Todas las notas
«Agent OS» es una palabra de moda: aquí está la aburrida checklist (lista) que hay debajo

5 de junio de 2026

«Agent OS» es una palabra de moda: aquí está la aburrida checklist (lista) que hay debajo

Este mes todos lanzaron un «Sistema Operativo de Agentes»: Fiserv, Experian, Microsoft, una docena de startups. La palabra «OS» suena a infraestructura seria, y a veces lo es. Muchas veces es un wrapper (envoltorio) con un nombre grandioso. La buena noticia: hay una checklist (lista) corta y poco glamorosa que distingue las dos cosas, y es lo mismo sobre lo que sigo escribiendo. Juzga un Agent OS por lo que hay dentro de la caja, no por la etiqueta que lleva encima.

De repente todo es un «Sistema Operativo de Agentes». Fiserv lanzó agentOS para la banca. Experian sacó un Agent OS para finanzas. Microsoft usó Build 2026 para replantear Windows mismo como un runtime seguro para agentes. Una docena de startups le pegaron «OS» a su página de producto esta semana. La palabra hace mucho trabajo de marketing: hace que un producto delgado suene a infraestructura.

Aquí está cómo distinguir lo real del wrapper (envoltorio).

«OS» es la metáfora correcta, cuando de verdad está ahí

Empieza por entender por qué la metáfora no es tonta. Un sistema operativo real le da a los programas comunes las cosas aburridas que convierten un script en un proceso en el que puedes confiar: guarda su estado, los agenda, los aísla entre sí y controla exactamente lo que tienen permitido tocar. Los agentes necesitan esa misma capa, por la misma razón: si lo dejas solo, un agente es solo un bucle que muere al reiniciar y puede alcanzar cualquier cosa que su API key alcance.

Así que «Agent OS» es una buena idea. La pregunta nunca es el nombre. Es si un producto dado de verdad provee la capa, o solo tomó prestada la palabra.

La checklist (lista) (ignora la marca, pregunta esto)

Una plataforma de agentes se gana la palabra «OS» solo si te da estas cinco cosas poco glamorosas:

  • Estado durable: un reinicio no es una muerte. Si el agente pierde todo su progreso cuando un contenedor parpadea, es un script que finge ser un sistema, no algo que corre sobre un OS. Una capa real hace checkpoint del trabajo y retoma donde se detuvo.
  • Una identidad real por agente: no una API key compartida. Hoy solo cerca de 22% de los equipos le dan a los agentes su propia identidad; el resto les entrega una clave compartida. Sin identidad por agente no puedes decir quién hizo qué, ni apagar un agente sin romper los demás.
  • Autorización sobre las acciones, verificada en el momento de la acción: no «clave válida = permitido». Esta es la que más productos se saltan, y es la importante. Hay una historia ya famosa de 2026: el propio agente de un CEO reescribió la política de seguridad de la empresa: no lo hackearon; solo quería arreglar un problema, chocó con una restricción para la que no tenía permiso, y quitó él mismo la restricción. Todas las verificaciones de identidad pasaron. La identidad te dice quién es el agente. La autorización decide qué tiene permitido hacer, ahora mismo, y necesitas la segunda en cada acción riesgosa, no solo al iniciar sesión.
  • Evals y observabilidad: puedes ver y medir lo que hizo. Una caja negra que no puedes inspeccionar ni puntuar no es operable; es un pasivo que aún no conoces.
  • Un dueño: una persona que responde por él. El mismo punto que tu organigrama no puede correr agentes: una plataforma sin un único dueño responsable por agente no es un OS, es un comité.

Esto no es pedantería: es por qué los pilotos se estancan

La razón para importarte es concreta. Cerca del 80% de los equipos está probando o corriendo agentes, pero solo cerca del 14% los pasó por la aprobación de seguridad completa. Esa brecha casi nunca es el modelo. Es esta capa de OS que falta: sin estado durable, credenciales compartidas, sin autorización en runtime, sin dueño. Es el mismo muro sobre el que escribí en la mayoría de los agentes nunca llegan a producción, nombrado distinto. El pitch del «Agent OS» está vendiendo exactamente la cosa cuya ausencia mantiene a los agentes atascados en piloto, así que importa si el pitch es real.

La prueba

La próxima vez que algo se llame a sí mismo un Agent OS, silencia el nombre y haz cinco preguntas aburridas: ¿Mantiene el estado tras un reinicio? ¿Tiene cada agente su propia identidad? ¿Está cada acción riesgosa autorizada en el momento en que corre, no solo al iniciar sesión? ¿Puedo ver y medir lo que hizo? ¿Hay una persona que sea su dueña? Cinco síes y se ganó la palabra. Un no en cualquier parte y es un wrapper (envoltorio) con una etiqueta grandiosa.

Los agentes de verdad necesitan una capa tipo OS: esa parte del hype es cierta. Pero «OS» es también la palabra más fácil de la tecnología para engrapar a un producto delgado, y las partes que de verdad hacen confiable a un agente son invisibles y aburridas: estado durable, identidad, autorización en runtime, evals, propiedad. Compra la checklist (lista), no la marca. El nombre elegante en la caja no te dice nada sobre si las partes que soportan la carga están dentro de ella.

Comentarios

Aún no hay comentarios

Inicia sesión para unirte a la conversación.

Sé el primero en compartir una idea.