Checklist de Seguridad de Agentes IA

30 puntos de control en 6 categorías. Valida la seguridad de tu agente antes de producción.

0/27 completados · 0/10 críticos

⚠ 10 elemento(s) crítico(s) sin completar

El sistema prompt incluye instrucciones explícitas para ignorar órdenes del usuario que contradigan el rol definido
El contenido externo (emails, documentos, páginas web) se trata como datos, no como instrucciones
El agente no tiene acceso a datos más allá de lo estrictamente necesario para la tarea (principio de mínimo privilegio)
...y 7 más

🛡️ Prompt Injection

0/5

El sistema prompt incluye instrucciones explícitas para ignorar órdenes del usuario que contradigan el rol definidoCrítico

Sin esta protección el usuario puede redirigir el agente con instrucciones como 'ignora todo lo anterior'.

El contenido externo (emails, documentos, páginas web) se trata como datos, no como instruccionesCrítico

Los ataques indirectos de prompt injection embeben instrucciones en documentos que el agente procesa.

Se sanitiza o delimita explícitamente el contenido externo antes de insertarlo en el prompt

Usar etiquetas XML claras evita que el contenido externo sea interpretado como instrucciones.

Se realizan pruebas de adversarial inputs con intentos de jailbreak conocidos

Probar sistemáticamente los vectores de ataque más comunes antes de producción reduce la superficie de riesgo.

Las respuestas del modelo se validan antes de ejecutar acciones irreversibles

Una capa de validación entre la respuesta del LLM y la acción final previene ejecuciones no deseadas.

🔒 Protección de Datos

0/5

El agente no tiene acceso a datos más allá de lo estrictamente necesario para la tarea (principio de mínimo privilegio)Crítico

Limitar el scope de acceso reduce el impacto de cualquier vulnerabilidad o comportamiento inesperado.

Las credenciales, API keys y secrets no aparecen en el system prompt ni en el contexto enviado al LLMCrítico

El modelo puede reproducir en su output cualquier dato que recibe en el contexto.

Los datos PII (emails, teléfonos, DNI) se enmascaran antes de enviarlos al LLM si no son necesarios para la tareaCrítico

Los proveedores de LLM pueden usar datos para entrenamiento según sus políticas de uso.

Existe un mecanismo para que el agente detecte y rechace peticiones de revelar datos sensibles de otros usuarios

Sin esta protección un usuario puede intentar extraer información de otros a través del agente.

Los logs del agente no almacenan contenido del system prompt ni datos de usuario sin cifrado

Los logs son un vector de fuga de datos frecuentemente ignorado.

🔧 Seguridad de Herramientas

0/5

Cada herramienta tiene un scope de permisos definido y el agente no puede expandirlo dinámicamenteCrítico

Las herramientas son el principal vector de acción del agente sobre sistemas externos.

Las acciones irreversibles (borrar, enviar, transferir) requieren confirmación explícita antes de ejecutarseCrítico

Un agente que actúa sobre datos reales sin confirmación puede causar daños difíciles de revertir.

Existe un límite de llamadas por herramienta por sesión para prevenir bucles infinitos o abusos

Sin límites, un comportamiento inesperado puede generar miles de llamadas a APIs externas.

Los parámetros de las llamadas a herramientas se validan antes de la ejecución (no solo el schema)

El LLM puede generar parámetros válidos según el schema pero con valores inesperados o maliciosos.

El agente no tiene acceso a herramientas de administración del sistema (crear usuarios, cambiar permisos, etc.) en entornos de producción

El principio de mínimo privilegio aplica también al tipo de herramientas disponibles.

✅ Validación de Outputs

0/4

Las respuestas del agente se filtran para detectar y bloquear contenido dañino antes de enviarse al usuarioCrítico

El modelo puede generar contenido problemático aunque el system prompt lo instruya para no hacerlo.

El agente no puede revelar el contenido completo del system prompt aunque se le pida explícitamente

El system prompt puede contener información confidencial sobre la arquitectura o reglas del negocio.

El formato de output está validado cuando el agente genera datos que se insertan en bases de datos o se procesan programáticamente

Un output malformado puede causar inyecciones SQL o errores en sistemas downstream.

Existe una capa de moderación de contenido para detectar violaciones de política (PII, contenido ofensivo, etc.)

Las instrucciones de sistema pueden bypassearse — una capa de moderación independiente es la defensa complementaria.

🔑 Control de Acceso

0/4

Los usuarios están autenticados antes de interactuar con el agente si este tiene acceso a datos sensiblesCrítico

Sin autenticación cualquier usuario puede interactuar con el agente y potencialmente acceder a datos ajenos.

El agente puede verificar que el usuario tiene permiso para la acción que solicita (no solo que está autenticado)

La autenticación confirma quién eres; la autorización confirma qué puedes hacer.

Existe separación de contextos entre sesiones de diferentes usuarios (no se filtra información entre sesiones)

Un error en la gestión del contexto puede exponer conversaciones de otros usuarios.

El acceso al sistema del agente está protegido por rate limiting para prevenir ataques de fuerza bruta o DoS

Sin límites de tasa, un atacante puede explotar el sistema de forma masiva a bajo coste.

📊 Monitorización y Respuesta

0/4

Existe logging de todas las acciones del agente con suficiente detalle para auditoría post-incidenteCrítico

Sin logs, es imposible investigar qué pasó después de un incidente de seguridad.

Hay alertas configuradas para patrones anómalos (volumen inusual de herramienta, intentos de jailbreak detectados, etc.)

La detección proactiva permite respuesta antes de que el incidente se amplíe.

Existe un proceso documentado de respuesta a incidentes de seguridad del agente

Sin proceso definido, la respuesta en el momento de un incidente es caótica e inefectiva.

Se realizan revisiones periódicas del system prompt y los permisos del agente (mínimo trimestral)

Los sistemas crecen y los system prompts se quedan obsoletos; los riesgos evolucionan con el tiempo.

Diseño de agente

¿Quieres que revisemos la seguridad de tu agente en producción?

Arquitectura completa: system prompt optimizado, herramientas, memoria, guardrails y evals. Sistema documentado y testeado listo para producción.

Diseño de agente — desde 4.000 €