Seleccionar página

Identidad de los Agentes de IA: las preguntas que necesitan respuesta

por | Verificación de Identidad

Durante años, verificar identidad digital ha significado responder a una sola pregunta: ¿Quién eres?

Primero se lo preguntábamos a las personas.

Después vino la etapa de identificar las máquinas (APIs, servicios, certificados, etc).

Ahora hay una tercera capa encima de las otras dos, que está de moda y ha generado mucho hype, y que es la que menos resuelta tiene el sector: agentes de IA que actúan, deciden y ejecutan por cuenta de otro.

Por lo tanto, esa pregunta única que hacíamos hasta ahora (¿quién eres?) ya no basta, y en los últimos meses han surgido nuevas preguntas que antes nadie tenía que hacerse.

De «¿quién eres?» a 6 nuevas preguntas

Verificar a una persona siempre ha sido, en el fondo, un problema de un solo instante, tanto en procesos de onboarding digital como en procesos de autenticación: documento de identidad + biometría + prueba de vida, y listo. 

Un agente de inteligencia artificial rompe ese modelo porque no es una foto fija en el tiempo. Es un proceso vivo que cambia de objetivo, de permisos y de contexto sin que haya un humano monitorizando lo que ocurre en tiempo real. Así que la pregunta «¿quién eres?», se convierte en varias:

  • ¿Quién creó este agente y con qué propósito?
  • ¿Qué objetivo persigue en este momento concreto — no en el momento en que se le dio permiso, sino ahora?
  • ¿Quién le delegó autoridad, y durante cuánto tiempo sigue siendo válida esa delegación?
  • ¿Qué acciones puede ejecutar, y cuáles quedan fuera de su alcance?
  • ¿Qué decisiones puede tomar de forma autónoma y cuáles necesitan un humano en el bucle?
  • ¿Cómo se mantiene la trazabilidad de todo lo anterior cuando el agente ya no está operando?

Ninguna de estas preguntas tiene hoy una respuesta estandarizada y madura. Hay iniciativas serias trabajando en ello (el NIST lanzó en febrero de 2026 su propio programa de estandarización para identidad de agentes, y la OpenID Foundation avanza con AuthZEN para resolver la parte de autorización) pero seguimos en la fase de dar respuesta a esas preguntas de forma más o menos estandarizada.

pin

La identidad de un agente de IA no es un dato fijo que se verifica una vez. Es una relación de delegación que hay que poder demostrar en cada acción, no solo en el momento de arranque.

¿De quién es la responsabilidad?

El problema principal (y sorprendentemente no es técnico) es de responsabilidad. eIDAS 2.0 y la EUDI Wallet están construyendo, con fecha de disponibilidad en diciembre de 2026 y aceptación obligatoria por entidades reguladas en diciembre de 2027, una infraestructura sólida de identidad digital para ciudadanos. Pero ese marco todavía no contempla qué pasa cuando el ciudadano no actúa directamente, sino que delega la acción en un agente que opera por él.

Eso deja una pregunta abierta que cualquier empresa que despliegue agentes autónomos (en banca, en telecomunicaciones o en cualquier sector regulado) va a tener que responder tarde o temprano: si el agente hace algo indebido, ¿de quién es la responsabilidad, y cómo lo demuestras?

Sin una cadena de delegación verificable, esa pregunta no tiene respuesta defendible ante un regulador.

Verificar al humano y al agente

Cuando hablamos de identificar agentes de IA, en Mobbeel no lo reducimos a un único problema. Son dos, y hay que resolverlos por separado porque ocurren en momentos distintos del ciclo de vida.

Uno: verificar al humano que hay detrás del agente. Antes de que un agente pueda actuar en nombre de una persona — firmar, autorizar un pago, acceder a un dato sensible — alguien tiene que haber verificado con solidez quién es esa persona y que efectivamente autorizó esa delegación. Esta es la fase de emisión de credencial, el momento en el que Mobbbeel juega un papel fundamental dentro del ecosistema de la EUDI Wallet: no construimos wallets, pero sí somos la pieza que verifica la identidad antes de que se emita el PID que luego habilita cualquier delegación posterior, humana o agéntica.

Dos: verificar al agente como entidad propia: Know Your Agent. Un agente no es una persona, pero tampoco es una API estática. Necesita su propio proceso de alta: quién lo creó, con qué alcance, con qué credencial criptográfica, y durante cuánto tiempo esa identidad sigue siendo válida antes de tener que revocarse. Es, en esencia, el mismo principio de onboarding que aplicamos a personas — verificar antes de confiar — trasladado a una entidad no humana con su propio ciclo de vida.

Estos dos ángulos no compiten entre sí. Se necesitan los dos a la vez: de poco sirve tener un agente con una identidad criptográfica impecable si nadie verificó con rigor al humano que le dio la autoridad para actuar en primer lugar.

Por lo tanto, no podemos centrarnos solo en el agente y olvidar que, al final de la cadena, siempre hay una persona que respondió (o debería haber respondido) a la pregunta original.

¿Dónde estamos ahora?

No hay todavía un estándar único, ni una respuesta cerrada. Lo que sí hay es un cambio de las reglas del juego que ya está pasando, sin un estándar maduro detrás. Por eso, las empresas que empiecen a construir hoy la cadena de verificación (humano y agente) estarán mejor posicionadas cuando el marco regulatorio termine de aterrizar sobre esta nueva capa de identidad.

Porque la pregunta ya no es solo «¿quién eres?». Es «¿quién te dio permiso, y si puedes demostrarlo?»

Escríbenos si quieres hablar de cómo tu organización puede empezar a construir esa cadena de verificación, tanto para las personas como para los agentes que actúan en su nombre.

Whitepaper

Identidad digital en la Universidad de Murcia

El inicio de cualquier relación entre una universidad y sus usuarios, ya sean estudiantes, personal o colaboradores, exige una verificación precisa y segura para garantizar la protección de los datos y la integridad de los sistemas.

mobbeel
Resumen de privacidad

Utilizamos cookies propias y de terceros para garantizar el funcionamiento de la web y analizar el uso que hacen los usuarios del sitio web a fin de mejorar nuestros servicios.

Rechazar cookies

¿Qué es una cookie?

Las cookies son archivos enviados desde un servidor web que obtienen información de los dispositivos de los usuarios, por ejemplo, sobre sus preferencias y pautas de navegación.

Las cookies son esenciales para el funcionamiento de internet, ya que ofrecen soluciones técnicas que permiten al usuario navegar por los distintos sitios web; no pueden dañar el equipo/dispositivo del usuario y pueden usarse para identificar y resolver posibles errores de funcionamiento del Sitio Web. También pueden ser utilizadas con finalidades publicitarias o analíticas.

Uso de cookies por Mobbeel

Concretamente, MOBBEEL utiliza cookies propias generadas directamente por este dominio y cookies de terceros generadas desde otros sitios web ajenos a MOBBEEL, pertenecientes a terceras empresas, para las finalidades concretas que a continuación se exponen. Si en un futuro MOBBEEL utilizase otras cookies con el propósito de otorgar más y mejores servicios, se informará al usuario de ello.