónomos capaces de generar subagentes y orquestar flujos de trabajo enteros.
Desde la perspectiva de la gobernanza empresarial, la IA agéntica introduce un perfil de riesgo cualitativamente nuevo. Cuando un sistema de IA puede navegar por la web, escribir y ejecutar código, enviar correos electrónicos o interactuar con plataformas SaaS, el radio de impacto de una instrucción mal alineada o de una inyección de instrucciones maliciosa se amplía drásticamente. La exfiltración de datos, las transacciones financieras no deseadas, la eliminación accidental de registros críticos y las infracciones regulatorias pueden derivarse de sistemas agénticos que actúan ante instrucciones ambiguas o diseñadas de forma adversaria. La Shadow AI agéntica, es decir, empleados que despliegan agentes autónomos al margen de los canales de TI autorizados, agrava este riesgo porque los equipos de seguridad pueden no tener visibilidad sobre las acciones que estos agentes realizan en nombre de la organización.
Gobernar la IA agéntica exige a las organizaciones ampliar sus marcos de gobernanza de la IA existentes con controles específicos para agentes: modelos de permisos acotados que limiten a qué herramientas y fuentes de datos puede acceder un agente, puntos de control con intervención humana para las acciones de alto riesgo, registros de auditoría que registren cada acción realizada por un agente, supervisión de entradas y salidas para detectar la inyección de instrucciones y la fuga de datos, y políticas claras que definan los casos de uso aprobados para los agentes autónomos. Marcos como el NIST AI RMF y las orientaciones emergentes del EU AI Act abordan cada vez más los sistemas agénticos como un desafío de gobernanza diferenciado. Las empresas que despliegan o permiten herramientas de IA agéntica sin una supervisión adecuada se enfrentan a riesgos acumulados derivados tanto de la propia tecnología como del panorama regulatorio que se está formando en torno a ella.