Los sistemas multiagente MAS suponen la evolución natural de la IA agéntica, a la que ya le dedicamos unapublicación, abordando también los retos de ciberseguridad que planteaba.
Con los MAS (Multi-Agent Systems) pasaríamos de las limitaciones inherentes al agente único en cuanto a alcance operativo, traducibles en una automatización restringida, a una inteligencia distribuida orientada a la consecución de objetivos complejos. Un salto significativo que convierte a los sistemas multiagente en una de las tecnologías a seguir en 2026, de acuerdo con Gartner.
¿Qué es un sistema multiagente?
Podemos definir un sistema multiagente (MAS) como un conjunto de agentes de IA autónomos que interactúan, cooperan y se coordinan para alcanzar un objetivo común, superando las limitaciones operativas propias del agente individual.
A diferencia del agente único, cuya capacidad de automatización se ve condicionada por su alcance cognitivo y funcional, un MAS se apoya en la conjunción de agentes especializados por función, a los que se asigna un objetivo global que se descompone en subobjetivos o subtareas. Este enfoque permite automatizar procesos más amplios y complejos, encadenados entre sí, sin depender de flujos rígidos o predefinidos, como los simples workflows automáticos o los RPA actuales, basados en reglas fijas y orientados a tareas repetitivas.
Para la consecución de su objetivo último, los agentes se intercomunican de manera autónoma y actúan conforme a mecanismos de coordinación y supervisión. Esto les permite repartirse el trabajo, contrastar resultados y ajustar la ejecución en función del contexto y de los hitos intermedios que van obteniendo.
Así, si un agente único muy avanzado puede planificar y ejecutar un conjunto de tareas, un sistema multiagente permite delegar funciones, coordinar acciones y supervisar la ejecución, lo que supone un importante salto cualitativo.
Los sistemas multiagente en el proceso evolutivo de la IA
Uno de los criterios que definirían una hipotética inteligencia artificial general futurible sería la capacidad de orquestar de manera autónoma otros sistemas IA para cumplir un determinado objetivo.
Por lo tanto, las tecnologías multiagente representarían un importante hito en el proceso evolutivo de la inteligencia artificial, estando además las capacidades agénticas acaparando el último ‘hype‘ en el ámbito de la IA, con productos estrella de lanzamiento reciente como Clawdbot y Claude Cowork.
El primero, Clawdbot, es un proyecto open source de agente persistente capaz de ejecutar acciones en sistemas y aplicaciones. Permite operar en local, integrándose con servicios de mensajería y correo, así como con servicios externos como gestores de tareas, herramientas de trabajo e incluso aplicaciones corporativas, aspecto este último bastante espinoso por motivos obvios.
No estaríamos ante un MAS propiamente dicho, pero ilustra el salto de responder simplemente, limitándose a generar outputs informativos, a actuar, ejecutando acciones concretas sobre sistemas y aplicaciones, lo que constituye el principio esencial sobre el que operan los sistemas agénticos.
Los riesgos de seguridad recién insinuados serían bastante evidentes, pues se estaría dando acceso profundo a sistemas y datos críticos, sin haberse desarrollado los correspondientes mecanismos de control y supervisión. Además, este tipo de agentes con permisos para operar sin restricción se pueden convertir en un codiciado vector de ataques potencialmente muy dañinos, como explicaremos en el siguiente apartado.
En cualquier caso, ya hablemos de productos más experimentales como Clawdbot o de ‘copilots agénticos’más controlados como Claude Cowork, sabemos que estos recursos se encuentran con cortapisas prácticas en las tareas del día a día que les impiden ser realmente autosuficientes y efectivos, pudiendo todavía atascarse en cuestiones tan simples como la superación de un captcha. Todo ello sin entrar en las lógicas restricciones a la hora de operar derivadas de la aplicación de medidas elementales de seguridad, que les impiden autenticarse, escalar privilegios o ejecutar determinadas acciones sin supervisión humana.
Con todo, pese a sus limitaciones y a tratarse más de recursos agénticos que multiagénticos, lo cierto es que estas herramientas ya prefiguran un ecosistema donde no hay una única IA operando, sino una constelación de agentes cooperando, suponiendo el verdadero salto cualitativo su orquestación para conseguir un objetivo general divisible en subtareas.
Desafíos a la seguridad que plantean los sistemas MAS
Los sistemas multiagente perfilan infinidad de beneficios para las organizaciones, comenzando por las posibilidades que brinda la automatización de procesos complejos de principio a fin.
Aunque los riesgos de seguridad resultan igualmente bastante evidentes. De hecho, muchos de los que ya vimos con los agentes autónomos individuales se multiplican con los sistemas multiagente, a resultas de la interacción y coordinación entre múltiples entidades autónomas.
Además, la lógica de cooperación, delegación y reparto de tareas introduce nuevos vectores de ataque y amplifica el impacto potencial de que se vea comprometido uno de los agentes, que podría:
- Actuar como punto de entrada al sistema, pudiéndose aprovechar sus credenciales, permisos o contexto operativo para iniciar una intrusión.
- Desplazarse lateralmente dentro del sistema, utilizando los canales de comunicación y la confianza implícita entre agentes para influir en otros componentes legítimos.
- Provocar una escalada de privilegios distribuida, solicitando o induciendo acciones a agentes con mayores permisos o acceso a sistemas más críticos.
- Manipular la interacción entre agentes mediante ataques adversarios, alterando decisiones globales a partir de instrucciones, datos o inferencias falsas compartidas dentro del sistema.
- Envenenar la toma de decisiones colectiva, introduciendo información sesgada o maliciosa que otros agentes asumen como válida en el proceso de coordinación.
También, más allá de los ataques orquestables mediante el compromiso de uno de los agentes, se pueden dar desde intrusiones encubiertas persistentes, manteniéndose accesos prolongados mediante agentes comprometidos que operan de forma aparentemente legítima, hasta el secuestro de flujos de trabajo automatizados (workflow hijacking), redirigiendo esos procesos complejos hacia objetivos fraudulentos, de exfiltración de información o de sabotaje operativo.
En realidad, la propia existencia de un sistema multiagente implica una expansión evidente de la superficie de ataque, ya que no solo cada agente, sino también cada canal de comunicación y cada mecanismo de coordinación se convierten en un nuevo punto de vulnerabilidad potencial, susceptible de transformarse en una brecha de seguridad.
Bajo este prisma, el perímetro de seguridad deja de ser estático y pasa a ser dinámico, distribuido y en constante interacción, lo que complica enormemente las labores de monitorización, detección y respuesta ante incidentes.
Además, si hablamos del uso de agentes basados en modelos open source como Clawdbot, entrenados o modificados sin controles adecuados, esto introduce unos evidentes riesgos adicionales, con consecuencias amplificadas por el aumento de los posibles vectores de ataque, allanando el camino a las intrusiones persistentes y a gran escala. Todo ello plantea retos importantes para la futura integración de este tipo de herramientas en las organizaciones, pues la ciberseguridad del ecosistema venidero de los MAS no podrá abordarse desde enfoques tradicionales, sino que exigirá estrategias con políticas y mecanismos de control y supervisión diseñados específicamente para arquitecturas basadas en sistemas multiagente, cuando todavía estos planes adaptados faltan en muchas empresas y organismos públicos incluso para el uso de la IA simple, antes siquiera de haberse incorporado de forma generalizada agentes autónomos individuales.