Expansión agentes de IA: qué es y cómo controlarla

La expansión ocurre cuando los agentes de IA (sistemas autónomos que toman decisiones y actúan con una mínima entrada humana) se despliegan sin una estrategia unificada o prácticas sólidas de gobernanza. La expansión de agentes de IA genera un ecosistema de agentes redundantes y fragmentados entre equipos y funciones. Al igual que la expansión de la IA o de aplicaciones que la precedió, la expansión de agentes de IA se produce cuando la velocidad supera la visibilidad: los equipos individuales despliegan agentes para automatizar tareas o gestionar flujos de trabajo sin un programa coherente a nivel de toda la organización.

Según Gartner, para 2028, la empresa promedio de la lista Fortune 500 usará más de 150 000 agentes de IA. Pero solo el 13 % de las organizaciones cree que cuenta con la gobernanza de agentes de IA adecuada. Estos datos apuntan a una realidad simple, pero apremiante. Los agentes, especialmente en entornos de código bajo o sin código, son fáciles de crear, pero son mucho más difíciles de desplegar, operar y monitorear de manera responsable.

Los ecosistemas extensos e inmanejables de herramientas de IA también pueden aumentar significativamente los costos. Según la investigación de la Cámara de Comercio de Estados Unidos, el 58 % de las pequeñas empresas han adoptado IA generativa y algunos consultores reportan que pequeñas empresas con presupuestos ajustados gastan miles de dólares al mes en unas cuentas herramientas de escritura de IA redundantes. Por no hablar del costo oculto que supone que los empleados, en lugar de ver cómo aumenta su productividad gracias al uso de la IA, experimenten justo lo contrario: el hecho de tener que cambiar constantemente entre aplicaciones y plataformas a lo largo del día ralentiza considerablemente el trabajo.

Cuando equipos concretos, como los de marketing, finanzas o atención al cliente, crean agentes, es posible que estos no sean visibles para otras áreas de la organización. Esto crea una serie de agentes con capacidades desconectadas en lugar de un sistema coherente. Según una investigación del IBM Institute for Business Value, solo el 18 % de las organizaciones mantienen un inventario actualizado y completo de sus agentes de IA, lo que dificulta los esfuerzos de integración. Problemas similares podrían resolverse de forma redundante, con una transferencia mínima de conocimientos entre sistemas.

La expansión de agentes crea sistemas que operan de forma independiente, sin contexto compartido ni un mecanismo para resolver problemas cuando los resultados se superponen. Sin una orquestación centralizada, los agentes podrían duplicar el trabajo o crear ciclos de feedback no intencionados. Estas duplicaciones y ciclos acumulan rápidamente los errores entre sistemas interconectados. 

Dado el ritmo al que se está adoptando la IA agéntica, muchas organizaciones carecen de políticas y procesos integrales para gestionar de manera responsable las grandes redes de agentes. Esto probablemente significa que:

• No existe un flujo de trabajo de aprobación estándar antes del despliegue de los agentes

• No hay una propiedad definida para los casos en que se produzcan errores

• Faltan procesos de ciclo de vida para los agentes que se retiran cuando ya no son necesarios.

Sin prácticas de gobernanza en toda la organización, los riesgos aumentan exponencialmente. 

Los agentes de IA sin sólidos controles de seguridad y cumplimiento pueden acceder a datos confidenciales sin la autorización adecuada o eludir pistas de auditoría. Cuando los agentes actúan de manera autónoma a escala, una sola configuración incorrecta podría convertirse en una responsabilidad para toda la organización.

Riesgos como estos son particularmente apremiantes en áreas como las finanzas o la atención médica, donde podrían exponer accidentalmente información protegida. Los marcos normativos como la HIPAA o el RGPD pueden resultar imposibles de cumplir cuando no existe una única fuente de información que indique a qué datos acceden los agentes o cómo toman sus decisiones. 

Cuando diferentes equipos desarrollan agentes similares, o incluso idénticos, cada equipo asume sus propios costos de infraestructura. Con el tiempo, el precio de los tokens de cómputo y API, así como los costos de licencias de terceros, se acumulan. Además, los sistemas de IA que no se retiran progresivamente de forma adecuada pueden continuar consumiendo recursos tras su retirada, lo que agota los presupuestos y consume recursos valiosos. 

Cuando las redes de agentes están fragmentadas y aisladas, es más difícil escalarlas de forma efectiva. Los ecosistemas de agentes en constante expansión pueden ser difíciles de mantener y mejorar. Los agentes construidos de forma aislada pueden replicar el esfuerzo, pero lo más importante es que carecen de herramientas compartidas. Estas herramientas compartidas tienen el potencial de transformar las prácticas en todos los departamentos y facilitar el seguimiento y el registro de los agentes.

La expansión de los agentes también provoca respuestas a incidentes mucho más lentas si un agente comete un error y no se identifica rápidamente a un equipo responsable. Además, responder a incidentes derivados de agentes comprometidos o del uso no autorizado de datos puede generar graves riesgos cuando se trata de agentes complejos, interdependientes e inexplicables.

Según el informe Connectivity Benchmark 2026 de Salesforce, la organización promedio utiliza 12 o más agentes de IA, pero el 50 % de esos agentes opera en silos en lugar de como parte de un sistema coordinado. Sin una coordinación intencional, los mismos pipelines de datos podrían construirse varias veces, y cada sistema de agentes mantiene su propia versión de la verdad. Esto puede generar resultados contradictorios.

La fragmentación de datos complica el seguimiento del linaje, lo que dificulta auditar qué agente tomó una decisión en particular. También impide que las organizaciones comprendan el verdadero valor de ecosistemas autónomos interdepartamentales que comparten perfectamente datos apropiados.  

La expansión de agentes y la IA en la sombra son conceptos relacionados, pero distintos. La IA en la sombra describe el uso de herramientas no autorizadas por parte de los empleados. Por ejemplo, un cliente potencial de marketing que utiliza una cuenta personal de LLM, como ChatGPT, para procesar documentos de trabajo. La expansión de agentes de IA, en cambio, describe un fenómeno estructural. Incluso los agentes aprobados por TI pueden contribuir a la expansión si se despliegan sin coordinación.

Pero la expansión de agentes de IA puede a veces, sin querer, llevar a un cambio mayor en la IA en la sombra, como descubrió Gartner. “A medida que los directores de sistemas de información (CIO) y los líderes de TI ven un aumento repentino de agentes de IA en toda su organización”, escribió Max Goss, analista director sénior de Gartner, “muchos están contendiendo con una expansión no gobernada de agentes que exponen a su organización a una variedad de riesgos, incluido el intercambio excesivo y la pérdida de datos”. Muchas empresas, agregó, tienden a recurrir al bloqueo o restricción del uso de agentes. Desafortunadamente, esta táctica tienta a los empleados a utilizar la IA en la sombra, creando riesgos de seguridad y cumplimiento mucho más graves.

La expansión de agentes de IA refleja el capítulo más reciente de la tecnología empresarial, superando la capacidad organizacional para gobernarla. Es un patrón que se ha repetido a medida que aumenta la velocidad. Por ejemplo, la expansión de SaaS y la TI en la sombra se debieron a la tecnología en la nube que facilitó mucho la adopción de nuevo software, a menudo sin el conocimiento de los departamentos centralizados de TI.

El potencial de la IA agéntica para transformar los flujos de trabajo y crear poderosas asociaciones entre humanos y la IA ha dado lugar a una adopción a gran escala. Según una investigación interna de IBM, la mayoría de las empresas ya están utilizando agentes de IA de alguna manera.

Sin embargo, dada la proliferación de herramientas de IA capaces de crear agentes rápidamente, el desarrollo de herramientas agénticas ya no requiere necesariamente de un ingeniero de software ni de un largo proceso de ajuste. Herramientas como Copilot Studio de Microsoft y AgentForce de Salesforce admiten opciones de desarrollo de agentes de código bajo y sin código, soluciones potentes que, sin embargo, fomentan el despliegue rápido en todos los departamentos. A saber, la misma investigación interna de IBM encontró que un gran número de empresas informan que la expansión de la IA ya está aumentando los riesgos de seguridad y resultando en una complejidad innecesaria.

Las implicaciones son importantes: casi todos los departamentos de una gran empresa tienen la capacidad de desplegar agentes de IA autónomos, pero faltan los mecanismos para controlar y gobernar estas redes de gran alcance. Aún así, la democratización de la IA y el desarrollo de plataformas agénticas, junto con las ganancias comerciales reales prometidas por dichas tecnologías, dificulta abandonarlas. Gobernar los agentes de IA de manera responsable requiere un enfoque centralizado e intencional que monitoree y optimice el comportamiento de los agentes a escala.

La falta de un modelo escalable para controlar el uso de la IA en toda la organización también impide la coordinación a nivel empresarial. “No hay un solo cliente que no tenga al menos 60 actos aleatorios de IA en toda la organización con TI en la sombra, IA en la sombra”, dijo Matt Kosinski en un episodio reciente del podcast Mixture of Experts de IBM. “Y cada departamento y ejecutivo, en realidad soy quien lidera esto desde adquisiciones, o desde RR. HH. o desde esta unidad de negocio”. 

Es difícil gobernar lo que es imposible de ver. Los intentos exitosos de controlar la expansión de agentes comienzan con un inventario exhaustivo: esto podría incluir un análisis automatizado de los entornos en la nube y las API para identificar todos los agentes activos. También deben incluirse mecanismos para descubrir agentes autónomos informales que operen fuera del canal oficial. Puede ser útil establecer un proceso continuo de descubrimiento en lugar de una auditoría única, ya que nuevos agentes entrarán continuamente en el ecosistema. Durante este tiempo, un programa eficaz de control de la expansión incluirá la creación de un inventario centralizado para toda la empresa que permita realizar un seguimiento de los propietarios de los agentes, su finalidad y los permisos de acceso a los datos. 

Una vez que los agentes son una entidad conocida en toda una organización, las organizaciones deben definir reglas claras sobre quién puede crear, desplegar y compartir agentes, así como establecer reglas de cumplimiento para las herramientas de IA. El uso de datos, los límites de velocidad y las herramientas de conexión deben supervisarse cuidadosamente, y los inventarios de agentes pueden utilizarse para crear controles adaptativos que apliquen las políticas adecuadas en función del nivel de riesgo que presente cada agente. 

La estandarización ayuda a reducir la expansión futura. Limite la cantidad de plataformas que se utilizan para crear agentes a fin de reducir la complejidad arquitectónica y establezca una visibilidad continua del uso de los agentes para garantizar el cumplimiento estandarizado de las políticas. Los paneles en tiempo real pueden ayudar a detectar comportamientos anómalos y corregir a los agentes que se comportan mal o exceden su alcance previsto. Cuando crear un nuevo agente resulta más sencillo siguiendo el procedimiento estándar de la empresa que por otras vías, la gobernanza puede convertirse en un círculo vicioso. 

Una respuesta efectiva a la expansión de agentes combina kits de herramientas específicos con un proceso organizativo intencional. Cada vez más, las soluciones más potentes se integran perfectamente: por ejemplo, una herramienta de programación que funciona en conjunto con una capa de orquestación y un panel de control empresarial para crear, monitorear y optimizar continuamente la IA agéntica a lo largo de todo el ciclo de vida del desarrollo.

Los planos de control empresariales son capas de gestión centralizadas que brindan a las organizaciones visibilidad y control sobre sistemas autónomos. Estas capas se sitúan sobre agentes de IA, LLM y otras herramientas de IA, actuando como una especie de control de misión. Los planos de control suelen permitir a las empresas observar, configurar y gobernar sistemas autónomos desde una única fuente. 

Para hacer frente a la IA en la sombra y a la expansión de agentes, se necesitan socios de programación potentes, estandarizados y seguros. Los actuales socios de desarrollo de IA empresarial, como IBM Bob, se basan en marcos estructurados y se incorporan a cada paso del ciclo de vida del desarrollo de software, desde la planificación hasta las pruebas y las operaciones. Al proporcionar transparencia estandarizada y controles de seguridad desde el primer día, estas herramientas permiten a las organizaciones escalar rápidamente y mantener el control, al tiempo que reducen significativamente la expansión.

En el caso de Bob, las herramientas para desarrolladores se integran perfectamente con watsonx Orchestrate, un plano de control centralizado. Al trabajar en conjunto, estos sistemas pueden abordar problemas en tiempo real, sugerir arreglos y crear nuevos agentes para abordarlos. También crean flujos de trabajo con agentes autodocumentados, lo que garantiza que cada acción sea auditable y rastreable.

Las herramientas AI TRiSM, una categoría formalizada por Gartner, proporcionan un seguimiento continuo del comportamiento de la IA. Por lo general, detectan anomalías, aplican medidas de seguridad y ponen de manifiesto las infracciones de las políticas. Estas herramientas tratan a los agentes de IA como entidades observables y auditables, aplicando controles de tiempo de ejecución que no requieren que los agentes se reconstruyan por completo. 

Los marcos de gobernanza establecen las reglas de una organización sobre quién puede desplegar un agente y qué marco de aprobación debe seguir. También pueden abordar qué fuentes de datos se pueden usar y qué estándares de rendimiento deben cumplirse antes de lanzar un agente. Los marcos de gobernanza más eficaces establecen claramente las responsabilidades y los permisos, definen los procedimientos de escalamiento y se integran perfectamente con los procesos de gestión de riesgos ya existentes en la empresa, en lugar de funcionar como un proceso paralelo. 

Un registro de agentes actúa como una fuente única de información al catalogar todos los agentes de IA desplegados en una organización. Los registros documentan la finalidad de los agentes, el propietario, el acceso a los datos, la versión del modelo y el estado operativo, entre otras variables.

Estas bases de datos convierten un ecosistema de IA en un inventario conocido y manejable. Los inventarios modernos suelen ser dinámicos: los agentes se registran en el despliegue y actualizan su estado automáticamente, en lugar de depender de la documentación manual más propensa a errores. 

A menudo, la proliferación puede ser una falla de desorganización: los agentes se despliegan y nunca se retiran. Las herramientas de gestión del ciclo de vida imponen un sistema definido desde el momento en que comienza el desarrollo, activando revisiones a intervalos regulares y resaltando automáticamente los agentes que quedaron inactivos. 

En lugar de permitir que los agentes operen de forma aislada, las plataformas de orquestación coordinan flujos de trabajo de múltiples agentes, definiendo cómo los agentes se comunican, comparten contexto, transfieren tareas y escalan a humanos. Al hacer que las relaciones entre agentes sean explícitas y observables, la orquestación reduce la redundancia y ofrece un punto de integración natural para la supervisión, la optimización, el registro y el control de acceso.