Para limitar el acceso de un agente de IA a los datos de tu empresa se aplica el principio de mínimo privilegio: das al agente una identidad propia y le concedes acceso únicamente a la información que su tarea concreta necesita, segmentada por rol. La regla es conceder de menos y ampliar con justificación, no dar acceso global y filtrar después. En la práctica, el control empieza en el origen de los datos —permisos de SharePoint, carpetas, bases de datos— y se refuerza con control de acceso basado en roles (RBAC) y registro de cada consulta.
El error que vemos repetido en empresas que desplegaron agentes durante 2025 es siempre el mismo: por velocidad, dieron al agente acceso a todo el conocimiento corporativo. Funcionó en la demo y se quedó así. El problema es que un agente hereda todos los permisos a velocidad de máquina: un acceso que en un humano se diluye por el tiempo y la atención, en un agente se convierte en capacidad inmediata de leer, cruzar y exponer cualquier dato. Si una carpeta con nóminas o contratos está dentro de su alcance, tarde o temprano aparecerá en una respuesta.
Esta guía la firma Miguel Quílez, director de Hiberus Booster, la unidad del grupo Hiberus hiperespecializada en inteligencia artificial. Hiberus es la primera consultora tecnológica española de capital privado, con más de 4.000 profesionales. El contenido procede de proyectos reales de despliegue de agentes con acceso acotado en empresas españolas.
¿Por qué es peligroso dar acceso total a un agente de IA?
La intuición engaña: damos acceso amplio a empleados de confianza y no pasa nada, así que asumimos que con un agente será igual. No lo es. Un humano con acceso a mil carpetas, en la práctica, consulta unas pocas por su tarea diaria y su atención es limitada. Un agente con ese mismo acceso puede leer y cruzar las mil en segundos, e incluirlas en cualquier respuesta a cualquier usuario que lo invoque.
Esto convierte un permiso heredado en una superficie de exposición real. El acceso total también amplifica otros riesgos: un ataque de prompt injection sobre un agente con acceso amplio puede exfiltrar mucho más, y una alucinación puede mezclar datos confidenciales de un departamento en la respuesta a otro. Acotar el acceso no es solo cumplimiento: es reducir el radio de impacto de cualquier fallo.
¿Qué es el principio de mínimo privilegio aplicado a agentes de IA?
El mínimo privilegio es la regla de que un agente solo debe tener acceso a la información y las acciones estrictamente necesarias para su función, y nada más. No es un concepto nuevo —es un pilar clásico de la ciberseguridad— pero aplicarlo a agentes de IA exige traducirlo a perfiles de acceso por caso de uso.
| Tipo de agente | Debe acceder a | No debe acceder a |
|---|---|---|
| Agente de soporte al cliente | Base de conocimiento de producto, FAQs, histórico de tickets | Nóminas, datos financieros, contratos legales |
| Agente comercial | CRM, catálogo, propuestas comerciales | Información de RR. HH., código fuente, datos de otros clientes |
| Agente de desarrollo | Repositorio asignado, documentación técnica | Credenciales de producción, datos personales de clientes |
| Agente de RR. HH. | Políticas internas, FAQs de empleados | Expedientes individuales sin justificación y control reforzado |
Idea central: cada agente tiene un perfil de acceso atado a su tarea. La pregunta no es "¿qué le doy?", sino "¿qué es lo mínimo que necesita para hacer su trabajo?".
Cómo limitar el acceso paso a paso
Acotar el acceso de los agentes es un proceso de cuatro pasos que cualquier empresa mid-market puede ejecutar sin un gran proyecto previo.
1. Clasifica el conocimiento por sensibilidad
Separa la información en niveles: pública y operativa (segura para casi cualquier agente), interna sensible (datos personales, financieros, estratégicos) y crítica (credenciales, secretos). Esta clasificación es la base de todo lo demás.
2. Da a cada agente una identidad y un rol
Cada agente opera con identidad propia, no con las credenciales de un humano, y se le asigna un rol con permisos definidos. Esto permite conceder, revisar y revocar acceso sin afectar a personas.
3. Concede acceso por mínimo privilegio en el origen
Configura los permisos en la fuente de datos (SharePoint, carpetas, bases de datos, repositorios), no en una capa de filtrado posterior. Si el origen no expone el dato, el agente no puede verlo aunque alucine o sea atacado. Es la diferencia entre una puerta cerrada y un cartel de "no entrar".
4. Registra y revisa
Activa un audit log que registre cada consulta del agente y revisa los permisos al menos trimestralmente. Los accesos "temporales" tienden a quedarse; la revisión periódica detecta permisos huérfanos y agentes que acumularon acceso por encima de su tarea.
¿Cómo controlo qué ve un agente en Microsoft Copilot, SharePoint y Claude for Work?
La configuración concreta depende de la plataforma, pero el principio es común: el agente ve lo que el origen le permite ver. Por eso el control empieza por auditar los permisos de la fuente, no por confiar en la herramienta.
| Entorno | Dónde se controla el acceso | Recomendación |
|---|---|---|
| Microsoft 365 Copilot | Hereda los permisos de SharePoint y OneDrive del usuario que lo invoca | Auditar y corregir permisos de SharePoint antes de desplegar; usar Purview para etiquetado y DLP |
| SharePoint / OneDrive | Permisos por sitio, biblioteca y carpeta; herencia de permisos | Romper la herencia en carpetas sensibles; eliminar accesos "a toda la organización" innecesarios |
| Claude for Work / Enterprise | Acceso por equipo y por proyecto, con contexto acotado a lo cargado | Crear proyectos separados por caso de uso; no volcar todo el conocimiento en un único espacio |
El patrón de fallo más común con Microsoft 365 Copilot ilustra todo el problema: la empresa despliega Copilot, un empleado le pregunta algo inocente y el agente devuelve datos de una carpeta a la que ese empleado tenía acceso técnico pero nunca había mirado. Copilot no falló: expuso un problema de permisos que ya existía y que nadie veía porque ningún humano había recorrido todas esas carpetas. Acotar el acceso del agente obliga, de paso, a ordenar los permisos de la empresa.
Cómo encaja esto en la gobernanza y la seguridad de tus agentes
Limitar el acceso a datos es el control individual más efectivo, pero no opera solo. Es el pilar de acceso dentro de un marco más amplio de gobernanza de agentes de IA —que añade inventario, políticas y supervisión— y la primera línea de defensa de la seguridad de los agentes frente a fugas y prompt injection. Empezar por acotar el acceso es la decisión de mayor retorno: reduce el radio de impacto de casi cualquier otro fallo y suele ser el primer paso de un despliegue responsable.
Preguntas frecuentes
¿Cómo se limita el acceso de un agente de IA a los datos de la empresa?
Aplicando mínimo privilegio: el agente recibe una identidad propia y acceso únicamente a los datos que su tarea necesita, segmentados por rol. Se configura en el origen (permisos de SharePoint, carpetas, bases de datos) y se refuerza con RBAC, no dando acceso global y filtrando después.
¿Por qué es peligroso dar acceso total a un agente?
Porque hereda todos los permisos a velocidad de máquina y puede exponer información confidencial en cualquier respuesta. Un acceso total que en un humano se diluye por el tiempo, en un agente se convierte en capacidad inmediata de leer, cruzar y filtrar todo el conocimiento. Si una carpeta sensible está en su alcance, tarde o temprano la usará.
¿Qué es el principio de mínimo privilegio aplicado a agentes?
Es la regla de que un agente solo debe tener el acceso estrictamente necesario para su tarea. Un agente de soporte ve la base de conocimiento de soporte, no las nóminas; uno comercial ve el CRM, no los contratos legales. Cada agente tiene un perfil de acceso acotado a su función.
¿Cómo controlo qué ve un agente en Microsoft 365 Copilot?
Copilot respeta los permisos de SharePoint y OneDrive: ve lo que ve el usuario que lo invoca. El control empieza por revisar y corregir los permisos del origen. Purview permite etiquetar información sensible, aplicar DLP y auditar accesos. El error habitual es desplegar Copilot sobre un SharePoint con permisos demasiado abiertos.
¿Se puede dar acceso a un agente sin exponer datos sensibles?
Sí. La clave es segmentar el conocimiento por niveles de sensibilidad y conceder solo el nivel que la tarea requiere. Información pública y operativa: acceso directo. Datos personales, financieros o estratégicos: fuera del alcance salvo justificación y controles reforzados. La separación debe ser técnica, no una nota en un documento.
¿Cómo audito a qué datos ha accedido un agente?
Con un audit log que registre cada consulta, fuente y resultado de forma inmutable. Purview o los registros de nivel empresa de Claude for Work permiten trazar accesos. Sin registro de consumo no se puede investigar un incidente ni demostrar cumplimiento del AI Act, que exige trazabilidad a las empresas usuarias.
¿Cada cuánto debo revisar los permisos de mis agentes?
Como mínimo trimestralmente, y siempre que un agente cambie de función o se conecte a una fuente nueva. Los accesos "temporales" tienden a quedarse; una revisión periódica detecta permisos huérfanos, agentes con acceso por encima de su tarea y fuentes nuevas sin clasificar. Es parte del ciclo de gobernanza.
Acota el acceso de tus agentes con Hiberus Booster
Cuéntanos qué agentes tienes y a qué datos acceden, y un especialista te propone cómo aplicar mínimo privilegio en menos de 24 horas. Primera conversación gratuita, sin compromiso.
✓ ¡Recibido!
Gracias. Un especialista de Hiberus Booster te contacta en menos de 24 horas.
