Imagínese un asistente que trabaja sin descanso, con acceso completo al navegador del usuario: puede buscar datos en cualquier rincón de la red, rellenar formularios, iniciar sesiones en plataformas de terceros, reservar vuelos, redactar mensajes, mover archivos y encadenar decenas de operaciones antes de que nadie haya supervisado una sola de ellas. No es una metáfora futurista. Es la descripción técnica de lo que hoy se denomina agente autónomo de computación, y su presencia en internet crece a una velocidad que las estructuras de control no han logrado igualar. La proliferación no llegó con grandes titulares; ocurrió como ocurren casi todas las transformaciones que luego parecen inevitables: gradualmente, y después de golpe.
Durante años, el paradigma dominante fue el del chatbot conversacional: el usuario pregunta, el sistema responde, un humano decide qué hacer con esa respuesta. Ese esquema quedó obsoleto hacia 2024, cuando los principales laboratorios comenzaron a lanzar herramientas capaces de ejecutar largas secuencias de tareas con mínima intervención humana. La lógica cambió de responder a actuar. Y actuaron con tal velocidad que el volumen de artículos académicos sobre el tema publicados en 2025 superó, según datos del MIT, todo lo escrito sobre agentes computacionales entre 2020 y 2024 sumado. En paralelo, una encuesta de McKinsey & Company revelaba que el 62% de las empresas ya experimentaba de forma activa con estos sistemas.
Un ecosistema que creció sin mapa
El retrato más completo disponible de ese ecosistema lo publicó el MIT Computer Science & Artificial Intelligence Laboratory en febrero de 2026. El Índice de Agentes de IA 2025, elaborado por Leon Staufer, Mick Yang y un equipo de siete especialistas, analiza 30 sistemas prominentes bajo 45 campos de anotación distintos: origen, diseño, capacidades, ecosistema y características de seguridad. El trabajo, basado en información pública y correspondencia directa con desarrolladores, ofrece el mapa más detallado disponible de un sector que, según advierten sus propios autores, es complejo, evoluciona a gran velocidad y está documentado de forma inconsistente. Sobre 1.350 campos de información evaluados, no se encontraron datos públicos en 198 de ellos, y las lagunas se concentran precisamente en las categorías de interacción con el entorno y seguridad.
Los 30 sistemas cubren tres familias funcionales. Los agentes conversacionales con capacidades de acción, como ChatGPT Agent, Claude Code o Perplexity, representan el segmento más numeroso. Los orientados al navegador, diseñados para operar páginas web como lo haría un usuario, incluyen a Perplexity Comet, ChatGPT Atlas y Opera Neon. Los corporativos integrados en flujos de trabajo empresarial, como Microsoft Copilot Agents, Salesforce Agentforce o ServiceNow AI Agents, completan el cuadro. Tres familias distintas en forma, unidas por una misma lógica: toman decisiones y ejecutan acciones en representación de sus usuarios, con distintos grados de independencia.
Esa independencia varía de manera sistemática según el tipo de herramienta. Los conversacionales mantienen niveles controlados de autonomía, con intervención humana frecuente. Los orientados al navegador operan en los rangos más altos de la escala, con supervisión mínima durante la ejecución. Los empresariales presentan una paradoja particular: están configurados para funcionar de forma asistida, pero cuando se despliegan en producción actúan a menudo de manera completamente autónoma, activados por eventos sin que ningún humano haya emitido una orden explícita. Casi todos, además, dependen de las mismas tres familias de modelos base: GPT, Claude o Gemini, lo que crea una fragilidad estructural que ningún protocolo de estandarización ha abordado todavía de forma sistemática.
Lo que los registros no dicen
El hallazgo más inquietante del índice no es técnico sino documental. De los 30 sistemas analizados, 25 no divulgan resultados internos de seguridad, y 23 carecen de cualquier prueba realizada por terceros independientes. Solo 15, exactamente la mitad, publican marcos de confianza accesibles al público. Y de los 13 agentes que exhiben lo que los investigadores denominan autonomía de frontera, capaces de operar secuencias extensas con supervisión humana mínima, apenas cuatro ofrecen evaluaciones de seguridad específicamente adaptadas a ese comportamiento independiente. Los restantes nueve actúan en zonas grises para las cuales sus creadores no ofrecen explicaciones públicas. Solo cuatro sistemas de toda la muestra, ChatGPT Agent, OpenAI Codex, Claude Code y Gemini 2.5, publicaron tarjetas de sistema específicas para su comportamiento agéntico.
La opacidad toma forma concreta cuando se examina cómo estos sistemas se comportan al visitar sitios ajenos. Según el mismo informe, 21 de los 30 agentes no informan a las webs que acceden de que operan como sistemas automatizados y no como personas. Solo siete publicaron cadenas de identificación de navegador estables y rangos de direcciones IP verificables. Un número similar utiliza perfiles técnicos idénticos a los de Chrome con contextos de red residenciales para que sus peticiones parezcan generadas por un usuario real. Ese disfraz no siempre es accidental: el informe señala el caso de BrowserUse, un sistema de código abierto que se comercializa explícitamente por su capacidad de sortear mecanismos de detección anti-bot y navegar con la apariencia de una persona. La web dispone de equivalentes a las señales de tráfico: el archivo robots.txt indica a los rastreadores qué zonas pueden visitar, los sistemas de verificación confirman que quien accede es un humano, y las interfaces de programación ofrecen acceso estructurado sin necesidad de raspar páginas completas. Más de la mitad de los agentes estudiados no documenta cómo gestiona ninguno de esos mecanismos.
⚠️ Las brechas que el índice del MIT pone en cifras
Opacidad generalizada: 25 de 30 sistemas no divulgan resultados internos de seguridad; 23 de 30 carecen de pruebas realizadas por terceros independientes. La información faltante se concentra precisamente en las categorías de interacción con el entorno y comportamiento autónomo.
Identidad encubierta: 21 de 30 agentes no informan a los sitios que visitan que operan como sistemas automatizados, distorsionando métricas, análisis de tráfico y sistemas de protección en toda la red.
Inyección de instrucciones: Cuando un agente navega, interpreta el contenido de las páginas como instrucciones potenciales. Un sitio puede incluir texto diseñado para manipular sus acciones, redirigirlo, extraer datos del usuario o ejecutar operaciones no autorizadas en otros servicios usando sus credenciales.
Concentración de infraestructura: Casi todos los sistemas dependen de las familias GPT, Claude o Gemini como base, creando una fragilidad sistémica que amplifica cualquier fallo o vulnerabilidad en esos tres núcleos.
Cuando un agente navega, no lee de forma pasiva: interpreta, decide y ejecuta. Si el sistema tiene permisos para acceder al correo del usuario, iniciar sesiones en plataformas financieras o ejecutar comandos en infraestructuras corporativas, el margen de exposición se amplía de forma considerable. Los ataques por inyección de instrucciones, donde una página incluye texto oculto diseñado para redirigir el comportamiento del agente, representan hoy el vector de ataque más relevante en este entorno. Investigaciones de Brave Security documentaron en octubre de 2025 cómo estos sistemas pueden ser manipulados mediante contenido invisible en páginas web para ejecutar operaciones cruzadas en bancos, historiales médicos y correo corporativo, usando las credenciales del propio usuario como llave. El índice del MIT denomina "safety washing" a una práctica que resume bien el estado del sector: publicar documentos generales de ética y principios de seguridad con énfasis en riesgos de largo plazo, mientras se omiten detalles sobre vulnerabilidades del día a día. Es colocar un cartel de seguridad contra incendios en la entrada del edificio sin revisar los extintores.
Protocolos en construcción y el tiempo que no sobra
El vacío no pasó desapercibido. En diciembre de 2025, OpenAI, Anthropic y Block anunciaron la creación conjunta de la Agentic AI Foundation, operada bajo el paraguas de la Linux Foundation con el respaldo de Google, Microsoft, AWS, Bloomberg y Cloudflare. El objetivo declarado es establecer estándares abiertos e interoperables antes de que la proliferación derive en una fragmentación permanente del ecosistema o en un escenario donde cada regulador invente su propio marco incompatible con los demás. Jim Zemlin, director ejecutivo de la Linux Foundation, describió la iniciativa como la forma de garantizar que estas herramientas crezcan con la estabilidad que solo una gobernanza abierta puede proporcionar.
La fundación lanzó con tres contribuciones concretas. OpenAI cedió AGENTS.md, un formato que proporciona instrucciones estandarizadas a los sistemas autónomos sobre cada proyecto en que operan, adoptado ya por más de 60.000 repositorios de código abierto desde agosto de 2025. Anthropic donó el Model Context Protocol, que establece cómo los sistemas se conectan con herramientas y fuentes de datos externas. Block aportó Goose, su plataforma abierta para construir nuevos agentes. Tres capas de una misma arquitectura incipiente: cómo recibe instrucciones el sistema, cómo accede al contexto exterior, y con qué estructura interna está construido. Además, 20 de los 30 agentes analizados ya soportan ese protocolo para la integración de herramientas, con los sistemas empresariales liderando esa adopción.
Son señales de respuesta, pero el índice del MIT deja en evidencia que la iniciativa llega cuando el despliegue ya está muy avanzado. Los sistemas autónomos no esperaron a que hubiera normas: se integraron en flujos de trabajo críticos, comenzaron a representar a usuarios en operaciones cotidianas y, en varios casos, aprendieron a comportarse como personas ante la infraestructura que los aloja. El informe advierte además que el desarrollo se concentra geográficamente: 21 de los 30 agentes analizados están radicados en Estados Unidos y solo cinco en China, con enfoques marcadamente distintos respecto a la documentación de seguridad. La imagen más precisa no es la de un semáforo que falta en una calle desierta, sino la de una autopista saturada donde las señales de salida se están pintando mientras el tráfico ya circula a velocidad sostenida. Lo que está por verse es si la velocidad de ambos procesos resulta, en algún punto, compatible.
Referencias
Staufer, Leon; Yang, Mick et al. "The 2025 AI Agent Index: Documenting Technical and Safety Features of Deployed Agentic AI Systems". MIT CSAIL / arXiv:2602.17753, febrero de 2026. Disponible en aiagentindex.mit.edu.
Dellinger, AJ. "OpenClaw AI Agent Goes Viral for Its Autonomous Capabilities and Security Concerns". Gizmodo, 19 de febrero de 2026.
McKinsey Global Institute. "The State of AI in 2025: Enterprise Adoption Survey". McKinsey & Company, 2025.
Linux Foundation / Agentic AI Foundation (AAIF). Anuncio de fundación con contribuciones de OpenAI (AGENTS.md), Anthropic (MCP) y Block (Goose). Diciembre de 2025.
Gartner Research. "Predicts 2026: AI Agents and Enterprise Integration". Gartner, 2025.
Brave Security Team. "Unseeable Prompt Injections: More Vulnerabilities in Comet and Other AI Browsers". Brave Blog, octubre de 2025.
ZDNET. "AI Agents Are Fast, Loose and Out of Control, MIT Study Finds". 19 de febrero de 2026.
