Identidad vs. autoridad: lo que los agentes de IA realmente necesitan

Le pedís a un agente de IA que te reserve un vuelo, pague tus impuestos o firme un contrato por vos.

¿Cómo sabe la contraparte que ese agente realmente puede actuar en tu nombre?

Hoy, no tiene buena respuesta.

Internet se armó para que vos hagas clic. No para que un agente haga clic por vos.

Cuando usás "Login con Google" le estás dando permiso a una app: que lea tu mail, que acceda a tu calendario. Lo aprobás una vez, queda abierto hasta que te acordás de revocarlo. Una puerta con cartel de "pasá".

Para Spotify o Notion, alcanza. Para un agente que toma decisiones, ejecuta transacciones y contrata otros agentes, no.

OAuth — la tecnología detrás de ese "Login con Google" — no sabe decirte:

• Para qué propósito específico se dio el permiso
• Hasta cuándo vale
• Quién asume la consecuencia si algo sale mal
• Cómo reconstruir la cadena si hay que auditar

Son las preguntas que tu abogado te haría antes de firmar un poder. Las mismas que ningún protocolo de internet contesta hoy.

Los agentes no necesitan otro login. Necesitan tres cosas al mismo tiempo:

1. Identidad verificable — quién sos, quién es el agente, quién es la contraparte.

2. Autoridad delegada — qué puede hacer, por cuánto tiempo, con qué límites, para qué propósito.

3. Trazabilidad — cómo reconstruyo qué pasó si algo falla.

Sin las tres, lo que estamos armando es un sistema donde nadie sabe quién autorizó qué, hasta que algo explota.

Es lo que construimos en Sovra. Credenciales verificables para la identidad. Capas de delegación con scope, duración y propósito encima. Trazabilidad auditable debajo.

Los agentes ya están actuando. La pregunta es si van a actuar con reglas — o sin ellas.