Según las previsiones de Gartner, a finales de 2026, el 40% de las aplicaciones empresariales integrarán agentes de IA específicos para cada tarea, frente a menos del 5% en 2025.

En este contexto, una de las áreas más prometedoras es la ciberseguridad. No solo porque la ciberseguridad es por naturaleza un dominio altamente operativo, sino también porque se presta perfectamente a una lógica multi-agente.

Arquitecturas multi-agente: la última frontera de la automatización

Las arquitecturas multi-agente representan el paso más maduro que la IA ha dado hasta ahora dentro de los procesos empresariales. Más que una secuencia de tecnologías, este recorrido puede interpretarse como un incremento progresivo de la autonomía operativa.

Automatización de tareas individuales

En una fase inicial, la IA se utilizó para mejorar funciones específicas, como el reconocimiento de patrones y el análisis de datos, sin intervenir directamente en los procesos.

Soporte avanzado a la toma de decisiones

Con la introducción de modelos más avanzados, la IA comenzó a apoyar actividades complejas como la interpretación de información, la síntesis y la generación de contenido, asistiendo a los operadores en los flujos de trabajo.

Autonomía operativa multi-agente

El siguiente paso lo representan sistemas capaces no solo de apoyar, sino también de actuar. Ya no un único motor central, sino una red de agentes especializados que colaboran, se coordinan y contribuyen dinámicamente a la ejecución de los procesos.

Esta última evolución responde a una limitación estructural de los modelos monolíticos. Un sistema único tiende a ser difícil de controlar, probar y gobernar, especialmente en contextos complejos. En una arquitectura multi-agente, en cambio, cada sistema es responsable de una función específica —como la recogida de datos, el análisis, el enriquecimiento y el soporte a la decisión—, operando dentro de límites definidos. Como resultado, el sistema se vuelve más eficiente, transparente y fácil de gobernar, además de más escalable con el tiempo.

Una característica clave de los Agentes de IA es su capacidad de intercambiar información y activarse secuencialmente o en paralelo según flujos de trabajo orquestados. El resultado es un sistema modular en el que cada componente puede actualizarse, reemplazarse o controlarse de forma independiente, sin un potencial punto único de fragilidad.

Los agentes de IA, la nueva apuesta en ciberseguridad

Las arquitecturas agénticas están generando un fuerte interés en el mundo de la ciberseguridad porque abordan una tensión estructural: por un lado, el aumento continuo de amenazas, superficies de ataque y la complejidad de los entornos IT; por otro, la dificultad de los equipos de seguridad para gestionar el creciente volumen de alertas y actividades operativas con recursos limitados.

Los límites del enfoque tradicional

El modelo operativo de los Centros de Operaciones de Seguridad (SOC) se basa en una combinación de herramientas avanzadas (SIEM, EDR…), procesos bien definidos y múltiples actividades asignadas directamente a los analistas, incluyendo la correlación de eventos, el enriquecimiento de contexto y la validación de alertas generadas por las plataformas de prevención de amenazas.

La automatización existe y se apoya en reglas, playbooks operativos y herramientas dedicadas como las plataformas SOAR, pero es en gran medida determinista y limitada a escenarios conocidos. Automatizar acciones de remediación o mitigación requiere un nivel de confianza muy elevado, que generalmente aún no se otorga a las máquinas salvo en casos típicos y evidentes. Por lo tanto, una parte significativa de las operaciones y la toma de decisiones sigue en manos de los analistas, especialmente en situaciones ambiguas o de alto impacto.

Cuando el volumen y la complejidad aumentan, esto genera cuellos de botella y pone de manifiesto las limitaciones de escalabilidad: el sistema se sostiene mientras el equipo crece, pero tiene dificultades para mantener el ritmo de dinámicas cada vez más rápidas y amenazas que, aprovechando la misma IA, se vuelven más frecuentes, numerosas y sofisticadas.

Arquitecturas multi-agente: hacer la seguridad sostenible sin perder el control

Las arquitecturas multi-agente ofrecen un enfoque más cercano a la naturaleza real de las operaciones de seguridad, que son por definición iterativas y de múltiples pasos. Dividir el trabajo entre agentes especializados permite gestionar de forma más eficiente actividades como la recogida de datos, la correlación, el análisis y la respuesta, reduciendo los cuellos de botella operativos.

Para las empresas, el punto clave es que las arquitecturas agénticas no están diseñadas para mejorar la detección de amenazas, un área en la que ya existen desde hace mucho tiempo herramientas maduras y muy eficaces. Su valor reside en cambio en hacer sostenible todo el modelo operativo de seguridad.

Las arquitecturas multi-agente permiten aumentar la velocidad de decisión, automatizar actividades repetitivas y liberar el expertise humano, permitiéndole concentrarse en los casos más complejos.

Cómo funciona un sistema multi-agente: un flujo de trabajo en 4 pasos

El elemento central de un sistema multi-agente es el flujo de trabajo, es decir, el flujo operativo dinámico que puede adaptarse en función de lo que emerge a lo largo del proceso. Se trata por tanto de un flujo que evoluciona en tiempo real bajo el control de un supervisor que activa diferentes agentes en función de la situación. Cada organización puede modelar este flujo de trabajo según sus propias necesidades, pero pueden identificarse algunos pasos clave.

1. El proceso comienza con un evento de seguridad como una alerta generada por un endpoint o un entorno cloud. Esta es una fase decisiva, pero también una de las más críticas: según los analistas, las principales ineficiencias se concentran aquí, debido al alto volumen de alertas y a la dificultad de distinguir rápidamente lo relevante de lo que no lo es. En esta fase, el sistema puede tomar y ejecutar decisiones, pero solo en los casos más evidentes. El objetivo es transformar un flujo caótico de señales en un conjunto manejable de eventos relevantes.

2. La orquestación entra entonces en juego como el punto de coordinación del sistema: analiza la naturaleza del evento y activa, caso por caso, los agentes más adecuados. Si el problema concierne a un endpoint, por ejemplo, se reconstruye la secuencia de actividades en el dispositivo; si en cambio involucra la red, se analizan el tráfico, las conexiones y las posibles comunicaciones externas anómalas. La diferencia respecto a los flujos tradicionales es que estas comprobaciones pueden ocurrir en paralelo, reduciendo los tiempos de análisis y adaptándolos a las necesidades de la ciberseguridad moderna.

3. Los resultados convergen entonces en una fase de síntesis y planificación, donde la plataforma construye una visión del incidente: qué ocurrió, cómo se desarrolló, cuál puede ser la causa y qué acciones están disponibles. En este punto, el sistema puede asignar una puntuación de riesgo y un nivel de fiabilidad, que son elementos clave para decidir el grado de autonomía del sistema.

4. La respuesta se gestiona por tanto de forma diferente según el caso. Las acciones de bajo impacto pueden ejecutarse automáticamente, mientras que las acciones más críticas siempre requieren un paso de human-in-the-loop para garantizar el control y la accountability adecuados.

El papel del analista en la seguridad agéntica

Al igual que en muchos ámbitos empresariales, las arquitecturas multi-agente no están destinadas a sustituir a los analistas o, en general, a los profesionales del SOC, pero inevitablemente acaban transformando su trabajo y redefiniendo su contribución dentro del modelo operativo.

Después de todo, la ciberseguridad es un dominio propicio para liberar a los profesionales de las actividades repetitivas, ya que una parte significativa de su tiempo es absorbida por el triage de alertas, la recogida y correlación de datos y la elaboración de informes. Con la automatización agéntica, estas actividades pueden ser gestionadas por el sistema, liberando los recursos cognitivos necesarios para hacer frente a las amenazas más sofisticadas.

Este cambio se traduce en asignar a los profesionales al menos cuatro responsabilidades:

1. Validación de decisiones
   La primera, ya mencionada, es sin duda la validación de decisiones: el sistema decide autónomamente solo los casos evidentes y se apoya en reglas bien definidas. En la gran mayoría de los casos, el sistema realiza el scoring de riesgo y proporciona recomendaciones justificadas, solicitando al analista que confirme o rechace las acciones propuestas. Como se ha mencionado, el enfoque human-in-the-loop sigue siendo esencial para garantizar el control y la accountability. 

2.  Gestión de casos complejos
   Cuando el sistema detecta ambigüedades o impactos potencialmente elevados, el caso se escala inmediatamente al analista. En este contexto, el papel del analista no es solo interpretativo, sino también de supervisión: validar hipótesis, decidir qué investigaciones adicionales activar y dirigir el trabajo de los agentes solicitando más análisis o limitando su alcance. En la práctica, el analista asume la propiedad del caso de principio a fin, aprovechando los agentes como asistentes operativos para acelerar las comprobaciones y construir una valoración sólida. 

3.  Configuración y mejora continua
   La tercera área es más estratégica: la configuración del sistema y la mejora continua. Los analistas contribuyen a definir los playbooks y los criterios de escalado. En otras palabras, no solo utilizan el sistema, sino que participan activamente en su evolución.

4.  Entrenamiento y ajuste de los agentes
   El analista contribuye a mejorar el sistema a través del feedback operativo, la corrección de errores y la optimización de respuestas. Su papel se asemeja al de un entrenador, ayudando a los agentes a volverse progresivamente más eficaces.

Este cambio también impacta en las competencias requeridas, ya que el analista se convierte cada vez más en una figura orientada a la gobernanza de la seguridad más que a la ejecución operativa. Deben ser capaces de interpretar contextos complejos, evaluar rápidamente el riesgo y tomar decisiones informadas basándose en evidencias (incluso) parciales.

Kirey: innovación y experiencia para hacer frente a amenazas sofisticadas

En Kirey, ayudamos a las empresas a construir un modelo de seguridad sólido y sostenible. Nuestro enfoque no se basa únicamente en la provisión de herramientas, expertise especializado y servicios gestionados, sino también en una fuerte orientación a la innovación, un elemento clave para mantener el ritmo de las estrategias cada vez más avanzadas de los atacantes.

Operamos en la frontera de la innovación también en el dominio cyber, una frontera que hoy coincide cada vez más con la automatización y modelos avanzados como las arquitecturas multi-agente. A pesar de esta tendencia, en nuestra visión el recorrido es gobernado, controlado y hecho fiable gracias a la experiencia y al expertise especializado de nuestros profesionales.

Contáctanos para descubrir cómo podemos apoyar a tu organización en la construcción de un modelo de seguridad capaz de afrontar los retos de hoy y de mañana.