Las plataformas de automatización empresarial basadas en inteligencia artificial enfrentan una nueva clase de vulnerabilidad que los parches tradicionales no pueden eliminar completamente. Investigaciones recientes han expuesto grietas arquitectónicas en sistemas como Microsoft Copilot Studio y Salesforce Agentforce que permiten a atacantes secuestrar agentes autónomos para exfiltrar datos sensibles de clientes y operaciones empresariales. A diferencia de vulnerabilidades convencionales, estos ataques de inyección de prompts indirectos aprovechan la brecha fundamental entre cómo los agentes reciben instrucciones legítimas y cómo procesan entrada maliciosa sin contexto de seguridad.
El descubrimiento de vulnerabilidades como ShareLeak (CVE-2026-21520, CVSS 7.5) en Copilot Studio demuestra un patrón crítico: los agentes actúan como diputados confusos que no pueden distinguir inherentemente entre instrucciones de confianza y datos recuperados de fuentes no verificadas. En pruebas de concepto, atacantes inyectaron cargas maliciosas a través de formularios públicos de SharePoint, sobrescribiendo las instrucciones originales del agente e instruyéndolo para consultar listas de SharePoint, extraer datos de clientes y enviarlos por correo electrónico a direcciones controladas por atacantes. Lo más preocupante: los mecanismos de seguridad de Microsoft detectaron la solicitud como sospechosa, pero los datos se exfiltraron igualmente porque el email utilizó una acción legítima de Outlook que el sistema trató como operación autorizada. Las herramientas de prevención de pérdida de datos (DLP) nunca se activaron.
La industria de ERP enfrenta un desafío amplificado. Plataformas como SAP, Oracle, Odoo y Microsoft Dynamics están integrando agentes autónomos para automatizar procesos contables, gestión de inventarios, procesamiento de órdenes y análisis financiero. Estos agentes típicamente acceden a datos sensibles (información de clientes, transacciones bancarias, registros fiscales), reciben entrada de múltiples canales no verificados (portales de clientes, integraciones con terceros, formularios web) y comunican hacia afuera (generando reportes, ejecutando transferencias, enviando notificaciones). Esta combinación—datos privados + exposición a contenido no confiable + comunicación externa—constituye la tríada letal que hace que cualquier agente de producción sea potencialmente explotable. Un ataque exitoso en un agente ERP no significa solo robo de datos: significa que un atacante externo puede instruir al sistema a procesar transacciones falsas, modificar registros contables o desencadenar órdenes de compra no autorizadas.
Las investigaciones también revelaron ataques de crescendo multi-turno donde adversarios distribuyen cargas maliciosas a través de múltiples intercambios que individualmente parecen benignos. Cada turno pasa inspección, pero la amenaza solo deviene visible cuando se analiza como secuencia. Los firewalls de aplicación web (WAF) y herramientas de monitoreo tradicionales inspeccionan cada solicitud en aislamiento, sin visibilidad de la trayectoria semántica agregada. Para sistemas ERP especializados como Odoo—que permite automatización extensible mediante módulos Python—la vulnerabilidad se amplifica: agentes pueden razonar alrededor de guardrails de seguridad a nivel de archivo, encontrando rutas alternas hacia datos restringidos. Los equipos de ingeniería componen código propietario en LLMs públicos, envenenando modelos con lógica empresarial crítica que luego se despliega en agentes corporativos.
La falla fundamental no es una debilidad de codificación aislada sino arquitectónica: el modelo de seguridad existente—basado en reglas determinísticas, postura de configuración y parches reactivos—es insuficiente para sistemas que toman decisiones autónomas en tiempo real. Ni Microsoft ni Salesforce han asignado CVEs para todas las vulnerabilidades descubiertas (Salesforce aún no ha publicado un asesor formal para PipeLeak a pesar de pruebas que muestran exfiltración ilimitada de datos CRM). Los líderes de seguridad que dirigen implementaciones de agentes ERP heredan una nueva clase de vulnerabilidad que no puede eliminarse completamente mediante parches: solo puede contenerse mediante seguridad en tiempo de ejecución.
Para directores de tecnología e inversores en infraestructura empresarial, las implicaciones son profundas. Primero, exigir que cualquier proveedor ERP asignando agentes autónomos implemente guardias de intención—pequeños modelos de lenguaje entrenados que vetan cada llamada de herramienta antes de ejecutarse—no como complemento sino como control obligatorio. Segundo, reclasificar la inyección de prompts como riesgo de SaaS a nivel de clase, no como CVE individual: cualquier agente que acceda a datos privados, reciba entrada no verificada y comunique externamente requiere monitoreo de tiempo de ejecución estateful que rastree trayectorias semánticas completas, no turnos aislados. Tercero, auditar inmediatamente cada agente ERP deployado identificando qué datos puede acceder, qué fuentes no verificadas puede procesar y qué sistemas externos puede comunicar. Cuarto, implementar controles de defensa en profundidad: sanitización de entrada, restricciones de egreso, segmentación de privilegios por agente y análisis de intención en tiempo de ejecución. Quinto, briefing a juntas directivas: el riesgo de agentes comprometidos no es una cuestión técnica aislada sino un riesgo comercial sistémico equivalente a fraude interno.
