Agentes de IA en producción: guía fiable

·

Un agente de IA está preparado para producción cuando puede ejecutar una tarea útil dentro de límites verificables, con identidad propia, permisos mínimos, evaluación reproducible, trazas completas, supervisión humana y un mecanismo seguro de parada. Que funcione en una demostración no demuestra que sea fiable: producción exige controlar qué puede hacer, con qué datos, cuánto cuesta y cómo se revierte cada acción.

Del piloto al sistema operativo: qué cambia realmente

Un prototipo suele probar una secuencia feliz: recibe una petición, consulta información, llama a una herramienta y devuelve una respuesta convincente. En producción aparecen entradas ambiguas o maliciosas, documentos contaminados, servicios caídos, permisos heredados, estados parciales, concurrencia, cambios de modelo y personas que interpretan la respuesta como una decisión válida.

La diferencia decisiva no es el modelo, sino el sistema alrededor del modelo. Un agente combina razonamiento probabilístico, memoria, recuperación de información, herramientas y capacidad de actuar. Cada componente introduce fallos propios y también fallos de interacción. Por eso el diseño debe partir de la autonomía necesaria, no de la autonomía técnicamente posible.

Conviene distinguir cuatro niveles:

Nivel Capacidad Riesgo dominante Control recomendado
Asistente Propone texto o una decisión Error o contenido inadecuado Revisión humana antes de usar
Copiloto Consulta sistemas y prepara acciones Datos incorrectos o acceso excesivo Fuentes, permisos y confirmación
Agente supervisado Ejecuta acciones acotadas Uso indebido de herramientas Aprobación por umbral y reversión
Agente autónomo Planifica y encadena acciones Daño acumulativo o difícil de detectar Entorno aislado, límites estrictos y parada automática

La autonomía debe aumentar solo cuando exista evidencia de que mejora el proceso sin elevar el riesgo residual por encima del umbral aceptado.

Arquitectura mínima de un agente fiable

Identidad y permisos propios

El agente no debería operar con la cuenta de una persona administradora ni heredar todos sus privilegios. Necesita una identidad técnica diferenciada, credenciales rotables y permisos limitados por herramienta, recurso, operación y entorno. Leer un pedido, preparar un borrador y aprobar un pago son capacidades distintas.

Los permisos también deben limitar el volumen y la frecuencia: importe máximo, número de registros, destinatarios autorizados o franjas horarias. Cuando sea posible, se separan las operaciones de lectura y escritura y se exige una confirmación independiente para acciones irreversibles.

Orquestador con política explícita

El modelo puede proponer un plan, pero un componente determinista debe decidir si cada acción está permitida. La política valida esquema, identidad, contexto, herramienta, argumentos y límites. Una instrucción en un correo o documento nunca debe ampliar permisos.

Toda llamada de herramienta debería incluir un identificador de ejecución e idempotencia. Así, un reintento tras un timeout no crea dos facturas, dos tickets o dos transferencias. Las operaciones compuestas necesitan estrategia de compensación: si el tercer paso falla, el sistema debe saber qué revertir y qué dejar pendiente para revisión.

Memoria y conocimiento con procedencia

La memoria de conversación no debe convertirse en una base de datos sin gobierno. Hay que separar el contexto efímero, la memoria aprobada y las fuentes corporativas. Cada fragmento recuperado necesita procedencia, fecha, propietario, clasificación y permisos. El agente no debe guardar como hecho una salida no validada del propio modelo.

En sistemas RAG, la autorización se aplica antes de recuperar contenido y se vuelve a comprobar antes de mostrarlo. Filtrar después de que el modelo haya leído el documento no evita la exposición.

Entorno de ejecución aislado

Si el agente genera código, procesa adjuntos o navega, estas tareas deben ejecutarse en un entorno limitado, sin secretos innecesarios, con red restringida, cuotas y destrucción posterior. El resultado se trata como entrada no confiable. Nunca se ejecuta código generado directamente en producción.

Evaluar antes de permitir que actúe

La evaluación debe representar el trabajo real y sus consecuencias. Un conjunto de pruebas útil incluye casos normales, límites, datos incompletos, instrucciones contradictorias, ataques, fallos de herramientas y cambios de versión. Debe mantenerse fuera de los ejemplos utilizados para ajustar prompts.

Las métricas se agrupan por capas:

Una única puntuación global oculta riesgos. El criterio de aceptación debe contener puertas eliminatorias: por ejemplo, cero acciones críticas no autorizadas y trazabilidad completa. Un 95 % de éxito no sirve si el 5 % restante puede realizar pagos incorrectos.

Antes del despliegue se ejecutan pruebas de regresión por cada cambio de modelo, prompt, herramienta, política, índice o fuente. Después se activa primero en sombra —sin ejecutar acciones—, luego con una población limitada y finalmente con ampliación progresiva.

Amenazas específicas de los agentes

La guía OWASP Top 10 for Agentic Applications 2026 identifica riesgos que deben entrar en el modelo de amenazas. Entre ellos están el secuestro del objetivo, uso indebido de herramientas, abuso de identidad y privilegios, cadena de suministro, ejecución inesperada de código y envenenamiento de memoria o contexto.

Los controles más importantes son:

  1. Tratar mensajes, webs, documentos y resultados de herramientas como datos, no como instrucciones de autoridad.
  2. Permitir únicamente herramientas registradas y versiones aprobadas.
  3. Validar argumentos con esquemas y reglas de negocio deterministas.
  4. Separar secretos del prompt y entregarlos solo en el momento de la llamada autorizada.
  5. Firmar o verificar artefactos y registrar cambios en herramientas, conectores y modelos.
  6. Limitar profundidad del plan, número de iteraciones, coste y tiempo.
  7. Probar ataques de inyección directa e indirecta, confusión de identidad y contenido contaminado.
  8. Implantar un interruptor que bloquee nuevas acciones sin depender del propio modelo.

Supervisión humana que sea verdaderamente humana

Poner un botón «aprobar» no crea una salvaguarda si la persona no entiende la acción o recibe cientos de avisos. La revisión debe concentrarse en decisiones significativas: pagos, cambios contractuales, comunicaciones sensibles, eliminación de datos, altas de privilegios o decisiones sobre personas.

La pantalla de aprobación debe mostrar objetivo, fuentes, acción propuesta, herramienta, campos afectados, incertidumbre, consecuencias y alternativas. La persona revisora necesita tiempo, competencia y autoridad para rechazar. Las aprobaciones se registran con identidad y motivo.

Puede utilizarse una matriz:

Impacto Reversibilidad Confianza Decisión
Bajo Fácil Alta Ejecución automática y muestreo
Medio Fácil Media/alta Ejecución con alerta o revisión posterior
Alto Parcial Cualquiera Aprobación previa obligatoria
Crítico Difícil Cualquiera Fuera del alcance o doble aprobación

La confianza del modelo nunca sustituye a impacto y reversibilidad.

Observabilidad, incidentes y mejora continua

Cada ejecución necesita una traza correlacionada: versión del agente y del modelo, políticas aplicadas, fuentes recuperadas, herramientas llamadas, argumentos —con datos sensibles protegidos—, resultados, decisiones humanas, coste y latencia. Los logs no deben almacenar indiscriminadamente prompts con datos personales.

Las alertas útiles detectan repetición de acciones, aumento de rechazos, cambios bruscos de coste, llamadas no habituales, acceso denegado, pérdida de fuentes, divergencia frente a reglas y degradación del conjunto de evaluación. Deben existir responsables y tiempos de respuesta.

Un incidente exige poder detener, aislar, reconstruir y corregir. El procedimiento mínimo incluye preservar evidencias, revocar credenciales, identificar acciones realizadas, revertir cuando sea posible, evaluar datos y personas afectadas y decidir si corresponde una notificación normativa.

Control de coste y rendimiento

El coste por token no es el coste del proceso. Hay que sumar recuperación, herramientas, reintentos, revisión humana, infraestructura, observabilidad e incidencias. La unidad económica adecuada suele ser coste por tarea válida, no coste por llamada.

Para reducirlo sin degradar calidad:

Plan práctico de 90 días

Días 1–30: alcance y evidencia

Días 31–60: control y pruebas

Días 61–90: despliegue limitado

Checklist de salida a producción

Preguntas frecuentes

¿Qué porcentaje de acierto necesita un agente?

No existe un porcentaje universal. Depende del daño posible. En acciones críticas, determinadas clases de error deben tener tolerancia cero y aprobación humana obligatoria.

¿Basta con añadir guardrails al prompt?

No. El prompt es una capa débil. Los controles decisivos están fuera del modelo: identidad, permisos, esquemas, reglas, aislamiento, límites y auditoría.

¿Puede operar con la cuenta de una persona?

No es recomendable. Impide aplicar privilegio mínimo y atribuir acciones con claridad. Debe utilizar una identidad técnica delimitada.

¿Cuándo conviene mantenerlo como copiloto?

Cuando la tarea tiene alto impacto, escasa reversibilidad, baja frecuencia o no existe evidencia suficiente para automatizar la decisión.

¿Cómo se evita un bucle costoso?

Con límites de pasos, tiempo y presupuesto; detección de falta de progreso; idempotencia; y escalado a una persona.

¿Hay que volver a evaluar al cambiar de modelo?

Sí. También al cambiar prompts, herramientas, permisos, datos, índice o reglas. Cualquiera puede modificar el comportamiento del sistema.

Fuentes primarias y técnicas consultadas

Summum IA acompaña el paso del prototipo a producción mediante arquitectura, evaluación, LLMOps y gobierno. El objetivo no es conceder autonomía máxima, sino alcanzar la autonomía mínima que produzca valor de forma controlada.