Antes de aprobar un piloto de automatización, cualquier gerente se hace la misma pregunta: ¿qué controles necesito antes de darle autonomía a un agente de IA? La pregunta dejó de ser teórica: el fraude cometido por agentes autónomos se disparó, y el mismo tipo de autonomía que hace útil a tu agente es el que un atacante usa en tu contra.
Antes de darle autonomía a un agente de IA, tu empresa necesita cinco controles no negociables: verificación de identidad, límites de acción explícitos, aprobación humana en los pasos críticos, trazabilidad auditable y pruebas adversarias antes de producción. No es burocracia: es lo que separa un agente que ahorra horas de uno que ejecuta un error —o un fraude— a escala y sin freno.
La urgencia tiene número: según Incode, que procesó más de 7.000 millones de verificaciones de identidad, el fraude agéntico saltó del 3% de los intentos en 2024 al 40% en el primer trimestre de 2026, con proyección de superar el 90% en 18 meses (Incode, 2026). La empresa salió a comprar Identiq por USD 100 millones para responder. El ecosistema se volvió adversario; los controles dejaron de ser opcionales.
¿Qué es el fraude agéntico y por qué explotó ahora?
El fraude agéntico es el fraude ejecutado por agentes de IA autónomos —software que se hace pasar por una persona, automatiza intentos de engaño y opera a una velocidad y escala que un humano no alcanza—. Explotó porque los agentes se volvieron capaces y baratos al mismo tiempo: lo que antes requería un operador ahora lo hace un agente que no se cansa, prueba miles de variantes y aprende del rechazo.
El dato que ordena la discusión viene de Incode, uno de los mayores procesadores de verificación de identidad del mundo (más de 7.000 millones de verificaciones): el fraude agéntico pasó del 3% de los intentos en 2024 al 40% en el primer trimestre de 2026, con proyección de superar el 90% en 18 meses (Incode, 2026). Como respuesta, Incode adquirió Identiq por USD 100 millones para reforzar su arquitectura de verificación (Incode). El punto para una empresa que quiere automatizar: la misma autonomía que hace útil a tu agente es la que, sin controles, convierte un error en un incidente a escala.
¿Qué controles necesito antes de darle autonomía a un agente de IA?
Cinco, en orden de prioridad. Ninguno es opcional para un agente que toca dinero, datos de clientes o sistemas de producción.
| Control | Qué evita y cómo implementarlo |
|---|---|
| 1. Verificación de identidad | Que el agente —y las contrapartes con las que interactúa— sean quienes dicen ser. Autenticación fuerte, credenciales de máquina, y validación de identidad en cada acción sensible, no solo al inicio de la sesión. |
| 2. Límites de acción | Que el agente solo pueda hacer lo estrictamente necesario. Mínimo privilegio: alcance acotado, topes de monto y volumen, y una lista explícita de lo que puede y no puede tocar. Sin límites, un error se multiplica. |
| 3. Aprobación humana en pasos críticos | Human-in-the-loop donde el error sale caro: pagos, cambios irreversibles, envío de datos sensibles. El agente propone; una persona confirma. La autonomía total se gana con historial, no se otorga de entrada. |
| 4. Trazabilidad auditable | Registro completo de qué hizo el agente, cuándo y por qué. Logs inmutables que permitan reconstruir cada decisión. Sin traza no hay forma de detectar un abuso ni de rendir cuentas después. |
| 5. Pruebas adversarias | Antes de producción, probá el agente como lo haría un atacante: inyección de prompts, casos límite, intentos de sacarlo de su alcance. El red team encuentra el agujero antes que el fraude. |
Regla de fondo: la autonomía se otorga por niveles, no de golpe. Un agente arranca proponiendo y pidiendo confirmación; a medida que acumula historial verificable, se le amplía el margen. Darle autonomía total desde el día uno es el error que convierte un piloto prometedor en un titular.
¿Qué riesgo concreto cubre cada control?
| Riesgo si falta el control | Control que lo cubre |
|---|---|
| Un tercero se hace pasar por el agente o por un usuario | Verificación de identidad |
| Un error se ejecuta a escala sin freno (miles de veces) | Límites de acción |
| Una transacción irreversible sale mal | Aprobación humana |
| Un incidente que nadie puede explicar ni auditar | Trazabilidad |
| Un atacante saca al agente de su alcance en producción | Pruebas adversarias |
¿A quién le importa esto más allá de bancos y fintechs?
A cualquier negocio cuya operación descansa en la confianza y la audiencia. Un ejemplo de la región: La Chica del Banco, un proyecto de educación financiera que construyó una audiencia de decenas de miles de seguidores. En un negocio así, la identidad, la audiencia y la confianza están directamente expuestas a este tipo de riesgo: cuentas falsas que imitan la marca, agentes que automatizan estafas usando su nombre, mensajes que se hacen pasar por la asesora. La misma ola de fraude agéntico que golpea a los bancos golpea a quien educa sobre finanzas.
Por eso los controles no son solo para quien despliega un agente propio: también son la defensa de cualquier marca cuya reputación puede ser suplantada por un agente ajeno. Verificar identidad, dejar traza y validar antes de actuar protege en las dos direcciones.
¿Cómo aplico estos controles en un piloto real?
- 1. Empezá por un caso de bajo riesgo: un agente que toca datos internos, no dinero ni clientes, hasta ganar confianza en los controles.
- 2. Escribí el alcance antes de codear: qué puede tocar el agente, qué no, y en qué pasos hay confirmación humana.
- 3. Definí la traza desde el inicio: qué se registra de cada acción. Agregarla después es caro y siempre queda incompleta.
- 4. Hacé un red team antes de producción: alguien que intente romper el agente a propósito.
- 5. Ampliá la autonomía por niveles, según el historial verificable, nunca de golpe.
El marco de privacidad y controles enterprise que sostiene todo esto lo detallo en privacidad enterprise, y el cómo se arma un agente paso a paso, en cómo crear tu primer agente con Claude, Gemini o GPTs.
La autonomía no se otorga; se gana con controles.
El fraude agéntico creció más rápido que casi cualquier riesgo digital reciente —del 3% al 40% en un trimestre— y no va a detenerse por decreto. Pero eso no es un argumento para frenar la automatización: es un argumento para hacerla con criterio. Un agente con verificación de identidad, límites claros, aprobación humana en lo crítico, traza auditable y pruebas adversarias no es un agente más lento. Es el único que una empresa seria puede poner a trabajar sin perder el sueño.
Si estás por darle autonomía a un agente y querés revisar qué controles necesita tu caso, agendá una implementación de IA o conversémoslo en una consultoría.
Última actualización: 1 de julio de 2026 · Análisis basado en datos de fraude agéntico reportados por Incode (2026) y su adquisición de Identiq, cobertura de itbrief, y experiencia directa en implementación y gobierno de agentes de IA en empresas de la región. Diego Ceredi, Preferred Services Partner del Claude Partner Network (Anthropic) y consultor certificado por Anthropic (Claude) y Google (Gemini).