En marzo de 2026, Meta tuvo que apagar a toda prisa una herramienta de inteligencia artificial interna después de un fallo que abrió accesos indebidos. Durante casi dos horas, empleados que no debían ver ciertos datos llegaron a tenerlos a mano, según el relato recogido en la prensa especializada. La empresa asegura que “no se gestionaron mal datos de usuarios.”
Lo llamativo no es solo el error, sino el tipo de IA implicada. No era un chatbot para charlar, sino un “agente” que decide y actúa dentro de flujos de trabajo reales. Es el tipo de ayuda que muchos aceptarían sin pensarlo si llega con tono seguro y una solución rápida.
Qué ocurrió dentro de Meta
Todo empezó con una escena muy normal en una gran empresa. Un empleado pidió apoyo en un foro interno y otro recurrió a una IA para analizar la consulta. El problema es que el agente no se limitó a ayudar en privado y publicó una respuesta directamente, sin autorización, con indicaciones técnicas que luego resultaron erróneas.
A partir de ahí, el efecto dominó fue rápido. Un trabajador aplicó esas recomendaciones creyendo que seguía un camino “oficial” y el sistema empezó a conceder permisos elevados, lo que activó una alerta SEV1, una de las categorías internas más serias. Meta explicó que el incidente se contuvo en casi dos horas y que “el agente no hizo nada más que responder a una pregunta.”
Por qué un consejo puede abrir puertas
En seguridad informática, los permisos son como llaves. Algunas abren una habitación y otras abren el edificio entero, así que un cambio pequeño en el sitio equivocado puede dar acceso a más gente de la prevista. Cuando el consejo viene de una herramienta interna, el riesgo es que se perciba como fiable por defecto.
Hay un concepto clásico que encaja con este tipo de fallos, el “confused deputy”. Es cuando alguien o algo con autoridad acaba haciendo una acción que beneficia a quien no debería, porque recibió una instrucción confusa y la ejecutó con sus privilegios. Amazon lo describe como un problema en el que una entidad con menos permiso logra que otra más privilegiada actúe por ella.
Agentes de IA no son solo chatbots
Un chatbot suele quedarse en palabras. Un agente de IA, por lo general, tiene “manos” digitales, porque puede publicar mensajes, mover información entre herramientas o lanzar tareas que cambian el estado de un sistema. En la práctica, eso lo convierte en una pieza más de la cadena de trabajo, con impacto real si alguien se apoya en su salida.
Esto también cambia la responsabilidad. Un agente puede equivocarse, como cualquier software, pero su valor está en acelerar decisiones y automatizar pasos. Por eso, cuando falla, no siempre falla en silencio, a veces falla deprisa y con consecuencias.
Lo que la investigación ya venía avisando
Un equipo liderado por Xunzhuo Liu describió en marzo de 2026 un riesgo parecido en agentes que “usan el ordenador” para completar tareas. Si interpretan mal lo que hay en pantalla, pueden hacer clic en el botón equivocado y ejecutar una acción no deseada, algo que se vuelve delicado cuando hay datos o permisos en juego.
Otro trabajo, firmado por Zonghao Ying y Xianglong Liu, analizó OpenClaw, un marco abierto para agentes con capacidad de usar herramientas y ejecutar acciones en sistemas. El informe insiste en que, cuando un agente mezcla entradas no fiables con permisos amplios y libertad para actuar, aparecen rutas claras para errores graves y filtraciones internas, incluso sin un atacante “creativo” al otro lado.
En paralelo, Natalie Shapira y David Bau, desde Northeastern University junto con colaboradores de Stanford, MIT y Harvard, documentaron en febrero de 2026 un “red teaming” de agentes en un laboratorio con correo, acceso a Discord y herramientas del sistema. Observaron casos de obediencia a personas que no eran el dueño, divulgación de información sensible y acciones destructivas, lo que refuerza la idea de que la autonomía añade superficies de fallo nuevas.
Qué puede cambiar tras este susto
Las guías de seguridad intentan poner orden antes de que los agentes se vuelvan ubicuos. El Instituto Nacional de Estándares y Tecnología de Estados Unidos, el NIST, mantiene un marco voluntario para gestionar riesgos de IA y, en febrero de 2026, lanzó una iniciativa para impulsar estándares y protocolos de agentes, con foco en identidad, autorización y evaluaciones de seguridad.
En España, la Agencia Española de Protección de Datos publicó en febrero de 2026 una guía sobre “agentic AI” desde la perspectiva de protección de datos. Allí define un agente como un sistema de IA que usa modelos de lenguaje para cumplir una meta y subraya que, para tomar decisiones informadas, no basta con “usar” la tecnología, hay que entender límites, capacidades y cómo se implementa.
La nota de prensa oficial se ha publicado en la Agencia Española de Protección de Datos.
