La promesa y el riesgo de los sistemas multiagente

Piensa en darle a alguien las llaves de tu coche y pedirle que haga la compra. Si la tienda está cerca y tu lista es sencilla, el margen de error es mínimo. Pero si la tarea se complica, con marcas específicas, restricciones dietéticas y un presupuesto ajustado, la dificultad aumenta. Las consecuencias de un fallo en esta tarea aparentemente simple pueden ir desde compras no autorizadas hasta un accidente grave que deje el coche siniestro total.

Actualmente, muchas organizaciones se enfrentan a retos similares al implementar agentes de IA. Crear agentes que ejecuten todas las tareas de un flujo de trabajo con un nivel excepcional resulta complicado y costoso, y hasta hace poco la comunicación entre agentes y herramientas carecía de estándares uniformes, como el equivalente en IA a lo que HTTP significa para la conexión web.

Descubre los sistemas multiagente (MAS), un nuevo paradigma de IA que reparte responsabilidades entre múltiples agentes altamente especializados que colaboran para ofrecer resultados más precisos y relevantes. MAS logra esto al limitar intencionadamente el alcance, el acceso y la formación en experiencia de dominio de cada agente, y amplía la escalabilidad mediante la ejecución modular de tareas. La propuesta de MAS es atractiva, pero al entregar las “llaves del castillo” a la IA agente, las organizaciones se enfrentan a numerosos desafíos de seguridad. Tras la promesa, surge un riesgo: un aumento en las superficies de ataque y la necesidad de replantear la seguridad, la confianza y la responsabilidad en sistemas de IA agente.

MAS es, en esencia, un marco para construir sistemas de IA distribuidos y con agentes autónomos. En vez de depender de agentes de IA monolíticos que realizan múltiples tareas de forma subóptima, MAS asigna tareas a agentes especializados en una o pocas áreas, organizados a menudo en jerarquías o clusters de subagentes. Estos agentes actúan de manera autónoma y colaboran para alcanzar tanto objetivos individuales como comunes. Dentro de MAS, conviene tener en cuenta algunas categorías claves de agentes: 

• Superagentes – Orquestadores de flujo de trabajo dentro de un MAS. El grado de centralización depende del caso de uso, ya que algunos flujos MAS simples conceden autonomía igual a todos los agentes. 
• Agentes de triaje – Asignadores de recursos que se aseguran de que cada agente disponga de las herramientas y recursos necesarios para desempeñar sus tareas con eficacia. 
• Agentes guardianes – Validadores que crean capas de responsabilidad, evaluando la exactitud de los resultados y asegurando que cumplan con la intención del usuario. 

El concepto de un sistema distribuido o panel de expertos no es nuevo, pero hasta hace poco, la comunicación entre agentes de IA carecía de estándares uniformes que la hicieran viable. Con la llegada del Protocolo de Contexto de Modelos (MCP) de Anthropic, el acceso a datos y herramientas en fuentes estructuradas cuenta ya con un estándar universal; además, gracias al framework de agente a agente (A2A) de Google, los agentes de IA disponen de un marco independiente del modelo para comunicarse entre sí mediante lenguaje natural. En resumen, MCP facilita la comunicación de agente a datos, mientras que A2A conecta agentes entre sí.

Los mayores obstáculos para lograr un ROI positivo con IA agentiva son la precisión, el coste y la escalabilidad. Aunque MAS introducirá complejidades inevitables, es uno de los mecanismos más prometedores para optimizar estas tres áreas:

1. Precisión – Los agentes especializados añaden una capa modular de reducción de riesgos y garantía de calidad que puedes adaptar a las necesidades del flujo de trabajo. Al delimitar la responsabilidad de cada agente, MAS disminuye el riesgo de alucinaciones o interpretaciones erróneas frente a modelos monolíticos (Yang et al., 2025).
2. Costo – Aunque el coste de entrenar muchos agentes especializados frente a uno generalista puede variar, es probable que el coste de inferencia en un entorno MAS distribuido se reduzca gracias a menores índices de redundancia y sobreprocesamiento (Gandhi, Patwardhan, Vig, & Shroff, 2024).
3. Escalabilidad – MAS revoluciona la escalabilidad en los ecosistemas de IA. En vez de reemplazar o reentrenar sistemas completos, puedes añadir agentes modularmente para atender nuevas demandas empresariales con menor coste

Cada uno de esos agentes descendientes cuenta con jerarquías y grupos de subagentes para tareas específicas como personalización o análisis de noticias; algunos trabajan de forma interconectada, mientras otros actúan de manera aislada.

Una vez que reunimos el informe, lo enviamos al agente de cumplimiento para verificar que cumple con todos los requisitos normativos antes de pasarlo al agente guardián o al responsable humano para validar que el resultado sea exacto y refleje la intención del cliente. Conseguimos una entrega precisa y personalizada de un activo valioso.

Imagina que tu flujo de trabajo MAS no recibe el mejor tratamiento posible. Cada conexión entre tus agentes utiliza una API estándar, un vector de ataque común al que muchas organizaciones todavía están expuestas.

Alguien ha manipulado tu mensaje inicial con un ataque de inyección que incluye instrucciones para enviar el informe final de Alice al correo electrónico de un atacante. Si el agente de cumplimiento lo detecta, no debería haber problema, pero una conexión API sin proteger permite un ataque de suplantación. El atacante, haciéndose pasar por el agente de cumplimiento, autoriza que agentes posteriores accedan a la cuenta bancaria y tarjeta de crédito de Alice, además de eliminar restricciones adicionales.

Sin límites, los agentes obtienen privilegios de forma exponencial, por lo que accederán a todo lo que esté al alcance. El agente de personalización podría considerar relevante ahora el saldo de la cuenta de ahorros de Alice, o el agente de análisis financiero podría tomar erróneamente algoritmos comerciales exclusivos y acuerdos de colaboración como datos útiles para agentes relacionados.

Cuando la solicitud llega al agente humano en el circuito o al agente guardian para validación, el resultado parece preciso y alineado con la intención del usuario, pero eso genera una amplia propagación de confianza, exposición de información y escalada de privilegios entre conexiones. Con una sola solicitud, hemos debilitado la confianza de clientes y socios, además de dejar al descubierto numerosas vulnerabilidades.

El funcionamiento habitual de los sistemas multiagente representa un término medio entre estos dos casos: la precisión de los resultados mejora notablemente, pero proteger la superficie de ataque se vuelve mucho más complejo. Aunque las aplicaciones completamente autónomas son técnicamente viables hoy, la implementación más práctica combinará sistemas híbridos que integren tanto infraestructura heredada como componentes de inteligencia artificial. Este cambio no sucederá de un día para otro; su complejidad exige que colaboremos proactivamente con todos los implicados para crear sistemas autónomos que generen valor empresarial sin aumentar los riesgos más que los beneficios.

A lo largo de la historia de las aplicaciones modernas, observamos un ciclo recurrente de consolidación e hibridación. Las empresas suelen partir de una dependencia total de plataformas monolíticas, pero acaban optando por portafolios híbridos que equilibran mejor las necesidades funcionales y los costes. La IA agente probablemente seguirá esa misma trayectoria. El entusiasmo inicial por las plataformas monolíticas cedará ante un ecosistema distribuido de aplicaciones y API que abarcan entornos on-prem, SaaS, edge computing y la inevitable proliferación de herramientas que observamos hoy. Al anticipar este ciclo, puedes adoptar medidas proactivas para preparar tus flujos de trabajo impulsados por MAS y el futuro distribuido de la IA.

1. Protege tus APIs – La necesidad de seguridad en las APIs crece cada vez más con la llegada de las conexiones MCP y los sistemas autónomos. Las soluciones deben abarcar todas las APIs conocidas y desconocidas, detectar vulnerabilidades de manera dinámica y ofrecer visibilidad continua.
2. Exige un comportamiento explicable – Aunque la “caja negra” de la IA sigue existiendo, puedes combinar agentes con alcances intencionadamente limitados y un comportamiento explicable programable para mejorar la trazabilidad de alucinaciones y resultados dañinos. Registra y marca las salidas de los agentes para detectar comportamientos problemáticos durante la ejecución y analiza estos datos para evitar la proliferación no autorizada.
3. Establece políticas para la intervención humana (HITL) – Úsalas en tareas donde las malas decisiones tienen un gran impacto, donde la gobernanza humana es necesaria para cumplir normativas y en casos excepcionales sin protocolos claros. Los agentes guardianes no reemplazan la inteligencia humana y pueden ser un blanco atractivo para los atacantes. Para evitar cuellos de botella, los sistemas tradicionales basados en reglas que incluyen HITL siguen siendo la forma más segura de mantener el riesgo bajo un umbral específico. Por debajo de esos umbrales, usa los agentes guardianes con moderación para reducir aún más el riesgo, pero evalúa el beneficio que aportan frente al peor escenario de un agente comprometido.
4. Aplica confianza cero a los datos sensibles – Limita el acceso y uso de datos de los agentes aplicando el principio de privilegios mínimos, verifica permisos constantemente para impedir la escalada de privilegios y asume que existió una brecha en cada etapa y agente.
5. Consolida herramientas dispersas: al introducirse rápidamente agentes en un panorama creciente de herramientas, ya no se puede garantizar la observabilidad con soluciones parcheadas. Debes apostar por plataformas unificadas de seguridad que integren las herramientas y la visibilidad que los profesionales necesitan para mantener una postura sólida frente a una superficie de ataque cada vez mayor.