¿Te registras con Google, Amazon o Microsoft para usar la web? Por supuesto que no. Entonces, ¿por qué deberíamos hacerlo para los agentes de inteligencia artificial?
La nueva propuesta de «agentes firmados» de Cloudflare suena como seguridad, pero es un lobo disfrazado de oveja. Han construido una lista de permitidos para la web abierta y les han dicho a los desarrolladores que soliciten permiso. Así no es como funciona Internet. Un formulario de solicitud no es un estándar.
La Web debe permanecer abierta
La web prosperó porque nadie la poseía.
En los años 90, Microsoft intentó «abrazar y extender» la web, pero fracasó. Y ese fracaso fue una bendición. Como ninguna empresa la controlaba, cualquiera podía publicar, cualquiera podía innovar, y los protocolos tenían más peso que las políticas corporativas.
Ya hemos visto esta película antes. Los estándares abiertos vencen a los plugins cerrados. HTML5 y la Open Web Platform desplazaron a entornos de ejecución propietarios como Flash (Adobe) y Silverlight (Microsoft). Flash terminó formalmente en 2020 y Silverlight en 2021, mientras que HTML5 se convirtió en una Recomendación del W3C en 2014.
El patrón es consistente: cuando los comunes definen la interfaz, la innovación se multiplica; cuando un proveedor reparte permisos, se estanca.
Los agentes son inevitables
Los agentes son inevitables. Serán los próximos usuarios principales de la web: recuperando información, automatizando flujos de trabajo, realizando compras, negociando contratos. A veces los agentes de IA serán dirigidos explícitamente por humanos, otras veces actuarán como subrutinas dentro de tareas más grandes.
La línea entre la acción humana y la de los agentes se difuminará.
Cuando conduzco, le paso mi teléfono a un amigo y le digo: «Responde ‘voy en camino’ a mi mamá». Actúan en mi nombre, a través de mi identidad, aunque el software no tenga un concepto integrado de delegación. Ese es el mundo al que nos dirigimos.
Autenticación vs. autorización
La autenticación pregunta: ¿quién está actuando?
La autorización pregunta: ¿qué se les permite hacer?
No son lo mismo. Sin embargo, Cloudflare las trata como si un solo pasaporte pudiera resolver ambas. No puede. En el mundo real, mostrar un pasaporte no es suficiente para abrir una cuenta bancaria: ¡la persona real debe estar presente!
Lo mismo es cierto en línea. Una firma criptográfica que afirma «Estoy actuando en nombre de X» no significa nada a menos que esté vinculada a algo real, como una infraestructura verificable o un rango de IPs. Sin eso, simplemente puedo entregar el pasaporte a otro agente, y pueden actuar como si fueran yo. El pasaporte se convierte en nada más que un token que cualquiera puede pasar.
Por eso toda la idea de un «pasaporte de bot» es profundamente defectuosa.
El problema de la identidad digital
Y aquí está la verdad: en Internet, nadie sabe que eres un perro.
Una sola firma no prueba nada si simplemente puede pasarse. Lo que necesitamos es una forma de probar tanto la cadena de delegación como la autenticidad de cada solicitud. La cadena es como un certificado:
Usuario X en Servicio Y delegó al Agente Z, quien delegó al Agente K.
Pero cuando el Agente K realmente hace una solicitud al Servicio Y, debe agregar su propia firma para probar que es realmente el Agente K. Sin ambas piezas, la autenticación colapsa.
El sistema debe tener algunas características clave:
- Verificable: puedes verificar la afirmación de forma independiente
- Componible: funciona a través de cadenas de delegación
- Descentralizado: ningún guardián único decide quién es «válido»
La criptografía de clave pública ya nos da un modelo. Las empresas prueban propiedad hoy a través de DNS; podrían publicar claves públicas de la misma manera. Eso permitiría a un servicio autenticar a un tercero simplemente verificando DNS (sin que nadie llene formularios, pida permiso o se registre en un directorio central). Los sitios aún podrían usar listas negras o blancas como eligieran, pero el predeterminado es abierto.
Autorización para la era de los agentes
Hasta ahora, el software usualmente tenía un alcance estrecho.
Piensa en un trabajo cron semanal que envía por correo un reporte de «nuevos registros»: obtiene acceso de solo lectura a la base de datos de analytics, nada más. O una app financiera vía Plaid para fondear tu cuenta de trading: puede iniciar transferencias dentro de límites pero no puede navegar tu historial de transacciones.
Los scopes de OAuth funcionaron porque el software tenía un propósito claro y predecible.
Los agentes son diferentes. Son de propósito general. El mismo agente podría reservar un vuelo, pagar la cena y luego resumir tu estado de cuenta bancario. También pueden ser de corta duración, creados para una sola tarea y desaparecer después.
Una forma de hacer que esto funcione es darle al agente una «clave de administrador»: acceso completo a todo. Es conveniente, pero peligroso. Debemos resistir este patrón.
Los agentes no deben mantener credenciales permanentes; las autorizaciones deben ser por tarea, no por agente.
Piensa en una cuenta bancaria: podría decirle a mi agente «paga la cena». Ese token debería permitir el pago. Pero cuando pregunto «muéstrame tres meses de gastos», el agente no debería poder mover dinero. Mismo agente, tarea diferente, token diferente. Las credenciales deben seguir las tareas, no los agentes.
Afortunadamente, la criptografía y los modelos de autorización han evolucionado mucho en los últimos años. Ahora tenemos herramientas que nos permiten emitir tokens con restricciones: granulares, de corta duración y delegables (como macaroons o biscuits) y motores de políticas abiertas (como OPA o AWS Cedar).
Protocolos, no guardianes
Este desafío es más grande que Cloudflare, Google, Microsoft o cualquier empresa individual. El futuro de la web no puede depender de quién controla las llaves. Necesitamos protocolos, no guardianes.
La autenticación, autorización y monetización deben permanecer abiertas, interoperables y estandarizadas.
El lanzamiento de Cloudflare solo es útil porque expone el peligro. Si dejamos que un puñado de empresas decidan qué agentes son «válidos», la web agnética colapsará en jardines vallados. Ya hemos visto esta película antes.
![Pinterest](https://pinterest.com/pin/create/button/?url=https://news.betazeta.dev/2025/08/30/la-web-no-necesita-guardianes-el-peligroso-plan-de-cloudflare-para-controlar-los-agentes-de-ia/&media=https://news.betazeta.dev/wp-content/uploads/2025/08/CloudflareInternet.webp&description=La nueva propuesta de "agentes firmados" de Cloudflare suena como seguridad, pero es un lobo disfrazado de oveja. Han construido una lista de permitidos para la web abierta y les han dicho a los desarrolladores que soliciten permiso. Así no es como funciona Internet. Un formulario de solicitud no es un estándar.){kind=link}