Volver al inicio

Protección de aplicaciones de agentes OWASP Top 10

El artículo analiza OWASP Agentic Top 10 2026 para proteger aplicaciones de agentes. El modelo Lethal Trifecta identifica riesgos de combinaciones de datos privados, contenido no confiable y canales externos. Se proporcionan contramedidas, escenarios y hoja de ruta de implementación.

OWASP Top 10 para sistemas de agentes: modelo Trifecta
Advertisement 728x90

Proteger Aplicaciones Agenticas: OWASP Top 10 y el Modelo de la Trifecta Letal

La Trifecta es una lista de verificación sencilla para detectar riesgos: datos privados (bases de datos, secretos), entradas no confiables (contenido web, correos electrónicos) y canales salientes (HTTP, correo). Cuando coinciden los tres, puede desencadenarse una inyección de comandos indirecta que cause filtraciones. Estrategia: romper al menos un enlace o aplicar controles infalibles.

  • Datos privados: acceso bajo demanda, tokens de corta duración, minimización de datos.
  • Comunicación externa: listas de dominios permitidos, DLP, intervención humana en envíos salientes.
  • Contenido no confiable: etiquetado de origen, separación entre datos y control, puertas de política.
  • Memoria persistente: TTLs, puntuación de confianza, espacios de nombres por cliente.

Revisa siempre la Trifecta en cada revisión: ¿acceso ilimitado? Es hora de rediseñar.

OWASP Agentic Top 10: Riesgos y Mitigaciones

ASI01 Secuestro del objetivo del agente. Ataque: Inyección indirecta a través de salidas de herramientas. Defensa: Puertas de política, aprobaciones de alto impacto, registro de desviación de objetivos, etiquetado de origen.

Google AdInline article slot

ASI02 Mal uso de herramientas. Ataque: Parámetros maliciosos en cadenas. Defensa: Listas blancas de herramientas, límites de radio de daño, correlación de cadenas.

ASI03 Abuso de identidad. Ataque: Reutilización de tokens, privilegios transitorios. Defensa: Tokens bajo demanda, permisos por tarea, revalidación.

ASI04 Cadena de suministro. Ataque: Compromiso de descriptor. Defensa: Fijación de versiones, firma de artefactos, listas blancas de fuentes.

Google AdInline article slot

ASI05 RCE inesperado. Ataque: Inyección de evaluación. Defensa: Aislamiento de ejecución, sin red por defecto, separación entre generación y ejecución.

Análisis Profundo: Amenazas a Memoria y Comunicación

ASI06 Envenenamiento de memoria. Ataque: Envenenamiento de RAG con impacto duradero. Defensa: Segmentación por cliente, TTLs, reversión en cuarentena.

ASI07 Inter-agente. Ataque: Suplantación, reproducciones. Defensa: mTLS, firma de mensajes, nonces y marcas de tiempo.

Google AdInline article slot

ASI08 Fallas en cadena. Ataque: Propagación de errores. Defensa: Separación entre planificador y ejecutor, interruptores de circuito, registros de linaje.

ASI09 Confianza humana. Ataque: Lavado de consentimiento. Defensa: Aprobaciones diferenciadas, confirmaciones en múltiples pasos.

ASI10 Agentes rebeldes. Ataque: Desviación de objetivos. Defensa: Interruptores de parada, perfiles de comportamiento, revisiones periódicas.

Puntos de entrada: entrada de usuario, RAG, herramientas. La planificación establece objetivos, la memoria construye confianza, la comunicación inter-agente requiere protocolos sólidos.

Escenarios Reales en Producción

Agente corporativo de correo/documentos (ASI01-03,09).

Riesgos: Correos como instrucciones, crecimiento de privilegios, sesgo del operador.

Mitigaciones:

  • Separar lectura de acción.
  • Aprobación explícita para salidas.
  • Seguimiento del linaje de acciones.

Agente RAG con base de conocimiento (ASI06,08).

Riesgos: Ingesta no confiable, envenenamiento progresivo.

Mitigaciones:

  • Puntuación de confianza basada en fuente.
  • TTLs y reversión.
  • Aislamiento por cliente.

Orquestador de herramientas (ASI02,04,05,07,10).

Riesgos: Llamadas de herramientas maliciosas, ataques en cadena de suministro, propagación.

Mitigaciones:

  • Listas blancas por herramienta.
  • Verificación de procedencia.
  • Cuotas y puertas de política.

Plan de Implementación

Fase 1: Inventario (auditoría de Trifecta), bloqueo de salidas, habilitación de registro.

Fase 2: Puertas de política, tokens bajo demanda, aprobaciones de alto impacto.

Fase 3: Segmentación de memoria, trazabilidad de linaje, respuesta a incidentes (interruptores de parada).

Este enfoque por fases reduce riesgos sin necesidad de reescribir todo.

Conclusiones Clave

  • Rompe las cadenas mortales: minimiza al menos un factor de la Trifecta.
  • El OWASP Top 10 se enfoca en la transferencia de datos a instrucción a acción.
  • Detectores de inyección son complementos — la arquitectura es reina.
  • El monitoreo de linaje y detección de anomalías son imprescindibles para fallos en cadena.
  • Perfiles de comportamiento e interruptores de parada gestionan agentes rebeldes.

— Editorial Team

Advertisement 728x90

Leer después