Redacción Digital Inside España
Las entidades financieras se encuentran en un momento de reorganización silenciosa. La adopción de agentes de inteligencia artificial está modificando no solo procesos concretos, sino también la forma en que se distribuyen responsabilidades y privilegios dentro de las organizaciones. En la práctica, operan como una suerte de directivos digitales con capacidad de ejecutar tareas críticas, tomar decisiones automatizadas y acceder a información sensible.
El impacto de esta transformación se refleja en la gestión de identidades. Según el informe 2025 Identity Security Landscape de CyberArk, las organizaciones financieras manejan actualmente un volumen muy elevado de cuentas técnicas y credenciales asociadas a sistemas automatizados, muy superior al de usuarios humanos. Las entidades financieras gestionan hasta 96 identidades de máquina por cada empleado humano, y casi la mitad de esas credenciales tiene acceso directo a datos sensibles. Estas identidades de máquina incluyen agentes de IA, bots y otros sistemas automatizados que actúan en nombre de la organización en tareas operativas, comerciales o de cumplimiento.
Pese a este peso creciente, la protección específica de estos sistemas aún no está generalizada. El mismo informe indica que únicamente una parte minoritaria del sector ha desplegado controles diseñados expresamente para la IA, como en el caso de los grandes modelos de lenguaje. Solo un 31% de las empresas cuenta con controles específicos para sistemas de IA, lo que deja a la mayoría de las organizaciones con marcos de seguridad pensados para usuarios humanos, pero no para agentes automatizados. Esta brecha entre el nivel de privilegios asignados a los agentes y los mecanismos de control disponibles configura un terreno de riesgo en términos de seguridad y de cumplimiento regulatorio.
Tres tipos de agentes que reordenan el organigrama financiero
La presencia de agentes de IA no se limita a tareas aisladas, sino que está empezando a alterar la propia estructura interna de las organizaciones financieras. Los usos más extendidos se están consolidando en tres grandes ámbitos: cumplimiento, trading y orquestación de procesos.
En el área de cumplimiento, los responsables pueden desplegar múltiples agentes para revisar operaciones en tiempo real, vigilar patrones sospechosos o apoyar la elaboración de informes regulatorios. Estos agentes actúan como extensiones del propio equipo de cumplimiento, multiplicando su capacidad de supervisión sobre transacciones y clientes. Cuando un único responsable de cumplimiento coordina varios agentes que escanean operaciones en tiempo real, se produce una concentración de privilegios tanto en esa persona como en sistemas automatizados que no siempre están formalmente autorizados. El riesgo es que un área tradicionalmente concebida como mecanismo de control termine convirtiéndose, por exceso de privilegios o por falta de supervisión específica sobre los agentes, en un foco de preocupación para reguladores y auditores.
En el terreno del trading, el uso de agentes autónomos lleva la automatización un paso más allá. Algunos de estos sistemas asumen de forma directa funciones que antes realizaban operadores humanos, ejecutando estrategias a velocidad de máquina. Estos agentes pueden operar sin supervisión continua por parte de un gestor, dentro de los parámetros que se les hayan definido. Si las credenciales de un agente de trading autónomo están mal configuradas, el sistema puede ejecutar operaciones con capacidad de desestabilizar mercados o amplificar riesgos sistémicos en cuestión de segundos. La combinación de alta velocidad, acceso directo a los sistemas de negociación y ausencia de validación humana inmediata convierte la configuración de privilegios en un elemento especialmente sensible.
El tercer ámbito es el de los orquestadores multiagente, que sitúa a algunos sistemas de IA en una posición de coordinación transversal. Estos agentes pueden gestionar procesos completos de negocio, supervisando tanto a otros agentes como a empleados humanos. Un único orquestador puede, por ejemplo, gestionar las operaciones de cuentas de clientes, derivar tareas a diferentes agentes especializados y asignar determinadas acciones a equipos humanos, generando cadenas de delegación complejas. La trazabilidad de decisiones y la claridad sobre quién (o qué sistema) ha realizado cada acción se convierten en cuestiones centrales.
La combinación de estos tres modelos refuerza la idea de que los agentes de IA ya forman parte del tejido estructural de las entidades financieras, incluso aunque no aparezcan como tales en las descripciones de puestos o en los organigramas. Operan, en la práctica, como unidades con capacidad operativa propia, con acceso a datos sensibles y con influencia directa sobre resultados de negocio y sobre el cumplimiento de las obligaciones normativas.
Ante esta situación, el enfoque hacia los agentes de IA tiende a equipararse al que se aplica al personal humano. Para reducir el riesgo, los agentes de IA deben estar sometidos al mismo rigor que cualquier empleado, con controles estrictos sobre credenciales, políticas de acceso de privilegio mínimo y just-in-time, auditorías continuas y límites claros a su actuación. Esto implica tratar credenciales como API keys y certificados con el mismo nivel de protección que las cuentas de usuario de empleados, y revisar de forma sistemática qué puede hacer cada agente, durante cuánto tiempo y bajo qué condiciones.
Junto a las medidas técnicas, surge la necesidad de formalizar procesos de ciclo de vida específicos para estos sistemas. De la misma forma que existen procedimientos de alta, cambio de función y baja para las personas, las organizaciones financieras necesitan mecanismos definidos para la incorporación de nuevos agentes, la modificación de sus responsabilidades y la retirada ordenada de sus accesos cuando dejan de ser necesarios. La gestión completa del ciclo de vida de los agentes de IA (desde su incorporación hasta su desactivación) es un elemento central para aprovechar su potencial sin comprometer la seguridad ni el cumplimiento normativo. Solo con este enfoque estructurado, que reconoce el papel real de los agentes dentro de la organización, las entidades financieras podrán integrar la IA en su operativa diaria manteniendo el control sobre identidades, privilegios y responsabilidades.
