Checklist de Seguridad para AI Agents: Qué Revisar Antes de Delegar Trabajo

Checklist práctico para revisar herramientas, prompts, límites de datos, permisos, logs y aprobaciones antes de que un AI agent actúe.

Por Outlook IT Research · Investigación en sistemas de IA y workflows de developers

Actualizado el

Panel de revisión de seguridad con herramientas, prompts, fuentes de datos, permisos, logs y aprobaciones antes de delegar una tarea a un AI agent

Los AI agents están pasando del chat al trabajo real. Pueden leer archivos, navegar páginas, llamar herramientas, abrir pull requests, actualizar registros y tomar decisiones en varios pasos. La pregunta de seguridad cambia: no es solo “¿el modelo respondió mal?”, sino “¿qué podría hacer el sistema si entendiera mal la tarea o confiara en el input equivocado?”

Un checklist de seguridad para AI agents es una revisión práctica antes de delegar trabajo real. Revisa prompts, herramientas, fuentes de datos, permisos, memoria, logs y puntos de aprobación humana.

Qué cambió

La primera ola de riesgo en productos de IA se centraba en texto generado. El modelo podía alucinar, filtrar contexto o seguir instrucciones maliciosas. Los agents amplían la superficie porque combinan razonamiento del modelo con sistemas externos.

Un workflow moderno puede incluir archivos locales, repositorios, tickets, bases de datos, herramientas vía API o MCP, acciones en navegador, memoria, credenciales y planificación de varios pasos.

Por eso no basta con escribir mejores prompts. Un agent confiable necesita límites sobre qué datos son confiables, qué herramientas puede llamar, qué acciones requieren confirmación y cómo auditar lo que ocurrió.

Tres capas de riesgo

Diagram showing instructions, tools, and data as the three risk layers for AI agent security

CapaQué puede salir malPregunta de revisión
InstructionsUna página, email, ticket o documento intenta sobrescribir reglas¿El agent distingue instrucciones del usuario de contenido no confiable?
ToolsUna herramienta tiene demasiados permisos o metadata envenenada¿El agent solo ve las herramientas necesarias?
DataDatos no confiables se tratan como metadata, origen de archivo o contexto de ejecución¿El sistema separa datos confiables de datos controlados por terceros?

El problema nuevo es que el agent no solo lee texto malicioso. Puede usarlo para elegir herramientas, hacer clic, escribir código o modificar registros.

Prompt injection, tool poisoning y data injection

RiesgoSignificadoEjemplo
Prompt injectionContenido no confiable intenta cambiar instruccionesUna web pide revelar instrucciones ocultas
Tool poisoningMetadata o descripción de herramienta afecta la elección del modeloUna herramienta falsa afirma que debe procesar todos los datos financieros
Agent data injectionDatos maliciosos parecen contexto confiableUn repositorio o tool response manipula rutas, origen o ejecución

El contenido peligroso puede parecer un link, etiqueta, nombre de herramienta, origen de archivo, patch o respuesta estructurada.

Checklist antes de delegar trabajo

Seven-step AI agent delegation checklist for task scope, data boundaries, tools, permissions, credentials, logs, and adversarial tests

RevisiónBuen valor por defectoSeñal de riesgo
AlcanceUna tarea clara y una condición de éxito”Maneja lo que aparezca”
Límite de datosEntradas confiables separadas de contenido externoWeb, emails, tickets y tool outputs mezclados
InventarioCada herramienta tiene dueño, propósito y permisosToolbox grande y confusa
PermisosSolo lectura por defecto; escritura requiere aprobaciónPuede editar, borrar, desplegar, pagar o enviar emails
CredencialesTokens con scope y rotaciónTokens amplios o reutilizados
AprobaciónAcciones externas o destructivas pausan para reviewAcciones irreversibles en una sola ejecución
LogsPrompts, llamadas, outputs, aprobaciones y acciones guardadasSolo se ve la respuesta final
TestsCasos normales, confusos y adversarialesSolo demo feliz

Regla simple: si una acción es difícil de revertir, el agent no debe ejecutarla sin aprobación humana.

Revisión específica de MCP

Antes de usar un MCP server, pregunta:

  • ¿Quién mantiene el servidor y se puede confiar en su implementación?
  • ¿Qué datos y acciones expone?
  • ¿Los nombres y descripciones de tools son claros?
  • ¿Los scopes se pueden reducir por tarea o usuario?
  • ¿La autorización usa consentimiento por cliente y redirect URI exacta?
  • ¿Los tokens se emiten para el MCP server o se pasan ciegamente?
  • ¿El cliente bloquea requests a endpoints internos o metadata?
  • ¿Las llamadas quedan registradas con suficiente detalle?

La configuración más segura no es la que tiene más herramientas, sino la que muestra solo lo necesario.

Checklist para coding agents

Antes de permitirRevisar
Edición de archivosLimitar directorio y revisar patches
ComandosSeparar read-only de install, delete, deploy o mutación
DependenciasRevisar paquetes, registries, lockfile y postinstall
SecretsMantener tokens fuera de prompts, logs, archivos e historial shell
Pull requestsExigir tests, diff review y provenance clara
Input externoTratar issues, README, comentarios y snippets como no confiables

Un coding agent puede aumentar productividad, pero el camino de revisión debe seguir visible.

Qué puede hacer un equipo pequeño esta semana

  1. Elige un workflow repetible, como resumir tickets o redactar un PR.
  2. Ejecútalo primero con acceso read-only.
  3. Lista todas las herramientas que el agent puede llamar.
  4. Quita herramientas innecesarias.
  5. Añade aprobación para escritura, mensajes externos, compras, deploys y borrados.
  6. Guarda prompts, tool calls, outputs y acciones finales.
  7. Prueba un caso adversarial, como un ticket que pida ignorar reglas.

Si el agent no puede explicar qué datos confió, qué herramientas usó y qué hizo, el workflow no está listo para autonomía.

Registro de actualización

Jul 09 2026: Publicada la versión en español con checklist de seguridad, revisión MCP, riesgos de coding agents, FAQ y referencias.

Lecturas relacionadas