← Volver a todos los artículos
Retos

(1/3) Ya no hay nadie al teclado

Por Marc Molas·21 de junio de 2026·9 min de lectura

Llevo unos días dándole muchas vueltas a la identidad —personal y pública, humana y sintética— y no he publicado nada para poder reservarme tiempo. Me he metido de lleno en un tema, leyendo especificaciones y borradores de protocolos, porque creo que está a punto de convertirse en uno de los problemas estructurales de nuestro campo y casi nadie fuera de un puñado de gente muy senior lo está explicando, en mi opinión, de manera clara y entendible.

El problema es este: todos los sistemas de identidad que hemos construido en las últimas tres décadas dan por hecho que hay una persona delante del teclado. Alguien inicia sesión. Alguien abre una pantalla de consentimiento. Alguien pulsa «aceptar» y, después, puede ser considerado responsable de lo que pase a continuación. La autenticación responde a quién eres, la autorización a qué puedes hacer, y el registro de auditoría a quién hizo esto. Las tres descansan en la misma premisa: que detrás de cada acción hay alguien. A los usuarios que se salían de ese «alguien» los hemos ido cubriendo con cuentas de servicio, artefactos varios y sistemas de permisos.

Los agentes rompen esa premisa y mezclan las acciones de las cuentas de servicio con las de los usuarios reales.

Los ingenieros de sistemas, entre otras cosas, gestionamos IAM, respuesta a incidentes y los guardrails que se interponen entre un servicio y aquello que tiene permiso para llamarlo. Así que cuando digo que el modelo actual no da de sí para cubrir a los agentes autónomos, no estoy haciendo una predicción. Digo que he ido a mirar por dónde se ve la costura, y el modelo ya se está descosiendo.

Un agente actúa con tus credenciales

Empecemos por el caso más sencillo, porque ya está en producción en todas partes. Le das a un asistente acceso a tu bandeja de entrada, a tu calendario, a tu repositorio. Por debajo, reutiliza tus tokens, tus cookies, tu sesión. Para cualquier servicio aguas abajo, el agente eres tú. Un grupo de trabajo de la OpenID Foundation lo explica con claridad en un paper que apunto al pie del post: los agentes «a menudo actúan de forma indistinguible de los usuarios, creando lagunas de responsabilidad y riesgos de seguridad».

Es el problema del confused deputy, salvo que ahora el delegado discurre, decide y sigue funcionando durante horas después de que te hayas levantado de la silla. Un cliente tradicional actúa sobre «entradas de usuario estructuradas y sin ambigüedad» —un clic en un botón, el envío de un formulario, una concesión de intención clara y auditable—. Un agente interpreta instrucciones sin estructurar, un hilo de correo reenviado, una captura de pantalla, y decide qué hacer en tiempo de inferencia. La señal de consentimiento explícita y legible por máquina sobre la que se construyó todo el mundo de OAuth ha desaparecido. Lo que queda es software actuando con toda tu autoridad pero sin tu criterio, y un registro que no os sabe distinguir al uno del otro.

Cualquiera puede lanzar un cliente anónimo

Una capa por debajo, miras cómo obtienen los agentes su identidad en primer término, y el problema es aún más preocupante. El Model Context Protocol —el estándar de conexión sobre el que ha convergido la mayoría del tooling de agentes— se apoyó en Dynamic Client Registration para no tener fricción: cualquier cliente puede registrarse en un servidor y obtener credenciales, sin papeleo. Cómodo, y un agujero de seguridad por el que cabe un regimiento. Como lo describe el paper de OpenID, «un endpoint de registro público y sin autenticar permite crear clientes sin ningún vínculo con un desarrollador real… una ausencia total de rastro documental», abierto al «abuso del endpoint (p. ej., DoS por registro masivo)».

La población de agentes está explotando, y buena parte de ella es anónima por construcción. No hay ninguna parte responsable al otro lado de la credencial. Cuando uno de esos clientes hace algo que no debería, no puedes tirar del hilo para exigir cuentas a nadie. Los autores de OpenID bautizan esto: «un agujero negro para la rendición de cuentas y el análisis forense». Esa frase se me ha quedado metida en la cabeza, porque he buscado en logs así. Existe el evento pero no encuentras al actor.

La delegación se rompe en cuanto crece más allá de la organización cerrada

Dentro de una sola empresa, no muy grande, un equipo de plataforma competente puede parchear y salvar buena parte de estos problemas. Dale al agente una identidad de workload, pásalo por el IdP corporativo, acota sus permisos, y, con un único dominio de confianza, funcionas razonablemente bien. Quiero ser ecuánime con esto: las piezas básicas —OAuth 2.1, PKCE, tokens de vida corta y alcance limitado— son sólidas, y para un agente que llama a herramientas internas son, de momento, suficientes.

La costura se rasga en cuanto un agente cruza una frontera organizativa. Un agente financiero que tira de tu banco, de una API de datos de mercado y de una agencia de crédito está operando en tres dominios de confianza distintos, y ningún proveedor de identidad es la fuente de verdad para los tres. Los marcos de identidad de workload como SPIFFE/SPIRE se basan en el control de una infraestructura compartida y, en palabras del paper, «no se extienden de forma natural entre organizaciones». La delegación de verdad necesita que el token de acceso lleve dos identidades distintas —la persona que delegó y el agente que actúa— y que el alcance se atenúe en cada salto cuando un agente subdelega en otro. La delegación recursiva entre empresas, con el rastro de auditoría intacto de punta a punta, está en su mayor parte sin resolver. Y la economía abierta de agentes entre organizaciones hacia la que todo el mundo está corriendo vive entera al otro lado de éste problemón.

Mil avisos de aprobación equivalen a ninguna aprobación

LA solución actual a éste otro problema es el man-in-the-loop: que el agente pregunte. Pero esta solución no sobrevive a escala. Un solo agente de marketing optimizando un presupuesto puede disparar cientos de acciones discretas en segundos; una sola persona puede tener detrás decenas de agentes tomando miles de decisiones al día. La EU AI Act, con razón, exige «supervisión efectiva» para los sistemas de alto riesgo. Pero pedirle a un humano que apruebe cada acción autónoma produce lo que el paper llama fatiga de consentimiento: «un aluvión inmanejable de solicitudes de permiso» que «reduce paradójicamente la seguridad», porque una persona que pulsa «aceptar» cuatrocientas veces al día no está ejerciendo criterio. Está estampando un sello sin mirar, y a un atacante le basta con que le sellen una vez.

La supervisión que no escala no es supervisión. Es teatro, con un modo de fallo peor que no tener ninguna, porque parece control sin serlo.

Revocar un agente sigue siendo un problema en gran medida sin resolver

Supón ahora que ha pasado lo peor: un agente está comprometido, o simplemente se está portando mal. Lo quieres fuera. Si somos honestos, debemos decir que en 2026, esto todavía no se nos da demasiado bien. Los autores de OpenID llaman a la revocación «un problema crítico, y en gran medida sin resolver», y con los agentes se agudiza, porque una sola identidad comprometida puede «desencadenar un fallo en cascada por todo un ecosistema de subagentes» en los que ya había delegado. Revocar un token portador no llega hasta el fondo de una cadena de autoridad que ya se ha ido traspasando.

Y la revocación es solo el freno de emergencia. El requisito más profundo es el desaprovisionamiento: borrar de forma permanente la identidad de un agente y cada permiso que acumuló, en todos los sistemas que tocó, con la rapidez suficiente para que una credencial comprometida y latente no pueda reactivarse más tarde. Un agente opera a velocidad de máquina con la autoridad delegada de un humano y un radio de impacto enormemente amplificado. La capacidad de hacerlo desaparecer, de forma verificable y en todas partes, no es una comodidad operativa. Es una condición previa para dejarlos funcionar siquiera.

O tienes responsabilidad o tienes privacidad, elige

He dejado para el final el más duro, porque es el nudo gordiano del que cuelga todo el resto.

El listado de pains que he definido nos empuja a algunas posibles soluciones: para hacer responsable a un agente, átale una identidad real y conocida. Vincula cada acción del agente a una persona con nombre y el agujero negro se cierra. Pero hazlo y habrás construido otra cosa: un sistema donde cada agente que cualquiera ejecuta queda ligado para siempre a su identidad real, donde la trazabilidad que añadiste para auditar «habilita un rastreo entre dominios» y permite a cualquiera componer «perfiles de comportamiento exhaustivos y potencialmente sensibles» de lo que hacen los agentes de la gente todo el día. Resolviste la responsabilidad eliminando la privacidad.

Esto se presenta, casi en todas partes, como un dilema cerrado. O los agentes son anónimos e irresponsables, o son responsables y estamos todos vigilados. El paper de OpenID es muy honesto al admitir que quizá haya una tercera puerta —técnicas de divulgación selectiva, «pruebas de conocimiento cero y credenciales anónimas», que dejan a un agente demostrar una afirmación concreta sin revelar quién hay detrás—, pero es igual de honesto al reconocer que «integrar estas técnicas con los estándares de identidad y los requisitos regulatorios existentes sigue siendo un reto considerable». Camino señalado. Carretera aún sin pavimentar.

Cojamos un poco de distancia de estos 6 pains y veremos que comparten un mismo origen. Suplantación, clientes anónimos, delegación que se rompe al cruzar fronteras, fatiga de consentimiento, agentes que no puedes revocar limpiamente y responsabilidad que te cuesta la privacidad, no son seis problemas separados. Son síntomas de una garantía ausente: la de que detrás de cada acción hay una persona concreta y responsable a la que puedes encontrar. La autenticación, la autorización y el registro de auditoría se construyeron todos sobre esa garantía. Los agentes nos están quitando la capacidad de reconocer con claridad quién tiene la autoridad.

Un agente puede ser autónomo —esa es buena parte de la gracia—, pero la responsabilidad tiene que mantenerse de algún modo. Un agente no es una persona jurídica: no lo puedes demandar, ni multar, ni sentarlo a preguntarle en qué estaba pensando. Así que por muchas capas de delegación que se apilen por el medio, la responsabilidad tiene que acabar reposando en un humano real y exigible que decidió desplegarlo. De eso va todo el problema de esta serie: de cómo hacer que ese vínculo —una acción se remonta a una persona responsable— sea demostrable ante quien necesite comprobarlo, sin exponer a la persona ante todos los que no. Un agente que no se remonta a nadie no es autonomía. Es riesgo sin dueño, corriendo a velocidad de máquina: todos los de aguas abajo lo sufren, y a nadie se le puede exigir que responda.

Hacia dónde va esto

Nada de esto es ciencia ficción ni queda lejos. La escala y la velocidad nos conminan a una respuesta urgente. Mientras los autores del paper de OpenID describen el futuro como «un mundo poblado por millones de actores no humanos», y las proyecciones sitúan el número de agentes desplegados en órdenes de magnitud mayor al número de usuarios humanos, en cuestión de pocos meses. Estamos a punto de desplegar una población de actores autónomos mayor que la humana, sobre una estructura de identidad que da por hecho que cada uno de ellos es una persona capaz de pulsar un botón.

Cartografiando el terreno alrededor del problema de la identidad sintética, encontré un documento muy interesante, que he citado varias veces en éste post. El próximo post de esta serie es una lectura detenida: Identity Management for Agentic AI, de la OpenID Foundation, el estudio más sólido al respecto que he podido leer acerca de estos problemas, incluidos los que admite que nadie ha resuelto. Después, esbozaré cómo atacaría yo estos nudos gordianos —responsabilidad y privacidad a la vez—, porque no sólo he estado leyendo estos días.

Si estás construyendo sistemas agénticos, escribí un post sobre lo que un agente tiene permitido hacer una vez sabes quién hay detrás: gobernanza verificable para la IA agéntica, a principios de año. La identidad es la pregunta de quién; aquella es la pregunta de qué. Necesitas las dos. Y andamos cortos de ambas.

Artículos Relacionados

Los modos de fallo de la IA ya son un problema de primer orden: manual de defensas de ingenieríaRetos

Los modos de fallo de la IA ya son un problema de primer orden: manual de defensas de ingeniería

Alucinaciones, exceso de confianza, ataques adversarios a nivel de prompt, deepfakes, sesgos, opacidad. La revisión 2026 de Stanford los trata como rasgos de la IA actual, no como bugs. Las defensas de ingeniería son concretas, y la mayoría de los equipos no las está construyendo.

28 de abril de 2026·9 min de lectura
Agentes de IA en 2026: MCP, los límites de la memoria y el muro de la interoperabilidadRetos

Agentes de IA en 2026: MCP, los límites de la memoria y el muro de la interoperabilidad

El informe 2026 de Stanford pone nombre a los cuatro límites que frenan a los agentes en producción: memoria, fiabilidad, interoperabilidad y eficiencia. MCP está resolviendo uno. Los otros tres siguen siendo cosa tuya.

26 de abril de 2026·9 min de lectura
Reducción de complejidad, aceptación y qué significa la «conciencia» en los sistemas de IARetos

Reducción de complejidad, aceptación y qué significa la «conciencia» en los sistemas de IA

Una teoría de la conciencia como reducción de complejidad aceptada — y por qué es un marco útil para los ingenieros de IA que debaten qué pueden y qué no pueden hacer los sistemas actuales. La perspectiva CRPBCE y sus implicaciones para la ingeniería.

20 de abril de 2026·10 min de lectura

¿Listo para construir tu equipo de ingeniería?

Habla con un partner técnico y despliega ingenieros validados por CTOs en 72 horas.

Empezar →