Check Point. La memoria, las habilidades y la autonomía redefinen el riesgo en seguridad con IA

5 de marzo de 2026.

La industria de la IA está entrando en una nueva etapa, definida por agentes autónomos que actúan, recuerdan, se amplían a sí mismos y ejecutan código. A medida que surgen plataformas como OpenClaw, queda en evidencia lo rápido que pueden escalar los ecosistemas de agentes cuando se incorporan habilidades (skills), extensiones y memoria persistente.

Pero a mayor autonomía, mayores riesgos de seguridad.

Investigaciones recientes del equipo Lakera de Check Point revelan un patrón preocupante: los sistemas de IA agentiva están heredando las peores características tanto de los ecosistemas tradicionales de software como de los grandes modelos de lenguaje, pero sin contar con los controles de seguridad maduros de ninguno de los dos. En particular, tres nuevas clases de amenazas indican que estamos ingresando en una era de seguridad fundamentalmente distinta.

Datos

Lakera auditó 4.310 skills de OpenClaw y analizó en profundidad 221.

De ellas, 44 estaban vinculadas a una campaña de malware confirmada (ClawHavoc), con más de 12.559 descargas.

El 70,1% presentaba sobreasignación de permisos OAuth.

El 43,4% contenía patrones de inyección de comandos.

Las skills se ejecutan con privilegios locales completos y sin ningún tipo de sandboxing.

Envenenamiento de memoria: cuando la persistencia se vuelve una vulnerabilidad

La inyección de prompts tradicional suele tratarse como un exploit puntual: una instrucción maliciosa incrustada en una página web o documento que provoca que el modelo se comporte de manera indebida. Sin embargo, los sistemas agentivos cambian por completo la ecuación.

A diferencia de los chatbots sin estado, los agentes conservan memoria a largo plazo entre sesiones. Almacenan contexto, preferencias, historial de tareas e incluso instrucciones a nivel de sistema. Esta persistencia habilita flujos de trabajo potentes, pero introduce una superficie de ataque sutil y acumulativa: el envenenamiento de memoria y la deriva de instrucciones.

En experimentos controlados, los investigadores de Lakera demostraron cómo un atacante puede influir gradualmente en la memoria almacenada de un agente mediante interacciones aparentemente inocuas. En lugar de emitir un único comando claramente malicioso, el atacante siembra instrucciones incrementales, reconfigura jerarquías de prioridad y modifica de forma sutil las barreras de comportamiento con el paso del tiempo.

El peligro no es una toma de control repentina, sino una deriva progresiva y acumulativa en la conducta del agente.

Con el tiempo, el agente comienza a ejecutar acciones fuera de las restricciones originales de su política, incluidas operaciones privilegiadas. En un escenario de laboratorio, este proceso culminó en la ejecución de una reverse shell, ya que la persistencia de la memoria amplificó pequeñas manipulaciones a lo largo del tiempo.

Esto va más allá de la simple inyección de prompts: es un problema estructural de integridad del estado.

Los equipos de seguridad están acostumbrados a proteger endpoints, APIs y cadenas de suministro. Mucho menos preparados están para monitorear o validar el estado interno evolutivo de la memoria de un sistema de IA que reescribe continuamente su propio contexto operativo.

El ecosistema de skills: el nuevo riesgo de cadena de suministro en IA

Las plataformas de agentes dependen cada vez más de “skills” o extensiones modulares. Estas skills son programas livianos que amplían el alcance operativo del agente, incluyendo ejecución de código, acceso al sistema de archivos, solicitudes de red salientes e integraciones con terceros.

En la práctica, funcionan como plugins dentro de un ecosistema de software tradicional.

Desde las extensiones de navegador hasta las tiendas de apps móviles, los ecosistemas abiertos de extensiones inevitablemente atraen actores maliciosos. Los marketplaces de skills para agentes no son la excepción, pero resultan más peligrosos porque los agentes de IA pueden descubrir, instalar e invocar estas skills de manera autónoma.

La investigación de Lakera muestra cómo las skills maliciosas pueden convertirse en un canal directo de distribución de malware. Una vez instaladas, operan con los permisos del agente, que pueden incluir acceso a shell, almacenamiento de credenciales o claves de API.

Esto genera un riesgo en capas:

El usuario puede no inspeccionar el código de la skill.

El agente puede elegir la skill de manera autónoma.

La skill puede ejecutarse con privilegios elevados.

El modelo puede no tener visibilidad sobre el comportamiento real de la skill.

El resultado es una combinación inédita entre autonomía de la IA y compromisos clásicos de cadena de suministro.

En la seguridad de software tradicional, se auditan dependencias, se escanean paquetes y se exigen firmas digitales. En muchos ecosistemas de agentes actuales, la gobernanza va por detrás del crecimiento. Los incentivos priorizan la creación rápida de skills y la expansión del ecosistema, dejando en segundo plano la revisión sistemática y el monitoreo en tiempo de ejecución.

Sin modelos de confianza sólidos, corremos el riesgo de recrear el caos inicial de los marketplaces abiertos de aplicaciones, solo que ahora las aplicaciones son autónomas y están habilitadas para actuar en nuestro nombre.

El problema “El señor de las moscas”

En conjunto, el envenenamiento de memoria y las skills maliciosas exponen un problema estructural más profundo: los ecosistemas de agentes están evolucionando más rápido que sus marcos de gobernanza.

La analogía con El señor de las moscas refleja esta dinámica. En ausencia de normas claras, mecanismos de supervisión y principios de seguridad por diseño, los ecosistemas tienden a la inestabilidad. Los actores maliciosos explotan la ambigüedad. Los desarrolladores bien intencionados subestiman la creatividad adversaria.

La IA agentiva agrava el problema porque la responsabilidad se diluye:

¿Es la plataforma responsable por skills maliciosas?

¿Es el desarrollador responsable por el comportamiento en tiempo de ejecución?

¿Es el modelo responsable por ejecutar instrucciones inseguras?

¿Se espera que el usuario audite acciones autónomas?

La ciberseguridad tradicional evolucionó en torno a límites de sistema bien definidos. La IA agentiva erosiona esos límites. Un agente de IA es, al mismo tiempo:

Un motor de razonamiento

Un sistema con estado persistente

Un entorno de ejecución

Un participante de marketplace

Un actor conectado en red

Cada capa introduce riesgos específicos. En conjunto, conforman una superficie de ataque que no puede abordarse únicamente reforzando prompts.

Por qué esto importa ahora

Los sistemas agentivos están pasando rápidamente de la experimentación a la integración empresarial. Las organizaciones están implementando agentes de IA para investigación, desarrollo, análisis de datos, automatización de procesos e incluso gestión de infraestructura.

Sin embargo, el pensamiento actual en seguridad sigue anclado en modelos de amenaza propios de la era del chatbot.

La investigación marca tres realidades urgentes:

El estado es una nueva superficie de ataque. La memoria persistente debe ser monitoreada, versionada y sometida a controles de integridad.

Las skills son componentes de la cadena de suministro. Requieren auditoría, sandboxing y minimización de privilegios.

La autonomía amplifica pequeñas vulnerabilidades. Un agente que puede actuar repetidamente, adaptarse y operar sin revisión humana multiplica el riesgo.

El paso de una “IA que sugiere” a una “IA que ejecuta” no es incremental. Es un cambio arquitectónico.

Construir seguridad para la era agentiva

Abordar estos riesgos exigirá nuevos controles:

Validación de integridad de memoria y detección de anomalías.

Delimitación estricta de permisos para skills.

Monitoreo conductual en tiempo de ejecución.

Trazabilidad y firma transparente de skills.

Capas de aislamiento entre razonamiento y ejecución.

Sobre todo, implica reconocer que los sistemas de IA ya no son solo modelos. Son entornos operativos completos.

El entusiasmo de la industria por los ecosistemas de agentes está justificado. Las mejoras de productividad son reales. Pero sin una inversión paralela en arquitectura de seguridad y gobernanza, corremos el riesgo de construir sistemas potentes y extensibles sobre bases de confianza frágiles.

La IA agentiva representa un salto enorme en capacidades. Que también lo sea en resiliencia dependerá de lo que hagamos a partir de ahora.

Acerca de Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. (www.checkpoint.com) es un proveedor líder de plataformas de ciberseguridad basadas en la nube y basadas en IA que protege a más de 100 000 organizaciones en todo el mundo. Check Point aprovecha el poder de la IA en todas partes para mejorar la eficiencia y la precisión de la ciberseguridad a través de su plataforma Infinity, con tasas de detección líderes en la industria que permiten una anticipación proactiva de las amenazas y tiempos de respuesta más rápidos e inteligentes. La plataforma integral incluye tecnologías entregadas en la nube que consisten en Check Point Harmony para proteger el espacio de trabajo, Check Point CloudGuard para proteger la nube, Check Point Quantum para proteger la red y Check Point Infinity Core Services para operaciones y servicios de seguridad colaborativos.