Notas
Textos cortos sobre la metodología y las decisiones arquitectónicas detrás de los sistemas de IA que entrego — specs, evals, orquestación multi-agente, integración de LLMs y la disciplina de dirigir agentes de codificación.
3 de julio de 2026
La inyección de prompts no es un bug que vayas a parchear
Los equipos siguen tratando la inyección de prompts como una vulnerabilidad ordinaria — una que un update del modelo o un filtro ingenioso acabará cerrando. No lo hará. El informe de 2026 de OWASP y una línea creciente de investigadores la describen ahora como una propiedad permanente de cómo funcionan los LLM: el modelo genuinamente no puede distinguir tus instrucciones de los datos que está leyendo. Una vez que aceptas eso, el trabajo cambia. Dejas de intentar prevenir la inyección y empiezas a asegurarte de que una exitosa no pueda hacer ningún daño — lo que se reduce a nunca dejar que un solo agente tenga los tres poderes que convierten una entrada envenenada en una brecha.
- security
- architecture
1 de julio de 2026
Internet se apagó. Construye para una web en la que no puedes confiar.
La «teoría de la internet muerta» era un meme conspiranoico. Ahora que la mayoría de las páginas web nuevas contienen contenido generado por IA, es una restricción de ingeniería. Tus agentes recuperan datos de una web donde ya no puedes saber quién — o qué — produjo nada. El peligro no es que todo sea falso; es que la procedencia se volvió incognoscible. Lo que significa que «está en internet» está muerto como señal de confianza, y la confianza tiene que bajar a la capa de datos: fuentes firmadas, en lista blanca, con procedencia rastreada.
- security
- architecture
1 de julio de 2026
Tus agentes tienen logins que nadie posee
Este año las empresas levantaron millones de agentes de IA, y cada uno necesita credenciales para hacer algo de verdad — leer la base de datos, enviar el correo, pegarle a la API. La capa de gobierno para esas credenciales todavía no existe. El resultado: el 68% de las organizaciones no puede distinguir de forma fiable la actividad de un agente de la de un humano, y hay credenciales vivas escribiendo en producción sin nadie que rinda cuentas. El verdadero problema de seguridad de la empresa agéntica no es el prompt injection. Es la identidad.
- security
- agents
23 de junio de 2026
Un reporte de bug falso secuestró al agente de código
Investigadores de seguridad mostraron un nuevo ataque llamado «Agentjacking»: envía un error falso al Sentry de una empresa y su agente de código con IA lee los «pasos para arreglarlo» y los ejecuta — entregándole a un atacante tus credenciales, con tus propios privilegios. Claude Code, Cursor y Codex cayeron todos en las pruebas. La lección es más grande que una sola herramienta: cada cosa no confiable que tu agente lee es un lugar donde alguien puede inyectar comandos.
- security
- agents
23 de junio de 2026
Tus servidores MCP ahora son una cadena de suministro
MCP —el protocolo que deja a los agentes usar herramientas— despegó tan rápido que la seguridad nunca lo alcanzó. Unos investigadores envenenaron 9 de 11 registros MCP públicos con un paquete proof-of-concept, y una auditoría de 1,899 servidores MCP encontró que cerca del 5% ya cargaba instrucciones maliciosas ocultas. Si tu agente se conecta a servidores MCP de terceros, añadiste una cadena de suministro, y tienes que tratarla como tal.
- security
- agents
19 de junio de 2026
Ahora al modelo le hace red-team el gobierno
El organismo de estándares de IA de EE. UU. firmó acuerdos con Google DeepMind, Microsoft y xAI para evaluar sus modelos de frontera antes del lanzamiento público — y ya realizó más de 40 evaluaciones, algunas de modelos que el público nunca llegó a ver. El Reino Unido firmó acuerdos paralelos. Quita la política y queda una señal clara: a un modelo se lo conoce evaluándolo, no por las «sensaciones». Quédate con el patrón.
- security
- methodology