Tu equipo desplegó agentes de IA en Notion, Jira y GitHub en las últimas dos semanas. La configuración inicial fue casi insultantemente fácil — una API key (una contraseña que permite que el software hable con otro software), unos cuantos clics, tal vez una pausa para el café. El agente lee tus tickets, pushea código, postea en Slack. Sentiste que el futuro por fin había llegado.

Después terminó el piloto. O tu equipo de seguridad se despertó de la siesta. O cambiaste de proveedor. Y ahora necesitas responder una pregunta que a nadie se le ocurrió hacer: ¿cómo se apaga un agente realmente?

La encuesta de la Cloud Security Alliance, publicada apenas ayer 21 de abril, le pone número al vacío: solo el 21% de las empresas tiene algún proceso formal de decomisionamiento para agentes de IA. Mientras tanto, el 65% ya experimentó incidentes de seguridad relacionados con agentes en el último año. Anthropic lanzó Managed Agents el 8 de abril, OpenAI actualizó su Agents SDK el 15 de abril, y Google presentó su plataforma de agentes en Cloud Next el 22 de abril — tres lanzamientos de grado producción en una sola ventana de dos semanas. Cada plataforma publicó guías detalladas de onboarding. Ninguna — literalmente cero — publicó una guía de offboarding.

Qué significa realmente "apagar" un agente

Decomisionar un agente no es apretar un botón. Es más como despedir a un empleado que tiene llaves de todas las oficinas, recuerda cada conversación, y configuró una docena de workflows automatizados que nadie más entiende.

Esta es la checklist real que nadie escribió:

  • Revocar tokens OAuth — OAuth es el sistema que permite a un agente acceder a tus herramientas (GitHub, Jira, Slack) en tu nombre. Cuando "conectas" un agente a una herramienta, le otorgas un token — un pase digital. Ese pase no expira cuando dejas de pagar por el agente. Simplemente se queda ahí, válido y olvidado.
  • Purgar almacenes de memoria — Los agentes ahora tienen memoria persistente: recuerdan conversaciones pasadas, decisiones y tus datos. La Memory Stores API de Anthropic te permite borrar memorias una por una, pero no ofrece un endpoint de borrado masivo. ¿Quieres borrar todo? Enumera cada memoria individual y bórralas una por una. Divertidísimo.
  • Cancelar acciones programadas — Los agentes pueden ejecutarse en cron schedules (tareas recurrentes automatizadas, como "revisa este repo todas las mañanas a las 9 AM"). Esas programaciones persisten bajo la identidad del usuario que las creó. El usuario se va de la empresa, el cron sigue corriendo.
  • Reasignar trabajo abierto — Si el agente tenía pull requests abiertos, tickets asignados o reviews pendientes, ahora pertenecen a un fantasma.
  • Notificar a agentes dependientes — En configuraciones multi-agente, otros agentes pueden llamar al retirado. Van a fallar silenciosamente o, peor, quedarse colgados para siempre.

Ninguna plataforma automatiza nada de esto.

Los números son peores de lo que crees

Según Itamar Apelblat, CEO de Token Security, entrevistado el 9 de abril: el 65.4% de los chatbots agénticos nunca se han usado desde su creación, pero conservan credenciales de acceso activas. Más de la mitad de las acciones de agentes externos dependen de credenciales hardcodeadas en lugar de OAuth — lo que significa que ni siquiera puedes revocarlas a través de la gestión de identidades estándar.

"Muchas organizaciones siguen tratando a los agentes de IA más como experimentos desechables de productividad que como identidades gobernadas," dijo Apelblat a Help Net Security.

Está siendo amable. Lo que quiere decir es: configuraste un bot con acceso de lectura a tu base de datos de producción, te aburriste, y lo dejaste corriendo con las llaves puestas en el encendido.

La amenaza real: credenciales zombie

El peligro no es el agente zombie en sí. Un agente muerto que no puede ejecutarse es inofensivo. El peligro son las credenciales zombie — los tokens OAuth, API keys y permisos de cuentas de servicio que sobreviven al agente.

Un agente autorizado para leer tu Jira, pushear a tu GitHub y postear en tu Slack no pierde esos permisos cuando dejas de pagarle a Anthropic o a OpenAI. Esos permisos viven en tu proveedor de identidad, tus apps SaaS, tu IAM en la nube (Identity and Access Management — el sistema que controla quién puede acceder a qué). La plataforma del agente ni siquiera sabe que existen, porque nunca fue ella quien los otorgó.

Microsoft reconoció el problema hace tres semanas cuando liberó como open source su Agent Governance Toolkit el 2 de abril — siete paquetes que cubren los 10 riesgos OWASP de IA Agéntica (OWASP es el catálogo estándar de amenazas de seguridad en aplicaciones), completo con un "kill switch" de emergencia y un modelo de "trust decay" que reduce los permisos del agente con el tiempo. Suena genial. Pero lee la documentación con cuidado: cubren seguridad en runtime — lo que pasa mientras el agente está vivo. No cubren decomisionamiento ni limpieza de credenciales. El toolkit te ayuda a vigilar al agente. No te ayuda a enterrarlo.

Hillary Baron de CSA, AVP de Investigación, lo resumió el 21 de abril: "La seguridad y gobernanza de agentes de IA abarcan un sistema interconectado que comprende visibilidad, gestión del ciclo de vida, políticas y monitoreo." Traducción: necesitas ver cada agente, gestionar toda su vida desde el nacimiento hasta la muerte, definir reglas y vigilar todo. Las empresas actualmente hacen aproximadamente nada de esto.

Ya pasaste por esto antes

El offboarding de empleados — el proceso formal de revocar accesos cuando alguien deja una empresa — le tomó a las empresas aproximadamente 20 años codificarlo en estándares como SCIM (un protocolo para gestionar automáticamente cuentas de usuario entre servicios) y aprovisionamiento JML (Joiners, Movers, Leavers — el workflow de RRHH a TI). Veinte años, y la mayoría de las empresas todavía lo hacen mal.

El offboarding de agentes está en el día cero. Pero las empresas despliegan agentes más rápido de lo que jamás contrataron humanos. La encuesta de CSA encontró que el 51% de los agentes shadow — agentes que nadie aprobó oficialmente — surgen de automatización y scripting interno. Tus desarrolladores levantan agentes como antes levantaban instancias EC2 en 2012: rápido, barato, y sin pensar ni un segundo en quién limpia después.

La plataforma que lance gestión del ciclo de vida de agentes — un workflow completo de despliegue-a-decomisionamiento con cascada de credenciales, purga de memoria y notificación de dependencias — gana la licitación empresarial. Hasta entonces, cada agente retirado es una puerta que olvidaste cerrar con llave. Y tienes muchas puertas.