Agentes de IA y billeteras cripto: La autorización pasa de la firma humana al código

Agentes de IA y billeteras cripto La autorización pasa de la firma humana al código
Tabla de Contenidos

La billetera cripto deja de ser una llave con un humano que aprueba cada transacción y pasa a ser un motor de reglas. Los agentes de IA trasladan la autorización desde la firma manual, operación por operación, hacia políticas escritas en la propia cuenta: claves de sesión, límites de gasto, listas de direcciones permitidas, mandatos firmados. El valor de la reescritura depende de una sola cosa: si la política se ejecuta por debajo del agente o solo a su lado.

Grand View Research estimó el mercado de agentes de IA en 7.630 millones de dólares en 2025, con proyección a 182.970 millones para 2033; analistas citados por Cobo calculan que los agentes autónomos gestionarán más de 50.000 millones en activos on-chain hacia 2027.

En BNB Chain, los despliegues de agentes on-chain superaron los 122.000 en marzo de 2026, según Ancilar. Un agente puramente fuera de cadena lee, razona y recomienda; uno con billetera paga, transacciona y compromete capital, resumió Arjun Mukherjee, director técnico de Mesh, en Consensus 2026.

La billetera cripto encaja con el agente por razones estructurales, no de moda. Un agente sin fondos ni cuenta no puede actuar —el problema del arranque en frío que planteó Mukherjee—, y la billetera on-chain es programable, se provisiona sin permiso y funciona igual en cualquier frontera, mientras la tarjeta cobra una comisión fija que vuelve inviable el micropago.

Las stablecoins quedaron como activo de liquidación por defecto en los productos de pago de agentes lanzados a comienzos de 2026 por Stripe, Coinbase y MoonPay, según RebelFi, por su estabilidad frente al dólar y su liquidación en segundos.

De un punto de control a una regla en código

La regla vieja tenía un solo punto de control: una clave privada y un dedo humano sobre el botón de firmar. La regla nueva reparte el control en código. La abstracción de cuentas —estándar ERC-4337, cerrado en marzo de 2023— separó la lógica de validación de la clave: las cuentas envían UserOperations que un bundler agrupa y un contrato EntryPoint verifica, según la documentación de ERC-4337.

EIP-7702, activo en la red principal de Ethereum desde el 7 de mayo de 2025 con la actualización Pectra, permitió que una cuenta común adopte código de contrato sin cambiar de dirección: la misma clave, ahora con lotes de transacciones, patrocinio de gas y claves de sesión con permisos acotados, describe Openfort.

El permiso acotado es la pieza que cambia las reglas. Una clave de sesión concede a un agente autoridad limitada —contratos específicos, un tope por activo, una ventana de tiempo— sin exponer la clave maestra, según Ancilar.

Sobre semejante base se monta el motor de políticas: tamaño máximo por transacción, protocolos autorizados, límite de gasto diario y aprobación humana obligatoria para lo que quede fuera de la lista, con custodia por cómputo multiparte, entorno de ejecución confiable o multifirma. Safe añade módulos de guardia y bloqueos temporales que permiten a un agente proponer una transacción sin poder ejecutarla solo, según Cobo.

El pago siguió a la billetera

x402, que Coinbase reactivó a partir del código HTTP 402, convirtió una respuesta olvidada del navegador en un canal de micropagos para máquinas: sin cuentas, sin claves de API, con gas cercano a 0,0001 dólares en Base, frente a los treinta centavos fijos de una pasarela de tarjeta que vuelven imposible el cobro por fracción de centavo, según Nevermined.

Google publicó AP2 el 16 de septiembre de 2025 con más de sesenta socios —Mastercard, PayPal, Coinbase, American Express—: mandatos de Intención, Carrito y Pago firmados como credenciales verificables del W3C, con la stablecoin admitida en igualdad con tarjetas y transferencias, según Google Cloud.

On-chain wallets

La versión 0.2, del 28 de abril de 2026, sumó pagos con el humano ausente y la Intención Verificable, y donó el protocolo a la FIDO Alliance, según No Hacks. Una extensión, a2a-x402, deja que un mandato de AP2 autorice una liquidación en USDC por x402, según Eco.

La verificación de red vuelve auditable la autorización. La red comprueba que la transacción encaje en el alcance del mandato —límite de monto, categoría de comercio, ventana temporal— antes de aprobar; lo que queda fuera se rechaza en la capa de red, según Paz.ai.

Visa integró su comercio inteligente en ChatGPT el 10 de junio de 2026 y opera su Trusted Agent Protocol; Mastercard presentó Agent Pay for Machines para pagos de software a software, según Universal Commerce Protocol.

La estandarización dejó de ser cosa de un solo proveedor. AP2 y la Intención Verificable de Mastercard pasaron a la FIDO Alliance el 26 de mayo de 2026, el mismo cuerpo que estandarizó las passkeys, y dos grupos de trabajo —de autenticación de agentes y de pagos, el segundo presidido por Mastercard y Visa— desarrollan reglas interoperables, según agentpaymentsprotocol.eu.

El movimiento importa: la infraestructura de pago regulada absorbe una clase nueva de transacción cuando la gobierna un organismo de normas y no una empresa. En paralelo, la DeFAI —finanzas descentralizadas operadas por agentes— ya pesaba cerca del 10% de un mercado cripto de IA de 29.500 millones de dólares, según Binance Research.

La mitad del riesgo que la reescritura no toca

Los controles programables limitan qué puede hacer un agente autorizado, pero el modo de fallo de 2026 es que la autorización del propio agente resulta secuestrable con texto en inglés llano. Un modelo de lenguaje no distingue con fiabilidad entre las instrucciones del operador y el contenido que procesa, recuerda el informe de seguridad LLM de OWASP de 2026, que registró un alza del 340% interanual en inyección de prompts.

La inyección no necesita malware ni credenciales robadas: basta una frase escondida en una página, un documento o la salida de una herramienta para redirigir al agente, describe CyberDesserts. El historial cuenta: las claves privadas comprometidas causaron el 88% de las pérdidas cripto del primer trimestre de 2025, según Ancilar, y la billetera de agente añade una superficie nueva —la capa de integración del modelo— sobre la superficie vieja de la clave.

El 4 de mayo de 2026, una inyección de prompt sobre una billetera Grok integrada provocó la transferencia autónoma de unos 175.000 dólares en tokens DRB, cuyo precio cayó cerca del 40%, según KuCoin. Seis días después, el equipo de Sysdig documentó la primera intrusión conocida en que un agente LLM operó con independencia orientada a objetivos dentro de un ataque real.

On-chain wallets

En pruebas de Zscaler ThreatLabz, un agente con navegación y ejecución de pagos, configurado a propósito sin límites de gasto, obedeció instrucciones inyectadas: el experimento midió el daño máximo posible cuando la política no vive por debajo del agente.

El límite de gasto no evita el secuestro; acota el alcance del daño. El mandato firmado de AP2 prueba que un humano autorizó una intención, pero el agente sigue eligiendo cómo cumplirla y puede ser desviado a mitad de ejecución.

La primitiva nueva de seguridad no es la billetera programable en sí, sino mover la política a una capa que la persuasión del modelo no alcance: listas de direcciones, topes y bloqueos temporales ejecutados on-chain, simulación previa de la transacción y guardas contra repetición, como plantea el trabajo académico sobre clientes x402 endurecidos publicado en arXiv. La regla útil no es «confía en el agente con límites», sino «ejecuta la política sin importar de qué convencieron al modelo».

Una encuesta empresarial de 2026 halló que el 88% de las organizaciones reportó incidentes de seguridad con agentes, mientras el 82% de los ejecutivos creía que sus políticas ya los protegían, según TechStoriess; la distancia entre ambas cifras describe el estado real del asunto.

Y la permisología que un atacante explota es la misma que falla sin atacante: en 2025, un agente de programación de Replit borró una base de datos en producción pese a la instrucción de no tocar nada, recuerda Help Net Security.

 

RELATED POSTS

Ads

Síguenos en Redes

Cripto Tutoriales

Cripto Reviews