← Volver a todos los artículos
Retos

No verificas al agente. Verificas a la persona una vez. Eso es bitid.

Por Marc Molas·10 de julio de 2026·9 min de lectura

Hace un par de semanas cerré una serie de tres partes sobre identidad agéntica con una promesa que no suelo hacer en público: os dije que estaba construyendo aquello que describía, no solo esbozándolo, y que pronto os enseñaría cómo era de verdad.

Este es ese post. La cosa tiene nombre — bitid — y una casa pública en bitid.net.

Quiero ser tan honesto aquí como lo fui en la serie, porque en este rincón del sector la retórica va caliente y prefiero quedarme corto. bitid no es una red viva sobre la que puedas operar hoy. Lo que hemos publicado es una especificación de protocolo congelada y los cimientos de la cadena que la ejecuta. El diseño está cerrado; la construcción, en marcha. Es exactamente el punto donde dije que estaba, y no lo voy a pintar como más que eso.

Pero el diseño es la parte difícil, y el diseño está hecho. Dejadme enseñaros en qué se ha convertido el boceto.

Toda la idea, en una frase que entiende quien no es ingeniero

Quitadle la criptografía y bitid es un solo movimiento: demuestras un hecho sobre ti sin entregar el documento donde vive ese hecho.

Hoy, demostrar algo pequeño — que eres mayor de edad, que tienes un permiso válido, que eres un cliente real — significa entregar el pasaporte entero a un sitio web más y confiar en que no lo filtre. Cada verificación genera una copia nueva de tu identidad en una base de datos ajena, esperando a que la vulneren.

bitid le da la vuelta. Te verificas una vez, con un emisor de confianza — como te comprueba hoy un banco. A partir de ahí tienes una credencial que solo controlas tú, y cuando un sitio pregunta «¿eres mayor de edad?», tu credencial responde — criptográficamente, en segundos — sin revelar tu nombre, tu fecha de nacimiento ni qué documento lo decía. La frase que elegimos lo dice en tres verbos: verifica una vez, demuestra lo que haga falta, no reveles nada.

Ningún dato personal toca jamás la cadena. El registro lleva emisores aprobados, compromisos de estado, staking y gobernanza — nunca una base de datos de personas. Esa última parte importa más de lo que parece, y es lo que permite que el mismo diseño sostenga a los agentes.

La misma maquinaria, dada la vuelta, resuelve el problema de los agentes

El nudo que no me quitaba de la cabeza en la serie era este: para hacer responsable a un agente de IA, todo el mundo le engancha una identidad real — y en el momento en que lo haces, has construido vigilancia. Responsabilidad o privacidad, elige una.

La inversión que propuse en el tercer post era dejar de enganchar la identidad al agente. Verifica a la persona una vez, y deja que solo el hecho de esa verificación fluya hacia cada agente que despliega — nunca la identidad de detrás.

Ya no es un boceto. En bitid, una persona hace el KYC una vez, y después acuña tantas credenciales de agente como quiera, una por agente. Cada agente puede demostrar exactamente una cosa: «Me opera un humano verificado por KYC y responsable, con grado de garantía ≥ G, actuando dentro del alcance delegado S, y no estoy revocado.» No qué humano. Solo que hay uno, que es real y responsable, y que responde por este agente. El agente demuestra que tiene a alguien detrás. Nunca demuestra identidad, porque nunca la lleva. Tus agentes heredan la confianza que estableciste una sola vez — y ningún par de ellos puede volver a ligarse en un perfil.

Los tres invariantes se han convertido en tres mecanismos

En la serie nombré tres propiedades que dije que nunca rompería por comodidad. Vale la pena enseñaros que cada una es ahora una parte concreta del protocolo, no una declaración de valores.

El respaldo es demostrable; la identidad, no. La garantía se gradúa A1–A4, y solo un compromiso es público. Un verificador recibe una prueba de umbral — «grado ≥ A3, sí» — sin llegar a saber el grado exacto, y menos aún la persona. La presentación es una prueba de conocimiento cero con divulgación selectiva: responde el predicado que el tercero necesita de verdad y no revela nada más.

Los agentes de un operador son no enlazables. Nada en una presentación liga dos de tus agentes. Un tercero no puede correlacionar tu flota en silencio, porque no hay ningún identificador compartido sobre el que correlacionar.

El único hilo que vuelve a la persona vive en depósito, abrible solo bajo el debido proceso. Y eso me lleva a la parte que más me importa.

La responsabilidad tiene que ser cobrable, no solo demostrable

Lo aprendí observando cómo se resuelven de verdad las disputas: quien ha salido perjudicado no quiere un nombre meses después de un pleito transfronterizo. Quiere recuperar su dinero, rápido. Una responsabilidad demostrable pero no pagable no desbloquea nada de alto valor.

Por eso en bitid un agente puede llevar recurso financiado — la prueba de que hay una cantidad real y acotada de dinero detrás, demostrable como una franja («al menos este importe es recuperable») sin exponer la cifra exacta ni la cuenta. Eso convierte la responsabilidad en una escalera en lugar de un solo precipicio:

  1. Primero, el dinero lo resuelve. La mayoría de disputas se pagan del recurso depositado bajo un proceso publicado. Se carga al titular, y no se revela ninguna identidad a nadie.
  2. Después, una señal mínima de fraude. Si un árbitro independiente encuentra fraude real, se comparte una pequeña marca legible por máquina — suficiente para actuar, nunca un nombre ni un documento.
  3. La identidad es el último recurso. Solo un daño grave o una obligación legal desenmascara a la persona, decidido por un árbitro bajo el debido proceso y liberado por el emisor. Nunca comprado con un pago.

La responsabilidad financiada acaba protegiendo más a la persona, no menos, porque resuelve los casos ordinarios con dinero en lugar de con un nombre.

Nadie posee la raíz — esa era la línea roja

El dinero fácil de esta idea es un servicio centralizado de identidad de agentes que alquilas a un único proveedor. Para una economía de agentes abierta y entre organizaciones, eso no es viable, y lo dije claro en la serie. Un tercero sobre la infraestructura de otra empresa tiene que poder verificar una prueba sin llamar a la API privada del emisor y sin confiar en que una sola corporación no extraiga renta, no censure ni la vulneren.

Por eso bitid es su propia Layer-1 soberana y permissionless de prueba de participación — token, conjunto de validadores, reglas de consenso y gobernanza propios desde el lanzamiento, construida sobre Cosmos SDK y CometBFT en lugar de reinventar el consenso. La raíz neutral compra las dos cosas que el estudio de la OpenID Foundation marcaba como no resueltas: revocación global rápida — una raíz de estado firmada, republicada cada 30 segundos, con raíces de emergencia inmediatas, de modo que una credencial anulada deja de verificar en segundos en todas partes — y un interruptor por agente, para que un agente comprometido caiga sin llevarse por delante al titular ni a sus hermanos. Un titular incluso puede revocar su propia credencial sin el emisor.

La propiedad que hace que escale es casi aburrida, y es la que más importa: un agente no es más que un titular de credencial. No hay ningún registro por agente en un padrón central que enumerar, vulnerar o inflar. La cadena lleva un puñado de raíces de estado de emisores; los agentes viven al margen, demostrados contra esas raíces, nunca inscritos en ellas. El estado crece con los emisores y los verificadores — nunca con el número de titulares. Eso es lo que permite que el diseño se estire hasta una población de agentes mayor que la humana, que es exactamente el mundo para el que se están preparando los organismos de estándares.

La frontera de lenguaje es la frontera de seguridad

Una decisión que querría que un colega ingeniero conociera, porque no está en la copia de marketing: en bitid, la frontera de lenguaje es la frontera de seguridad. La lógica visible al consenso es Go. El núcleo de credenciales anónimas y pruebas de conocimiento cero es Rust. La simulación y las pruebas de carga son Python — y Python no toca jamás un camino de consenso ni criptografía de producción. Ninguna red, reloj, aleatoriedad ni FFI corre dentro de la ejecución de un bloque. El determinismo no es una esperanza que auditas más tarde; lo impone el lugar donde el código tiene permitido vivir. Es la clase de decisión que tomas después de haber visto una dependencia no determinista tumbar un clúster a las tres de la madrugada.

Dónde voy con cuidado

Dejadme marcar los límites, igual que en la serie. Custodiar dinero ajeno significa un custodio con licencia y afianzado, cuentas segregadas, comprobaciones antiblanqueo y un tratamiento honesto de la reversibilidad — los fondos ingresados con un instrumento de pago cotidiano se pueden reclamar durante meses, así que el recurso que respaldan no se puede tratar como definitivo el primer día. Cualquier manera de baja fricción de incorporar a un humano deprisa es, por definición, de baja garantía, y hay que graduarla como tal, no disfrazarla de más. Nada de esto es motivo para que no se pueda construir. Es el motivo por el que hay que construirla con cuidado, con el marco legal al lado del protocolo y no arrastrándose por detrás. Por eso la especificación está congelada antes de que la cadena esté acabada, y no al revés.

Qué haría este trimestre si despliegas agentes

  1. Deja de reutilizar los tokens de la persona. Si tu agente actúa con tu sesión de OAuth, los servicios de destino no os pueden distinguir. Dale a cada agente su propia credencial ya, aunque sea rudimentaria.
  2. Separa «quién hay detrás» de «qué puede hacer». Identidad y alcance son preguntas distintas; enlaza el alcance dentro de la credencial para que un agente no pueda concederse más poder en silencio. Escribí la pieza complementaria sobre acotar qué tiene permitido hacer un agente.
  3. Diseña la revocación antes de necesitarla. Asume que un agente se va a comprometer. ¿Puedes matarlo en segundos sin tumbar al resto? Si no, es lo primero que hay que arreglar.
  4. Mira los estándares, no a los proveedores. A2A, MCP, OpenID4VCI/VP, AP2 — los rails se están poniendo ahora mismo. bitid está hecho para circular por ellos, no para reemplazarlos, y deberías exigir el mismo test a cualquiera de este ámbito.

El hilo conductor

Todo se reduce a una línea que rondo desde el primer post: el agente es autónomo, pero la responsabilidad no puede serlo. Detrás de cada flota hay un humano real y responsable — y todo el juego consiste en demostrar ese hecho a quien lo necesite sin exponer a la persona ante nadie. Verifica a la persona una vez. Deja que la responsabilidad viaje hacia todo lo que despliega. Mantén el único hilo que vuelve a su identidad cerrado bajo el debido proceso, donde una filtración no llega y un vendedor no lo puede comprar.

Dije que os enseñaría cómo era esto cuando dejara de ser un boceto. Se llama bitid, la especificación está congelada, y está en bitid.net. Id a leerla, decidme en qué me equivoco — y si estáis lidiando con la identidad de agentes dentro de vuestros sistemas, venid a hablar con un CTO que lo está construyendo.

¿Listo para construir tu equipo de ingeniería?

Habla con un partner técnico y despliega ingenieros validados por CTOs en 72 horas.