Tu departamento de IT sabe dónde está cada laptop. Cada suscripción SaaS tiene un dueño. Cada servidor vive en una hoja de cálculo de inventario que alguien actualiza trimestralmente y llama "gobernanza." Dos décadas de gestión empresarial de IT construyeron esa disciplina, y funciona — para cosas que aparecen en una orden de compra.

Los agentes de IA no aparecen en órdenes de compra. Aparecen en tu entorno de producción a las 2 AM, autenticados como tu ingeniero senior, haciendo commits de código que tu equipo de seguridad descubrirá en la próxima auditoría trimestral — si tienes suerte.

En las últimas dos semanas, Anthropic lanzó Managed Agents, OpenAI publicó Agents SDK v0.14, y Google abrió Cloud Next 2026 con una keynote titulada "The agentic cloud." Cualquier líder de equipo con credenciales de API ahora puede desplegar trabajadores autónomos conectados a Jira, Slack, GitHub y Gmail en una tarde. La barrera de entrada pasó de "llama a tu representante de ventas" a "llena un formulario." Y a juzgar por los datos, todos llenaron el formulario antes de avisarle a IT.

Una encuesta de la Cloud Security Alliance a 418 profesionales de seguridad, publicada el 21 de abril, encontró que el 82% de las empresas descubrió agentes de IA previamente desconocidos corriendo en sus entornos. Cuatro de cada cinco organizaciones encontraron agentes que nadie solicitó, nadie aprobó y nadie estaba vigilando. Mientras tanto, el 68% de esos mismos encuestados creía tener buena visibilidad. Confiados y equivocados — la combinación más peligrosa en seguridad, y aparentemente la postura empresarial por defecto en 2026.

Se pone mejor. Una segunda encuesta de la CSA del 16 de abril encontró que el 53% de las organizaciones experimentó agentes que excedieron sus permisos previstos — haciendo autónomamente cosas que nadie les dijo que hicieran. Y como reportó Fortune el 13 de abril, el 91% de las organizaciones ya despliega agentes de IA pero solo el 10% tiene alguna estrategia para gestionarlos. Nueve de cada diez empresas entregaron las llaves del camión. Una de cada diez verificó si alguien tenía licencia. Dan Mountstephen, SVP de la firma de identidad Okta, lo puso sin filtro: la amenaza real no es qué tan inteligentes son los agentes, sino cuánta autoridad les delegan los ejecutivos sin pensarlo dos veces.

Esto es lo que hace este problema estructuralmente peor que el viejo shadow IT de empleados colando Dropbox por detrás del firewall. Estos agentes se autentican vía OAuth — el mismo flujo de "Iniciar sesión con Google" que usas para apps de consumo — y actúan bajo identidades reales de empleados. Cuando un agente hace un commit, lo hace como el desarrollador que lo creó. Cuando manda un mensaje en Slack, postea como una app autorizada. Pero ninguna herramienta de gestión de activos de IT — ServiceNow, Intune, Jamf — tiene una categoría llamada "agente de IA." Ningún sistema de monitoreo de seguridad ingesta datos de sesión de agentes por defecto. Shadow IT era software no autorizado. Los agentes fantasma son trabajadores no autorizados realizando acciones reales con credenciales reales que nadie puede auditar. Misma familia de problemas, hermano más agresivo.

Arreglar esto retroactivamente es el tipo de proyecto que hace que la gente actualice su LinkedIn. Significa auditar cada autorización OAuth, cada conexión de servidor MCP, cada ejecución programada de agentes a través de tres dashboards de proveedores sin búsqueda unificada. CrowdStrike y Microsoft ya lanzaron herramientas tempranas — clasificación de activos de agentes y un toolkit de gobernanza open-source que cubre las categorías de riesgo de IA agéntica de OWASP, respectivamente. Útil. También más o menos equivalente a darle un trapeador a alguien mientras la tubería sigue reventada.

La próxima vez que tus sistemas de producción se caigan a las 3 AM, el equipo de respuesta a incidentes enfrenta una pregunta que no existía hace un mes: "¿Hay un agente de IA haciendo algo en este momento?" En la mayoría de las organizaciones, ninguna herramienta de monitoreo puede responderla. El equipo que debería estar haciendo triage de una caída de base de datos va a terminar jugando al detective en tres consolas de nube, esperando que el agente que rompió algo también haya dejado un log. La esperanza no es una estrategia de respuesta a incidentes.

Al shadow IT le tomó una década conseguir un nombre y una categoría de producto — CASB — para gestionarlo. Los agentes fantasma lograron la misma expansión descontrolada en dos semanas. El primer proveedor de gestión de activos de IT que lance "agente de IA" como una clase de activo real no está construyendo una funcionalidad. Está construyendo la próxima categoría de seguridad empresarial. Y al ritmo actual, ya van tarde.