La proliferación de agentes de IA: qué es y cómo controlarla

La proliferación se produce cuando los agentes de IA (sistemas autónomos que toman decisiones y realizan acciones con una intervención humana mínima) se implementan sin una estrategia unificada o prácticas de gobierno sólidas. La proliferación de agentes de IA crea un ecosistema de agentes redundantes y fragmentados entre equipos y funciones. Al igual que ocurrió anteriormente con la proliferación descontrolada de la IA o de las aplicaciones, la proliferación descontrolada de agentes de IA se produce cuando la rapidez prevalece sobre la visibilidad: los equipos individuales implementan agentes para automatizar tareas o gestionar flujos de trabajo sin un programa cohesivo a nivel de toda la organización.

Según Gartner, para 2028 una empresa de la lista Fortune 500 utilizará de media más de 150 000 agentes de IA. Pero, según la empresa, solo el 13 % de las organizaciones creen que cuentan con el gobierno de agentes de IA adecuado. Estos datos apuntan a una realidad simple, pero apremiante. Los agentes, especialmente en entornos low-code o no-code, son fáciles de crear, pero son mucho más difíciles de implementar, operar y monitorizar de forma responsable.

Los ecosistemas de herramientas de IA, cada vez más extensos e inmanejables, también pueden aumentar considerablemente los costes. Según la investigación de la Cámara de Comercio de EE. UU., el58 % de las pequeñas empresas han adoptado la IA generativa y algunos consultores informan de que las pequeñas empresas con presupuestos ajustados gastan miles de dólares al mes en un puñado de herramientas de escritura de IA redundantes. Por no hablar del coste oculto que supone para los empleados que, en lugar de ver cómo aumenta su productividad gracias al uso de la IA, se dan cuenta de lo contrario: el hecho de tener que cambiar constantemente entre aplicaciones y plataformas a lo largo del día ralentiza considerablemente el trabajo.

Cuando equipos concretos, como los de marketing, finanzas o atención al cliente, crean agentes, es posible que estos no sean visibles para otras áreas de la organización. Esto crea un amasijo de agentes con capacidades desconectadas en lugar de un sistema coherente. Según una investigación del IBM Institute for Business Value, solo el 18 % de las organizaciones mantiene un inventario actualizado y completo de sus agentes de IA, lo que obstaculiza los esfuerzos de integración. Problemas similares podrían resolverse de forma redundante, con una transferencia mínima de información entre sistemas.

La proliferación de agentes crea sistemas que funcionan de forma independiente, sin un contexto o mecanismo compartido para resolver problemas cuando los outputs se superponen. Sin una orquestación centralizada, los agentes podrían duplicar el trabajo o crear bucles de feedback no deseados. Estas duplicaciones y bucles agravan rápidamente los errores en los sistemas interconectados. 

Dado el ritmo de adopción de la IA agéntica, muchas organizaciones carecen de políticas y procesos holísticos para gestionar grandes redes de agentes de forma responsable. Esto significa que podría darse el caso de que:

• No exista un flujo de trabajo de aprobación estándar antes de implementar los agentes

• No se haya definido quién es el responsable en caso de que se produzcan errores

• No existan procesos de ciclo de vida para retirar los agentes cuando ya no sean necesarios.

Sin prácticas de gobierno en toda la organización, los riesgos aumentan exponencialmente. 

Los agentes de IA que no cuenten con controles de seguridad y cumplimiento sólidos podrían acceder a datos confidenciales sin la autorización adecuada o eludir los registros de auditoría. Cuando los agentes actúan de forma autónoma a escala, una sola configuración errónea puede convertirse en una responsabilidad para toda la organización.

Riesgos como estos son especialmente acuciantes en áreas como las finanzas o la sanidad, donde podrían exponer accidentalmente información protegida. Los marcos normativos, como la HIPAA o el RGPD, pueden resultar imposibles de cumplir cuando no existe una única fuente fiable que indique qué datos consultan los agentes y cómo toman sus decisiones. 

Cuando diferentes equipos crean agentes similares (o incluso agentes idénticos), cada equipo incurre en sus propios costes de infraestructura. Con el tiempo, el precio de los tokens de computación y API, así como los costes de las licencias de terceros, aumentan. Además, si no se retiran progresivamente de forma adecuada, los sistemas de IA pueden seguir consumiendo recursos tras su retirada, lo que agota los presupuestos y consume recursos valiosos. 

Cuando las redes de agentes están fragmentadas y aisladas, es más difícil escalarlas de forma efectiva. Los ecosistemas de agentes en expansión pueden ser difíciles de mantener y mejorar. Los agentes construidos de forma aislada pueden replicar esfuerzos, pero lo más importante es que carecen de herramientas compartidas. Estas herramientas compartidas tienen el potencial de transformar las prácticas en todos los departamentos y facilitar la monitorización y el registro de los agentes.

La proliferación de agentes también provoca una ralentización drástica en la respuesta a las incidencias si un agente comete un error y no se identifica rápidamente al equipo responsable. Y responder a incidentes derivados de agentes comprometidos o del uso no autorizado de datos puede crear graves riesgos cuando se trata de agentes complejos, interdependientes e inexplicables.

Según el informe Connectivity Benchmark 2026 de Salesforce, la organización promedio utiliza 12 o más agentes de IA, pero el 50 % de esos agentes operan de forma aislada en lugar de formar parte de un sistema coordinado. Sin una coordinación deliberada, es posible que se creen varias veces los mismos flujos de datos, y que cada sistema de agentes mantenga su propia versión de la realidad. Esto puede generar outputs contradictorios.

La fragmentación de datos complica el seguimiento del linaje, lo que dificulta auditar qué agente tomó una decisión particular. También impide que las organizaciones comprendan el verdadero valor de ecosistemas autónomos interdepartamentales que comparten datos apropiados de manera fluida. 

La proliferación de agentes y la IA en la sombra están relacionadas, pero son términos distintos. La IA en la sombra describe el uso de herramientas no autorizadas por parte de los empleados. Por ejemplo, un cliente potencial de marketing que utiliza una cuenta personal de LLM como ChatGPT para procesar documentos de trabajo. La proliferación de agentes de IA, por el contrario, describe un fenómeno estructural. Incluso los agentes sancionados y aprobados por la TI pueden contribuir a la expansión si se implementan sin coordinación.

Pero la proliferación de agentes de IA a veces puede conducir inadvertidamente a un mayor cambio de la IA en la sombra, como descubrió Gartner. "A medida que los CIO de información y los responsables de TI se enfrentan a una proliferación vertiginosa de agentes de IA en toda su organización, muchos se encuentran con una expansión descontrolada de agentes que exponen a su organización a diversos riesgos, como el intercambio excesivo de información y la pérdida de datos", escribió Max Goss, analista y director sénior de Gartner. Muchas empresas, añadió, tienden a recurrir al bloqueo o restricción del uso de agentes. Desafortunadamente, esta táctica tienta a los empleados a usar IA en la sombra, generando riesgos de seguridad y cumplimiento mucho más graves.

La proliferación de agentes de IA refleja el último capítulo en el que la tecnología empresarial supera la capacidad organizativa para gobernarla. Es un patrón que se repite a medida que aumenta la velocidad. Por ejemplo, la proliferación del SaaS y la TI invisible se debieron a que la tecnología en la nube facilitó enormemente la adopción de nuevo software, a menudo sin el conocimiento de los departamentos de TI centralizados.

El potencial de la IA agéntica para transformar los flujos de trabajo y crear asociaciones poderosas entre humanos y la IA se ha traducido en una adopción a gran escala. Según una investigación interna de IBM, la mayoría de las empresas ya utilizan agentes de IA en alguna capacidad.

Pero dada la proliferación de herramientas de IA capaces de crear agentes rápidamente, la creación de herramientas agénticas ya no requiere necesariamente un ingeniero de software ni un largo proceso de ajuste. Herramientas como Copilot Studio de Microsoft y AgentForce de Salesforce admiten opciones de desarrollo de agentes low-code y no-code, soluciones potentes que, no obstante, fomentan la implementación rápida en todos los departamentos. Es decir, la misma investigación interna de IBM reveló que un gran número de empresas afirman que la expansión de la IA ya aumenta los riesgos de seguridad y genera una complejidad innecesaria.

Las implicaciones son importantes: casi todos los departamentos de una gran empresa tienen la capacidad de implementar agentes de IA autónomos, pero faltan los mecanismos para controlar y gestionar estas redes de gran alcance. Aun así, la democratización de la IA y el desarrollo de plataformas agénticas, junto con los verdaderos beneficios empresariales prometidos por estas tecnologías, hacen que sea difícil abandonarlas. Gobernar los agentes de IA de forma responsable requiere un enfoque centralizado e intencionado que monitorice y optimice el comportamiento de los agentes a escala.

La falta de un modelo escalable para controlar el uso de la IA en toda una organización también impide la coordinación en toda la empresa. "No hay ni un solo cliente que no tenga al menos 60 casos de uso de IA no controlados en toda la organización, en forma de TI invisible o IA en la sombra", afirmó Matt Kosinski en un episodio reciente del pódcast Mixture of Experts de IBM. "Y todos los departamentos y directivos dicen: 'En realidad, soy yo quien está al frente de esto desde el departamento de compras, o desde RR. HH., o desde tal unidad de negocio'". 

Es difícil gobernar lo que no se ve. Los intentos exitosos de frenar la proliferación de agentes comienzan con un inventario completo: esto puede incluir un escaneo automatizado de entornos y API en la nube para mostrar a todos los agentes activos. También deben incluirse mecanismos para descubrir agentes autónomos informales que operen fuera del canal oficial. Puede ser útil establecer un proceso de descubrimiento continuo en lugar de una auditoría única, ya que nuevos agentes entrarán continuamente en el ecosistema. Durante este tiempo, un programa exitoso de control de la dispersión incluirá el establecimiento de un inventario centralizado en toda la empresa para rastrear los propietarios, el propósito y los permisos de acceso a datos de los agentes. 

Una vez que los agentes son una entidad conocida en toda la organización, las organizaciones deben definir normas claras sobre quién puede crear, implementar y compartir agentes, así como establecer normas de cumplimiento para las herramientas de IA. El uso de datos, los límites de velocidad y las herramientas de conexión deben monitorizarse cuidadosamente, y los inventarios de agentes pueden utilizarse para crear controles adaptativos que apliquen las políticas adecuadas en función del nivel de riesgo que asuma un agente. 

La estandarización ayuda a reducir la expansión futura. Limite el número de plataformas que se utilizan para crear agentes con el fin de reducir la complejidad arquitectónica, y establezca un seguimiento continuo del uso de los agentes para garantizar el cumplimiento de las políticas estandarizadas. Los paneles de control en tiempo real pueden ayudar a detectar comportamientos anómalos y corregir a los agentes que se comportan mal o superan su alcance previsto. Cuando crear un nuevo agente resulta más sencillo siguiendo el procedimiento estándar de la empresa que al margen de él, el gobierno puede convertirse en un círculo vicioso. 

Una respuesta eficaz a la proliferación de agentes combina kits de herramientas específicos con un proceso organizativo planificado. Cada vez más, las soluciones más potentes se integran de manera fluida, como una herramienta de codificación que funciona en combinación con una capa de orquestación y un panel de control empresarial para crear, monitorizar y optimizar de forma continua la IA agéntica a lo largo de todo el ciclo de desarrollo.

Los planos de control empresarial son capas de gestión centralizadas que proporcionan a las organizaciones visibilidad y control sobre los sistemas autónomos. Estas capas se asientan sobre agentes de IA, LLM y otras herramientas de IA, actuando como una especie de control de misión. Los planos de control suelen permitir a las empresas observar, configurar y gobernar sistemas autónomos desde una única fuente. 

La lucha contra la IA en la sombra y la proliferación de agentes requiere socios de codificación potentes, estandarizados y seguros. Los actuales socios de desarrollo de IA empresarial, como IBM® Bob, se basan en marcos estructurados y se integran en cada paso del ciclo de vida de desarrollo del software, desde la planificación hasta las pruebas y las operaciones. Al proporcionar controles estandarizados de transparencia y seguridad desde el primer día, estas herramientas permiten a las organizaciones escalar rápidamente y mantener el control, al tiempo que reducen significativamente la dispersión.

En el caso de Bob, las herramientas de desarrollo se integran de manera fluida con watsonx Orchestrate, un plano de control centralizado. Trabajando en conjunto, estos sistemas pueden abordar problemas en tiempo real, sugerir correcciones y crear nuevos agentes que los aborden. Además, crean flujos de trabajo agénticos y autodocumentados, lo que garantiza que cada acción sea auditable y rastreable.

Las herramientas AI TRiSM (una categoría definida por Gartner) permiten monitorizar de manera continua el comportamiento de la IA. Por lo general, detectan anomalías, hacen cumplir las normas de seguridad y sacan a la luz las infracciones de las políticas. Estas herramientas tratan a los agentes de IA como entidades observables y auditables, aplicando controles de tiempo de ejecución que no requieren que los agentes se reconstruyan por completo. 

Los marcos de gobierno establecen las reglas de una organización sobre quién puede implementar un agente y qué marco de aprobación debe seguir. También podrían abordar qué fuentes de datos está permitido utilizar y qué normas de rendimiento deben cumplirse antes de liberar un agente. Los marcos de gobierno más efectivos establecen una propiedad y permisos claros, definen rutas de escalada e integran de manera fluida con los procesos de riesgo empresariales existentes en lugar de operar como un proceso paralelo. 

Un registro de agentes actúa como una única fuente fiable al catalogar a todos los agentes de IA implementados en la organización. Los registros documentan el propósito de los agentes, el propietario, el acceso a los datos, la versión del modelo y el estado operativo, entre otras variables.

Estas bases de datos transforman un ecosistema de IA en un inventario conocido y gestionable. Los inventarios modernos suelen ser dinámicos (los agentes se registran en el momento de la implementación y actualizan su estado automáticamente) en lugar de depender de la documentación manual, que es más propensa a errores. 

A menudo, la expansión puede ser un fracaso de desmantelamento: los agentes están implementados y nunca se retiran. Las herramientas de gestión del ciclo de vida aplican un sistema definido desde el inicio del desarrollo, activan revisiones a intervalos regulares y detectan automáticamente los agentes que han quedado inactivos. 

En lugar de permitir que los agentes trabajen de forma aislada, las plataformas de coordinación gestionan los flujos de trabajo de múltiples agentes y definen cómo se comunican, comparten información, transfieren tareas y las derivan a otras personas. Al hacer explícitas y observables las relaciones entre agentes, la orquestación reduce la redundancia y proporciona un punto de integración natural para la monitorización, la optimización, el registro y el control de acceso.