El ataque que secuestró Claude Code llegó a través de Sentry. Datadog, PagerDuty y Jira tienen la misma vulnerabilidad.
Compartir
Estás leyendo un resumen. El contenido completo está en venturebeat.com.
Un único informe de error falso secuestró Claude Code en pruebas controladas: el agente ejecutó el código del atacante con los privilegios completos del desarrollador, y no se activó ninguna alerta. EDR, WAF, IAM y el cortafuegos lo pasaron por alto por completo. La divulgación de "agentjacking" de Tenet Security de junio describe un único evento de error Sentry elaborado — enviado a través de una credencial pública que no requiere violación ni autenticación — que inyectó instrucciones del atacante en los datos de error que Claude Code, Cursor y Codex luego ejecutaron como salida de diagnóstico confiable. Tenet probó más de 100 objetivos en condiciones controladas y logró una tasa de éxito del 85%. Sentry llamó a la falla "técnicamente indefendible". La Cloud Security Alliance clasificó el agentjacking como una clase de vulnerabilidad MCP sistémica dentro de días de la divulgación. No se robaron credenciales, no se violó ninguna política, no se vulneró ningún perímetro: cada paso en la cadena estaba autorizado. Ese es el problema. Tenet identificó 2,388 organizaciones con credenciales Sentry expuestas públicamente que podrían usarse para inyectar eventos maliciosos a gran escala. La investigación es una prueba de concepto, no una explotación confirmada en todas las 2,388. Pero un entorno de Claude Code capturado mantenía una clave de acceso secreta de AWS y URL de repositorios privados. Aquí está la prueba de alcance: Si sus agentes de codificación de IA están conectados a Sentry, Datadog, PagerDuty, Jira o cualquier fuente de datos conectada a MCP en la que confíen sus desarrolladores, y esos agentes pueden ejecutar comandos de shell, entonces su pila tiene el mismo punto ciego. Las organizaciones que ejecutan Sentry deben auditar todos los DSN expuestos públicamente de inmediato. La arquitectura de Sentry hace intencionalmente que las credenciales DSN sean públicas para la generación de informes de errores en el frontend, por lo que la mitigación no es revocar el DSN, sino restringir lo que los agentes pueden hacer con los datos que esos DSN devuelven. Por qué su pila no puede verlo El agentjacking funciona porque cada paso está autorizado: el atacante envía una llamada API válida de Sentry usando un DSN público, el servidor MCP devuelve el evento inyectado como salida auténtica, y el agente ejecuta la instrucción utilizando los privilegios del desarrollador. No se activó ninguna firma. La víctima vio solo diagnósticos benignos mientras el agente exponía silenciosamente credenciales de la nube y tokens de control de versiones. Los equipos SOC nunca han necesitado distinguir entre un desarrollador ejecutando un npm install y un agente ejecutando ese comando en respuesta a un evento de error malicioso. Esa distinción no existía hasta que los agentes de codificación de IA se convirtieron en herramientas de producción. La pila que no puede manejarlo es la pila que el agentjacking elude. Cinco encuestas, un patrón Cinco encuestas independientes de la primera mitad de 2026 encontraron que las empresas confían en sus agentes de IA mucho más de lo que su cumplimiento justifica. Solo el 34% de las organizaciones aplican los mismos controles de seguridad a los agentes de IA que a los humanos, según una encuesta de Okta/Apprize360 de 292 ejecutivos y 492 trabajadores del conocimiento. El cincuenta y dos por ciento de los empleados utilizan herramientas de IA no aprobadas, y el 58% de los ejecutivos informaron un incidente relacionado con la IA o un cerca de incidente en el año anterior. El informe sobre el panorama de amenazas de IA de HiddenLayer 2026 encuestó a 250 líderes de TI y seguridad: el 33% informó que los agentes ya habían excedido el alcance previsto, y el 31% no pudo confirmar si habían experimentado una violación de IA. Uno de cada ocho incidentes de violación de IA estaba vinculado a sistemas de agentes. La encuesta de Gravitee de más de 900 ejecutivos y profesionales encontró que solo el 14.4% de los agentes se activaron con aprobación total de seguridad, y el 88% informaron incidentes confirmados o sospechosos. Un seguimiento de 750 líderes en abril encontró que las instancias de agentes se habían duplicado mientras la supervisión apenas se movió. La brecha de ejecución que nadie cerró “Asegurar agentes se parece mucho a asegurar usuarios altamente privilegiados”, dijo Elia Zaitsev, CTO de CrowdStrike, en una entrevista con VentureBeat. “Tienen identidades, acceso a sistemas subyacentes, razonan, toman acción”. Zaitsev señaló la brecha que la industria dejó abierta. “Nadie ha estado hablando de asegurar agentes en tiempo de ejecución. Estamos haciendo eso ahora. ¿Cuál es su red de seguridad? Si todos estos controles fallan, ¿cómo evita que fallen silenciosamente?” Los datos de la flota de CrowdStrike cuantifican la exposición: más de 1,800 aplicaciones de agentes en endpoints empresariales, aproximadamente 160 millones de instancias bajo monitoreo. El 15 de junio, CrowdStrike envió Continuous Identity para Agentes de IA en Identiverse, reemplazando políticas estáticas con aplicación continua que autoriza cada acción del agente en tiempo real. La clase de control que refleja ese anuncio — autorización continua a nivel de acción con identidad de agente verificable — es ahora un criterio de adquisición base independientemente del proveedor. “La gente se ha olvidado un poco de la seguridad en tiempo de ejecución”, dijo Zaitsev. “Hicimos esto con endpoints, virtualización y nube. La gente se centró en corregir vulnerabilidades, restringir permisos. De alguna manera, siempre parecen perder algo. La red de seguridad es la ejecución”. Zaitsev fue igualmente directo sobre los enfoques de sandbox. “Si comienzas con un agente en una sandbox que no tiene la capacidad de tocar nada, es inútil. Muy rápidamente, estás en esta carrera de darle más capacidades. ¿Y entonces, cuál es el sentido de tu sandbox?” Los agentes derivan su valor del acceso. Cada concesión de acceso es una superficie de ataque. La brecha de gobernanza es un problema de presupuesto Kayne McGladrey, miembro senior del IEEE, describió el reto estructural en una entrevista exclusiva con VentureBeat. “El CISO no tiene el presupuesto. El CISO no tiene el personal. Podemos observar riesgos, podemos asesorar sobre riesgos empresariales, pero no somos dueños de los sistemas empresariales afectados por esos riesgos”, dijo McGladrey. Cuando la gobernanza de agentes abarca seis presupuestos departamentales, ningún ejecutivo individual puede confirmar si los agentes reciben las mismas revisiones de acceso que los humanos. La encuesta de Okta cuantifica la desconexión. Solo el 43% de los trabajadores dicen que las políticas de agentes son claras, en comparación con el 65% de los ejecutivos, y casi dos tercios aplican controles más débiles a los agentes que a los humanos. Las personas que implementan agentes a diario no reconocen la postura de gobernanza que su liderazgo afirma haber construido. Assaf Keren, director de seguridad de Qualtrics y ex CISO de PayPal, lo expresó claramente. “El verdadero riesgo no comienza con la implementación de sistemas de IA. Es el hecho de que la arquitectura básica no está bien establecida. Cuando ponemos un sistema de IA sobre algo que no está bien arquitectado, estamos acelerando las fracturas.” Keren llamó a la analítica de comportamiento en tiempo de ejecución “un problema sin resolver en este momento.” La prueba de brecha de cinco preguntas La prueba de brecha de cinco preguntas se basa en cinco encuestas de la primera mitad de 2026. Cada pregunta se relaciona con una brecha que el agentjacking explota. Realiza esto antes de cualquier evaluación de proveedores del tercer trimestre. Brecha a probar La prueba Qué interrumpe la acción del lunes Fuentes / muestra 1. Inventario de agentes. ¿Qué porcentaje de agentes, conexiones MCP y automatizaciones LLM completaron la revisión de seguridad antes de su implementación? El 14.4% obtiene la aprobación total de seguridad/TI antes de activarse. El 52% de los empleados utiliza herramientas de IA no aprobadas. La empresa promedio ahora gestiona más de 37 agentes desplegados, aproximadamente el doble desde el cuarto trimestre de 2025. Los agentes no aprobados son invisibles para su plataforma de identidad y no son responsables en una divulgación de violación. El agentjacking apunta exactamente a estas conexiones MCP no gestionadas. Sin un censo no hay rastro de auditoría para la respuesta regulatoria. Encarga un censo completo de agentes, servidores MCP y automatización LLM. Haz que la finalización del censo sea una puerta de entrada a la adquisición para todas las evaluaciones de proveedores del tercer trimestre. Marca cualquier agente descubierto después del censo como un incidente de IA en la sombra. Gravitee Estado de Seguridad de Agentes de IA 2026, más de 900 encuestados (febrero de 2026); actualización de Gravitee abril de 2026, 750 líderes tecnológicos senior; Okta/Apprize360, 292 ejecutivos + 492 trabajadores (junio de 2026) 2. Paridad de controles. ¿Reciben los agentes las mismas revisiones de acceso, alcance de privilegios y plazos de revocación que los empleados humanos? El 34% aplica siempre los mismos controles a los agentes que a los humanos. El 61% de los accesos privilegiados se cumplieron sin la revisión adecuada. Solo el 22% trata a los agentes como entidades independientes portadoras de identidad. Un agente con un token de OAuth estático y sin ciclo de revisión es una cuenta privilegiada permanente sin fecha de terminación. El agentjacking hereda los privilegios que posea el desarrollador. El 45.6% de las organizaciones dependen de claves API compartidas para la autenticación de agente a agente. Agrega cada agente de producción al próximo ciclo de revisión de acceso. Obliga a que haya un humano en el proceso para cualquier acción del agente que toque PII, datos financieros o infraestructura de producción. Reemplaza las claves API compartidas con tokens de ámbito corto y efímeros. Okta/Apprize360 (784 encuestados, junio de 2026); Palo Alto Networks (2,930 encuestados); Gravitee (900+, datos de claves API compartidas) 3. Desviación de alcance. ¿Alguno de los agentes ha accedido a datos o sistemas más allá de su alcance definido en los últimos 12 meses? El 33% informa que los agentes ya excedieron su alcance. El 53% dice que los agentes exceden permisos ocasionalmente o a veces. Meta Sev 1, marzo de 2026: un agente publicó datos sensibles en un canal no autorizado. Solo el 8% dice que los agentes nunca exceden permisos previstos. La desviación de alcance activa eventos reportables bajo GDPR, CCPA, HIPAA y las reglas de ciberseguridad de la SEC. Si la detección no puede distinguir el acceso iniciado por un agente del acceso iniciado por un humano, los plazos de divulgación son inalcanzables. Los subagentes generados por agentes (el 25.5% de los agentes desplegados puede crear otros agentes) hacen que las pistas de auditoría sean algebraicamente intratables. Realiza una auditoría de desviación de alcance de 90 días en cada agente de producción. Compara los recursos reales tocados con la documentación de alcance aprobada. Bloquea la delegación de agente a agente sin la aprobación humana explícita para cualquier acción que exceda el alcance del agente principal. HiddenLayer Informe sobre el Panorama de Amenazas de IA 2026 (250 líderes de TI/seguridad); Encuesta de Seguridad de Agentes de IA de CSA (datos de violaciones de alcance); Gravitee (datos de generación de agentes) 4. Brecha de percepción de gobernanza. ¿Dirían 50 trabajadores del conocimiento que sus políticas de agentes de IA son claras? Brecha de 22 puntos: el 65% de los ejecutivos dicen que las políticas son claras, el 43% de los trabajadores están de acuerdo. El 77% de los equipos de seguridad ve el riesgo de IA en la sombra pero carece de visibilidad para actuar. El 76% cita la IA en la sombra como un problema definitivo o probable. Estás evaluando proveedores en función de una postura de gobernanza que tu fuerza laboral no reconoce. Cada agente en la sombra socava la comparación de proveedores. Los trabajadores del conocimiento comparten mensajes internos (54%), datos de RRHH (45%) y documentos confidenciales (39%) con herramientas de IA no aprobadas. Encuesta de una pregunta antes de tu próxima demostración de proveedor. Si la brecha supera los 15 puntos, detén la adquisición. Publica una política interna de uso aceptable de agentes de IA con ejemplos específicos de comportamientos de agentes aprobados y prohibidos. Okta/Apprize360 (784 encuestados, junio de 2026); Informe de Madurez de IA 2026 de Ivanti (1,200 encuestados); HiddenLayer (datos sobre IA en la sombra) 5. Certeza de detección de violaciones. ¿Puede su equipo de seguridad confirmar si experimentó una violación relacionada con IA en los últimos 12 meses? El 31% no puede responder. El 88% informó incidentes de seguridad de agentes de IA confirmados o sospechosos. Uno de cada ocho incidentes de violación de IA ahora está vinculado a sistemas de agentes. El agentjacking demostró que EDR, WAF, IAM y cortafuegos pasan un ataque mediado por agentes sin una sola alerta. Sin base para los plazos de divulgación. Sin cadena de evidencia para la respuesta a incidentes. Sin una posición defendible en una investigación regulatoria. Las obligaciones de cumplimiento de alto riesgo de la Ley de IA de la UE entran en vigor el 2 de agosto de 2026. Requiere detección en tiempo de ejecución específica para agentes como un requisito previo para la adquisición. Confirma que tu organización puede distinguir las acciones iniciadas por agentes de las acciones iniciadas por humanos en la telemetría de producción. Prueba la capacidad de tu SOC para atribuir una acción específica a un agente específico dentro de los 60 minutos. HiddenLayer (250 líderes de TI/seguridad); Gravitee (más de 900, tasa de incidentes); Tenet Security (2,388 organizaciones expuestas); CSA (clasificación de vulnerabilidad MCP sistémica) Plan de acción del director de seguridad Las obligaciones de cumplimiento de alto riesgo de la Ley de IA de la UE entran en vigor el 2 de agosto de 2026. Vale la pena considerarlo en las líneas de tiempo de planificación del tercer trimestre. Realiza la prueba de brecha de cinco preguntas anterior antes de cualquier evaluación de proveedores del tercer trimestre: no cuesta nada administrarla, y la claridad de adquisición que crea vale mucho más que los 30 minutos que toma. Considera la posibilidad de exigir detección en tiempo de ejecución específica para agentes. Si tu pila no puede discernir lo que hizo un agente de lo que hizo un desarrollador, el agentjacking la eludirá de la misma manera que eludió cada capa en las pruebas de Tenet. Esa distinción es la que importa ahora. Trata a cada agente como un interno privilegiado. Según la encuesta de Okta/Apprize360, solo el 34% de las organizaciones aplican los mismos controles a los agentes que a los humanos; cerrar esa brecha es lo más impactante que la mayoría de los equipos de seguridad pueden hacer este trimestre. Prueba la brecha de percepción antes de invertir en nuevas herramientas. Una pregunta a 50 trabajadores del conocimiento. ¿Conoces las políticas de agentes de IA de tu empresa? Si la brecha entre su respuesta y la respuesta del liderazgo supera los 15 puntos, ese es el problema que debes resolver primero. Ningún producto de proveedor soluciona una postura de gobernanza que tu propia fuerza laboral no reconoce. Haz que la finalización del censo de agentes sea una puerta de entrada a la adquisición: cada agente, cada conexión MCP. Los equipos de seguridad que están haciendo bien esto son los que comenzaron con un inventario completo y trabajaron hacia adelante a partir de ahí. El agentjacking eliminó una suposición que ha sobrevivido en cada arquitectura de seguridad desde que se activó el primer cortafuegos. Autorizado no significa seguro. Cuando cada paso en la cadena es legítimo, la única defensa que importa es la que observa lo que hacen los agentes. No lo que dicen las políticas. Lo que hacen los agentes.
Enlace externo a venturebeat.com
Artículos relacionados
startup
Uber detiene los planes para lanzar la entrega de comida en cinco de los siete países europeos que había señalado para expansión mientras persigue una adquisición de Delivery Hero.
startup
India emite un aviso a Telegram, pidiéndole que frene la difusión de películas piratas y otro contenido protegido por derechos de autor, y solicita un informe de acciones tomadas en un plazo de 15 días.
startup
