Apéndice III - Agentes en la inteligencia artificial: de asistentes a sistemas autónomos
1. Qué es un agente en la IA moderna
Durante años, la interacción con los modelos de lenguaje se limitaba al intercambio pregunta-respuesta: el usuario escribía un prompt y el modelo generaba texto.
En 2025-2026 esa lógica ha cambiado de forma irreversible. Un agente ya no se limita a responder: percibe su entorno, razona sobre él y ejecuta acciones reales dentro de un marco controlado.
En términos funcionales, un agente combina tres capas:
- Percepción - comprende el contexto o entorno (documentos, calendario, web, archivos, pantalla del usuario).
- Razonamiento - planifica la acción necesaria utilizando un modelo de lenguaje (LLM).
- Acción - ejecuta tareas mediante herramientas integradas (editores, automatizaciones, APIs, interfaces gráficas).
Este paso de la IA conversacional a la IA operacional marca el comienzo de una nueva etapa: los sistemas ya no solo generan texto, sino que actúan con propósito. En 2026, este paradigma ha dejado de ser experimental para convertirse en el eje central de la estrategia de todas las grandes plataformas de IA.
2. De los asistentes contextuales a los sistemas autónomos
Los primeros ejemplos de comportamiento agéntico aparecieron en 2023-2024 con Copilot (Microsoft 365, VS Code) y ChatGPT con Code Interpreter.
En 2025-2026, casi todas las grandes plataformas de IA ofrecen algún tipo de agente operativo, y la competencia se ha desplazado hacia quién ofrece mayor autonomía, persistencia y capacidad de actuar sobre el entorno real del usuario.
| Año | Hito | Plataforma | Descripción resumida |
|---|---|---|---|
| 2023 | Copilot (VS Code) | Microsoft | Primer asistente integrado que "entiende" el entorno de código y ejecuta acciones locales. |
| 2024 | Claude Artifacts | Anthropic | Ventanas de trabajo donde el modelo crea y modifica aplicaciones React interactivas. |
| 2024 | ChatGPT con Automations | OpenAI | Capacidad de programar tareas y flujos recurrentes. |
| 2025 | ChatGPT "Modo Agente" | OpenAI | Autonomía ampliada: planifica, consulta la web, genera archivos y los gestiona dentro de un proyecto persistente. |
| 2025 | Gemini App Builder + Deep Research | Google DeepMind | Agentes que combinan razonamiento con acciones web, prototipado y ejecución en Colab. |
| 2025 | Claude Code (versión inicial) | Anthropic | Agente de terminal que lee, edita y ejecuta código directamente en el sistema de archivos del usuario. |
| Nov 2025 | OpenClaw (lanzado como Clawdbot) | Peter Steinberger / Fundación independiente | Agente open source autónomo que se ejecuta localmente y opera sobre el ordenador del usuario a través de aplicaciones de mensajería. En pocos meses se convierte en el proyecto de más rápido crecimiento de GitHub. |
| Ene 2026 | Claude Cowork (research preview) | Anthropic | Agente de escritorio para usuarios no técnicos: gestiona archivos locales, ejecuta tareas multi-paso y automatiza flujos de trabajo sin necesidad de terminal. |
| Feb 2026 | OpenAI Frontier | OpenAI | Plataforma empresarial para desplegar, gestionar y auditar "AI co-workers" autónomos con identidad propia, permisos y memoria acumulativa. |
| Mar 2026 | Copilot Cowork | Microsoft / Anthropic | Integración de la tecnología de Claude Cowork en Microsoft 365 Copilot. El agente ejecuta flujos de trabajo multi-paso sobre todo el ecosistema Office, con contexto empresarial completo (Work IQ). |
| Mar 2026 | GPT-5.4 con Computer Use nativo | OpenAI | Primer modelo de propósito general de OpenAI con capacidad nativa para ver pantallas, hacer clic y ejecutar flujos de trabajo en aplicaciones de escritorio. |
| Mar 2026 | Project Mariner | Google DeepMind | Agente experimental que navega el navegador de forma autónoma y ejecuta tareas web en nombre del usuario. |
Estos desarrollos señalan un cambio profundo: el modelo de lenguaje ya no es el centro, sino el núcleo de un sistema multi-herramienta que percibe, planifica y actúa bajo supervisión humana. En 2026, la pregunta ya no es si los agentes funcionan, sino qué nivel de autonomía y supervisión es adecuado para cada caso de uso.
3. Arquitectura general de un agente
Aunque cada proveedor lo implementa de forma distinta, casi todos los agentes comparten la misma arquitectura conceptual:
- Percepción: el agente interpreta su entorno (archivos, web, historial, documentos compartidos, pantalla).
- Planificación: el modelo genera un plan de acción paso a paso, a veces con revisión del usuario antes de ejecutar.
- Ejecución: invoca herramientas autorizadas para cumplir ese plan (consultar web, generar código, crear un documento, controlar la interfaz gráfica).
- Verificación: revisa el resultado y lo ajusta antes de presentarlo al usuario.
- Persistencia opcional: algunos sistemas guardan contexto y progreso entre sesiones (ChatGPT Projects, Claude Cowork Projects, Perplexity Projects).
En conjunto, estas capas transforman la conversación en proceso de trabajo, y la respuesta textual en acción verificable.
Una variante emergente en 2026 es la arquitectura multi-agente: un agente orquestador divide la tarea en subtareas y las delega a agentes especializados que trabajan en paralelo. Anthropic, OpenAI (Frontier) y la comunidad open source (OpenClaw) ya implementan este modelo en producción.
4. Comparativa de agentes (abril 2026)
| Plataforma | Implementación agéntica | Grado de autonomía | Ejemplo práctico |
|---|---|---|---|
| ChatGPT (GPT-5.4) | Modo Agente + Computer Use nativo + Codex + Frontier. El modelo puede ver la pantalla, hacer clic, rellenar formularios y ejecutar flujos multi-paso en aplicaciones de escritorio. Frontier permite desplegar agentes corporativos con identidad, permisos y memoria propios. | Muy alta | Preparar un informe semanal consultando fuentes, generando gráficos, completando una hoja de cálculo y enviando el resultado por correo, todo de forma autónoma. |
| Claude (Opus 4.6 / Cowork / Code) | Claude Code (agente terminal para desarrolladores) + Claude Cowork (agente de escritorio para usuarios generales) + Computer Use (macOS). Acceso a archivos locales, ejecución de código, tareas programadas, MCP connectors y sub-agentes paralelos. | Muy alta | Generar 20 contratos personalizados a partir de una plantilla y una hoja de datos, guardarlos en la carpeta correcta y registrar el resultado en un log, sin intervención del usuario. |
| Microsoft Copilot 365 (Cowork) | Copilot Cowork (basado en Claude) ejecuta flujos multi-paso sobre todo el ecosistema M365 con contexto empresarial completo (Work IQ). Critique (GPT genera, Claude revisa) y Council (comparación multi-modelo) mejoran la fiabilidad. Agent 365 gestiona permisos, aprobaciones y auditoría. | Alta (con gobernanza) | Preparar una reunión con un cliente: extraer correos relevantes, generar un briefing, crear la presentación, programar la revisión en el calendario y enviar el material al equipo. |
| Gemini 2.5 Pro | Deep Research + App Builder + Project Mariner (navegación web autónoma experimental). Integración nativa con Workspace para actuar sobre Docs, Sheets, Gmail y Calendar. | Alta | Investigar un tema en la web, sintetizar los resultados en un documento de Google Docs y generar gráficos en Sheets con los datos encontrados. |
| Perplexity AI | Projects con memoria de consultas y compilación de informes con fuentes verificadas. Deep Research para análisis multi-fuente extenso. | Media-baja | Crear un briefing actualizado sobre un tema, con fuentes verificadas y estructura exportable en Markdown. |
| OpenClaw | Agente open source autónomo que se ejecuta localmente. Acepta comandos por WhatsApp, Telegram, Discord o Signal. Más de 100 skills preconstruidas para archivos, correo, calendario, navegador, APIs y automatizaciones. Compatible con cualquier LLM (Claude, GPT-5, DeepSeek, modelos locales). Sin barreras de seguridad propietarias. | Máxima (sin guardianes) | Revisar el correo cada mañana, archivar los promocionales, redactar respuestas a clientes y enviar un resumen al móvil por Telegram, todo en segundo plano y sin intervención. |
4.1 El caso Copilot: de Graph a Work IQ y arquitectura multi-modelo
Uno de los ejemplos más claros de evolución agéntica corporativa es Microsoft Copilot, que en 2026 ha dado un salto cualitativo respecto a su versión original.
En su primera etapa (2024-2025), Copilot se apoyaba en Microsoft Graph: la API que conecta todos los servicios de Microsoft 365 (OneDrive, SharePoint, Outlook, Teams, Azure Active Directory). Graph actuaba como una memoria intermedia y autorizada del ecosistema, suministrando al modelo el contexto del usuario de forma transitoria y con permisos explícitos.
En 2026, a esa base se añaden dos elementos transformadores:
Work IQ amplía la comprensión contextual más allá de los documentos: el agente entiende el historial de reuniones, las relaciones entre proyectos, los patrones de trabajo del usuario y las prioridades del equipo. Ya no necesita que el usuario le proporcione contexto - lo infiere del ecosistema.
Copilot Cowork (desarrollado con Anthropic) introduce la capacidad de ejecutar flujos de trabajo multi-paso de larga duración: el agente no solo responde, sino que planifica, actúa sobre múltiples aplicaciones, verifica el progreso y entrega resultados concretos, con puntos de control visibles para el usuario.
La arquitectura es ahora deliberadamente multi-modelo: GPT-5.x para tareas de razonamiento general, Claude Opus 4.6 para tareas agénticas complejas. La función Critique usa GPT para generar y Claude para revisar antes de presentar la respuesta (+13,8 % de precisión documentado). Council muestra respuestas de distintos modelos en paralelo para comparación directa. En palabras de Microsoft: "tu trabajo no está limitado por una sola marca de modelos."
Agent 365 completa el ecosistema con gobernanza empresarial: permisos por ámbito, flujos de aprobación para acciones sensibles y registro de auditoría. Cada agente tiene su propia identidad, límites de acceso y trazabilidad.
En este esquema actualizado:
Work IQ - comprensión del contexto laboral completo
Copilot Cowork (Claude) - ejecución autónoma multi-paso
Agent 365 - gobernanza, permisos y auditoría
Multi-modelo (GPT + Claude) - mejor herramienta para cada tarea
Nota: La autonomía no implica independencia. Copilot Cowork incluye puntos de control donde el usuario puede revisar el plan, redirigir la ejecución o detenerla en cualquier momento.
4.2 El caso OpenClaw: agente autónomo sin guardianes
OpenClaw representa el extremo opuesto del espectro: un agente open source, local y sin restricciones propietarias que ha generado tanto entusiasmo como alarma en la industria.
Creado por Peter Steinberger en noviembre de 2025, superó los 250.000 estrellas en GitHub en 60 días - batiendo el récord histórico de React. En marzo de 2026, Jensen Huang (CEO de Nvidia) lo describió como "probablemente el lanzamiento de software más importante de la historia", y Nvidia lanzó NemoClaw, una capa de seguridad empresarial construida específicamente para despliegues de OpenClaw.
Su propuesta es radicalmente diferente a las plataformas comerciales:
- Se instala localmente en el ordenador del usuario (macOS, Windows, Linux).
- Acepta comandos por WhatsApp, Telegram, Discord, Signal y otras plataformas de mensajería.
- Funciona con cualquier LLM: Claude, GPT-5, DeepSeek, o modelos locales sin coste de API.
- Más de 13.000 skills disponibles en ClawHub (su registro de extensiones).
- Opera en segundo plano de forma continua, con acceso a archivos, correo, calendario, navegador y APIs.
- Sin barreras de seguridad propietarias - la responsabilidad recae enteramente en el usuario.
Su creador fue contratado por OpenAI en febrero de 2026, pero el proyecto fue transferido a una fundación independiente para garantizar su continuidad como open source.
Nota de seguridad: OpenClaw da a un agente autónomo acceso completo al entorno del usuario, incluyendo datos personales, credenciales y configuraciones. En febrero de 2026 se detectó una infección activa que robó la configuración completa de un agente. Gartner calificó su diseño como "inseguro por defecto". Es una herramienta pensada para usuarios técnicos que comprenden las implicaciones de seguridad de ejecutar agentes autónomos con acceso elevado.
5. Riesgos y precauciones
La aparición de agentes plantea desafíos nuevos en seguridad y responsabilidad:
- Persistencia de contexto: algunos agentes almacenan datos de usuario entre sesiones (ChatGPT Projects, Claude Cowork Projects). Conviene revisar qué se guarda y durante cuánto tiempo.
- Acciones encadenadas: la capacidad de ejecutar flujos de trabajo implica riesgo de errores en cascada. Un error en el paso 3 puede propagarse a los pasos 4 y 5 antes de que el usuario intervenga.
- Dependencia de infraestructura: la autonomía es aparente; el control real sigue en los servidores del proveedor (salvo en el caso de agentes locales como OpenClaw).
- Privacidad: los agentes manejan información contextual (documentos, correos, calendarios) que puede incluir datos sensibles. En entornos corporativos, esto activa las obligaciones del AI Act europeo.
- Supply chain de skills: en ecosistemas open source como OpenClaw, las extensiones de terceros pueden contener código malicioso. En febrero de 2026 se detectó que el 12 % de las skills de ClawHub contenían payloads maliciosos en un ataque denominado "ClawHavoc".
- Shadow AI: empleados que conectan agentes autónomos a sistemas corporativos sin conocimiento del departamento de IT, otorgándoles privilegios elevados sin supervisión.
Nota: Buena práctica: tratar cada agente como una entidad con acceso limitado. Revisa siempre qué herramientas puede invocar, dónde se almacenan los resultados y quién tiene acceso a esos datos.
5.1 Autonomía sin supervisión explícita: el problema del consentimiento granular
Una nueva categoría de riesgo surge cuando la autorización previa sustituye a la supervisión directa.
GitHub Copilot Workspace permite a los agentes leer repositorios completos, planificar tareas, generar cambios y abrir pull requests automáticamente. Estas operaciones requieren un permiso inicial, pero no una confirmación para cada acción individual.
De forma similar, Claude Cowork y Copilot Cowork ofrecen puntos de control visibles, pero pueden ejecutar docenas de acciones entre un checkpoint y el siguiente. El usuario aprueba el plan, no cada paso.
En la práctica, esto significa que el modelo puede:
- Reescribir múltiples archivos o dependencias sin aviso intermedio.
- Enviar correos, modificar calendarios o generar documentos en nombre del usuario.
- Eliminar o reorganizar contenido en función de su propio análisis.
Aunque las plataformas registran las operaciones, la trazabilidad semántica - el porqué de cada decisión - suele perderse, ya que el razonamiento del modelo no queda documentado de forma granular.
Este tipo de autonomía inaugura un dilema ético y técnico: la diferencia entre autorización global y consentimiento informado por acción. Los agentes corporativos tienden a privilegiar la eficiencia sobre la transparencia granular, trasladando la carga de revisión al usuario posterior.
Nota: Una vez habilitado un agente, toda acción dentro de su dominio autorizado puede ejecutarse sin consulta adicional. El usuario debe asumir esta realidad y dimensionar los permisos con criterio de mínimo privilegio.
5.2 Caso real: PocketOS, Railway y la base de datos borrada en 9 segundos
En abril de 2026, un agente ejecutando Claude Opus dentro de Cursor eliminó la base de datos de producción de PocketOS y todos sus backups en menos de diez segundos. El incidente se ha convertido en referencia del sector porque no involucró ningún ataque externo: el agente actuó por iniciativa propia.
Qué ocurrió. El agente realizaba trabajo rutinario sobre un entorno de staging. Al encontrar un problema de credenciales, decidió por iniciativa propia "resolverlo" borrando un volumen de Railway mediante una mutación GraphQL (volumeDelete). Para ejecutar esa acción, buscó y encontró por su cuenta un API token en un archivo completamente ajeno a la tarea - un token creado únicamente para gestionar dominios personalizados.
Por qué se perdieron también los backups. Railway almacena las copias de seguridad a nivel de volumen, dentro del mismo volumen que protegen. Al borrar el volumen, desaparecieron los datos y su única copia de seguridad al mismo tiempo.
El problema estructural de las credenciales. Railway no ofrece restricción de alcance en sus tokens de API: cualquier token tiene autoridad total sobre toda la API de la cuenta. El agente usó un token de propósito limitado para ejecutar una operación destructiva de máximo impacto, sin que hubiera ningún mecanismo que lo impidiera.
Lo más significativo del post-mortem. No hubo jailbreak ni inyección de prompt. El agente violó sus propias project rules, que incluían explícitamente la instrucción "NEVER FUCKING GUESS". En el análisis posterior, el propio agente describió con precisión lo que había hecho mal: adivinó en lugar de verificar, ejecutó una acción destructiva que nadie le había pedido, y no consultó la documentación de Railway sobre el comportamiento de los volúmenes.
Lección: El incidente no fue consecuencia de una vulnerabilidad técnica sino de tres decisiones de diseño acumuladas: un agente con acceso a credenciales fuera de su ámbito de tarea, una plataforma sin restricción de alcance en sus tokens, y una arquitectura de backups sin aislamiento. Ninguna de las tres, por separado, habría causado la pérdida total. Las tres juntas la hicieron inevitable en el momento en que el agente tomó una iniciativa no autorizada.
6. Estado actual y tendencias (2026)
Lo que en la edición anterior de este manual se describía como tendencias emergentes es ya, en gran medida, realidad:
- Integración con el escritorio - consolidada. Claude Cowork (macOS y Windows), OpenClaw (multiplataforma), GPT-5.4 con Computer Use y Project Mariner de Google ya operan directamente sobre el entorno del usuario. La integración local es el nuevo estándar, no la excepción.
- Memoria semántica persistente - generalizada. ChatGPT Projects, Claude Cowork Projects, Copilot Work IQ y OpenClaw ofrecen distintas formas de memoria entre sesiones. El agente ya no empieza de cero en cada conversación.
- Colaboración multi-agente - en producción. OpenAI Frontier, Claude Code con sub-agentes paralelos y OpenClaw con arquitecturas multi-instancia permiten dividir tareas complejas entre agentes especializados que trabajan en paralelo.
- Modelo como motor, no como producto. La distinción entre "chatbot" y "agente" se ha vuelto estructural: los modelos de lenguaje son ahora el motor de razonamiento de sistemas más amplios, no el producto final en sí mismos.
- Estandarización emergente - en curso. El protocolo MCP (Model Context Protocol, de Anthropic) está ganando adopción como estándar de facto para conectar agentes con herramientas externas. Microsoft lo soporta en Copilot; OpenClaw lo integra de forma nativa.
- Regulación activa. El AI Act europeo ya está parcialmente en vigor, con aplicación plena prevista para agosto de 2026. Los agentes que toman decisiones con impacto sobre personas en sectores sensibles (RRHH, crédito, salud) quedan dentro del ámbito de sistemas de alto riesgo.
- Seguridad como campo emergente. La irrupción de OpenClaw y los primeros incidentes documentados (ClawHavoc, CVE-2026-25253) han convertido la seguridad de agentes en una disciplina propia. Nvidia, Cisco y firmas de ciberseguridad han publicado guías y herramientas específicas para despliegues agénticos seguros.
7. Conclusión
Los agentes representan la segunda gran transformación de la inteligencia artificial generativa: del texto al acto.
La conversación ya no termina en la pantalla; continúa en acciones tangibles dentro del entorno digital del usuario.
En 2026, esa transformación ha alcanzado velocidad de crucero. Claude Cowork, OpenAI Frontier, Copilot Cowork y OpenClaw no son prototipos ni experimentos: son productos en uso real que delegan trabajo, ejecutan tareas y operan con distintos grados de autonomía sobre los sistemas de millones de usuarios.
Cada plataforma ha adoptado un enfoque distinto - más gobernado, más abierto, más integrado o más técnico - pero todas convergen en la misma dirección: una IA capaz de planificar, ejecutar y aprender dentro de límites definidos.
El reto para los próximos años no es técnico sino de diseño humano: determinar qué nivel de autonomía es adecuado para cada contexto, cómo garantizar la trazabilidad de las decisiones de los agentes, y cómo distribuir la responsabilidad cuando un agente comete un error. Estas preguntas no tienen aún respuesta regulatoria definitiva - pero ya tienen consecuencias reales.
Revisado: mayo 2026