La adopción de aplicaciones de IA generativa en la empresa está entrando en una nueva fase. Ya no se trata solo de asistentes que redactan textos o resumen reuniones, sino de agentes que consultan datos internos, llaman a herramientas externas y toman decisiones dentro de flujos reales de negocio. Y ahí es donde empiezan a aparecer riesgos mucho más serios. Gartner prevé que, para 2028, el 25 % de todas las aplicaciones empresariales de IA generativa sufrirá al menos cinco incidentes de seguridad menores al año, frente al 9 % registrado en 2025. La firma añade además que, para 2029, el 15 % de esas aplicaciones tendrá al menos un incidente grave anual, cuando en 2025 ese porcentaje era del 3 %.
El aviso no llega por casualidad. Gartner vincula directamente este aumento del riesgo al crecimiento de la IA agéntica y al uso de tecnologías como Model Context Protocol (MCP), un estándar abierto pensado para conectar modelos con herramientas, datos y sistemas externos. El problema, según la consultora, es que MCP se diseñó priorizando la interoperabilidad, la facilidad de uso y la flexibilidad, no la seguridad por defecto. Eso significa que muchos errores no aparecen en escenarios extremos, sino en el uso ordinario del día a día.
MCP se ha convertido en muy poco tiempo en una pieza central del nuevo ecosistema de agentes. Anthropic lo presentó en 2024 como un estándar abierto para construir conexiones bidireccionales entre fuentes de datos y herramientas basadas en IA, y OpenAI ya ofrece soporte para MCP en partes de su stack para desarrolladores, tratándolo abiertamente como un protocolo que se está convirtiendo en estándar de facto. Cuanto más se extiende ese modelo, más superficie de ataque aparece: más servidores MCP, más conectores de terceros, más agentes con permisos y más posibilidades de que una mala configuración termine en una fuga de datos, una escalada de privilegios o una automatización peligrosa.
El riesgo no está en la teoría, sino en cómo se conectan los agentes
La advertencia de Gartner tiene bastante lógica si se observa cómo funcionan estas aplicaciones. Una app agéntica moderna puede leer documentación interna, consultar un CRM, ejecutar acciones en un sistema de tickets, resumir contenido procedente de una web externa y enviar un resultado a otro servicio. Cada uno de esos pasos puede parecer razonable por separado. El problema aparece cuando se combinan en un solo flujo acceso a datos sensibles, ingesta de contenido no fiable y capacidad de comunicación externa. Gartner califica precisamente esa combinación como una “zona prohibida” o “no-go zone” por el alto riesgo de exfiltración.
No es una preocupación abstracta. La propia documentación oficial de seguridad de MCP reconoce que el protocolo introduce riesgos específicos y pide a los implementadores que diseñen flujos robustos de consentimiento y autorización, apliquen controles de acceso adecuados, documenten claramente las implicaciones de seguridad y tengan en cuenta la privacidad desde el diseño. En otras palabras, ni el protocolo ni el estándar van a proteger por sí solos a la empresa si ésta conecta agentes a recursos delicados sin una capa fuerte de gobierno.
A eso se suma una segunda capa de riesgo: los componentes de terceros. Gartner alerta sobre vulnerabilidades ocultas en servidores MCP, librerías y conectores ampliamente reutilizados. Y ahí entra una de las lecciones clásicas de seguridad que la IA está volviendo a poner de actualidad: cuando una tecnología se expande muy rápido, el ecosistema de integraciones suele crecer antes que las prácticas maduras de revisión. Es el patrón habitual de cualquier nueva plataforma, solo que ahora el coste de un error puede ser mucho más alto porque el agente no solo ve datos: también puede actuar sobre ellos.
Prompt injection, cadena de suministro y permisos mal diseñados
Si hay una amenaza que resume bien este momento, esa es la prompt injection. OWASP la sitúa como uno de los riesgos principales en aplicaciones basadas en LLM y la define como la manipulación de las respuestas del modelo mediante entradas diseñadas para alterar su comportamiento, incluida la posibilidad de saltarse medidas de seguridad. En un sistema agéntico, esa manipulación puede no quedarse en una respuesta incorrecta: puede convertirse en una orden ejecutada, un dato filtrado o una acción autorizada por error.
Por eso Gartner insiste en que las empresas no deberían limitarse a heredar permisos pensados para usuarios humanos y trasladárselos a un agente como si nada. La recomendación es crear esquemas de autenticación y autorización específicos para agentes, con privilegios muy acotados y revisiones formales de cada caso de uso. También pide reforzar mitigaciones conocidas contra patrones de amenaza ya identificados: inyección de contenido, exposición de datos sensibles, amenazas de cadena de suministro y escaladas de privilegios cuando el modelo “intenta ayudar” y termina haciendo algo que no debía.
Hay otro matiz relevante en el análisis de Gartner: la complejidad acabará trasladándose a la gobernanza. A medida que los agentes se desplieguen en más dominios de negocio, gestionar acceso a datos, cumplimiento normativo y responsabilidades operativas será más difícil. Por eso la firma recomienda que los expertos de dominio sean quienes definan las barreras y reglas de uso, y que cada servidor MCP tenga una propiedad clara dentro de la organización. No basta con que seguridad revise al final. El control debe nacer en el propio diseño del dominio funcional.
Lo importante no es frenar la IA, sino usarla donde toca
La predicción de Gartner no implica que la empresa deba renunciar a la IA agéntica, pero sí obliga a bajar el tono de la euforia. En 2025 y 2026 muchas organizaciones han empezado a desplegar agentes con una mezcla de entusiasmo, presión competitiva y poca disciplina de seguridad. El mensaje ahora es bastante claro: cuanto más útil y conectada sea una app de GenAI, más necesita revisiones formales, límites bien definidos y una arquitectura de mínimos privilegios.
La cuestión de fondo es que MCP y los agentes están acercando la IA al corazón operativo de la empresa. Ya no se quedan en una capa experimental o en una demo de laboratorio. Empiezan a tocar sistemas, datos y procesos reales. Y eso cambia completamente la escala del problema. Los incidentes menores crecerán primero porque son el síntoma natural de un ecosistema aún inmaduro. El verdadero desafío estará en impedir que esa suma de errores cotidianos acabe desembocando en fallos graves, costosos o regulatorios.
Preguntas frecuentes
¿Qué predice exactamente Gartner sobre la seguridad de la IA generativa en empresas?
Gartner prevé que en 2028 el 25 % de las aplicaciones empresariales de GenAI sufrirá al menos cinco incidentes menores de seguridad al año, frente al 9 % de 2025. También estima que en 2029 el 15 % tendrá al menos un incidente grave anual, frente al 3 % actual.
¿Por qué MCP aumenta el riesgo en aplicaciones agénticas?
Porque facilita la interoperabilidad entre modelos, herramientas y datos, pero no impone seguridad por defecto. Si un agente puede leer datos sensibles, consumir contenido no fiable y comunicarse fuera en el mismo flujo, el riesgo de fuga de información y abuso crece mucho.
¿Qué es un incidente menor en una aplicación de IA empresarial?
Gartner no ofrece en esta nota una taxonomía cerrada, pero habla de exposiciones de datos, vulnerabilidades en componentes de terceros, errores de permisos y fallos vinculados a patrones ya conocidos como la inyección de contenido o la ayuda excesiva del modelo.
¿Qué recomienda Gartner para reducir estos riesgos?
Formalizar revisiones de seguridad para casos de uso con MCP, priorizar escenarios de bajo riesgo, excluir combinaciones peligrosas, diseñar autenticación y autorización específicas para agentes y dejar que los expertos de dominio definan guardarraíles y propiedad sobre los servidores MCP.
vía: gartner
