Cómo he creado mi cerebro digital con IA
12 de febrero 2026
17 de julio | Por Juan Merodio
El otro día, en una conversación con directivos de una empresa mediana, alguien lanzó una pregunta que dejó el silencio flotando en la sala: si un agente de IA firma un contrato en mi nombre, contrata un servicio, ejecuta un pago o comete un error que arruina una operación, ¿quién demonios responde?
Nadie contestó. Y no porque no supieran del tema. Sino porque, cuando bajas la conversación de la nube y la aterrizas en el suelo, te das cuenta de que estamos desplegando entidades autónomas dentro de nuestros negocios sin haber resuelto lo más básico: quién es cada una de ellas y qué puede hacer.
Déjame ser directo: hoy estamos metiendo agentes de IA en flujos críticos de las empresas como quien deja entrar a un desconocido en su casa sin preguntarle ni el nombre. Y nos parece normal.
La realidad es que esto no va a durar mucho. Y no lo digo yo. Lo dice el primer país que se ha atrevido a poner las cosas por escrito.
Llevo un tiempo dándole vueltas a una idea que al principio sonaba a ciencia ficción y hoy me parece inevitable. Voy a formularla en una frase:
Si un agente de IA actúa de forma autónoma, tiene que responder de forma autónoma. Y para responder, tiene que existir jurídicamente. Y para existir jurídicamente, necesita una identidad digital.
En derecho civil existe un principio antiguo que se resume en cuatro palabras en latín: cuius commodum, eius et incommodum. Traducido al castellano de la calle: quien se lleva el beneficio, se lleva también el marrón. No hay atajo. No hay autonomía sin responsabilidad.
Y aquí es donde chocamos con la pared. Un agente de IA hoy es, jurídicamente, un fantasma. No es una persona física. No es una persona jurídica. No es un empleado. No es un contratista. Es un no-sujeto que ejecuta decisiones que sí tienen consecuencias reales sobre personas jurídicas de carne y hueso (o mejor dicho, de escritura pública).
Si mi agente ejecuta una transferencia fraudulenta, ¿la culpa es del desarrollador que lo entrenó, de la plataforma que lo aloja, del proveedor del modelo base, del usuario que le dio la orden, del tercero que le pasó datos manipulados? Todos van a señalar al de al lado. Y mientras tanto, el dinero seguirá desaparecido.
Esto no se sostiene. Punto.
Mientras en Bruselas seguimos afinando la interpretación de la AI Act y en Washington firman compromisos voluntarios que se rompen con un tuit, China acaba de hacer algo que resume perfectamente su forma de pensar: ha publicado el primer estándar nacional para conectividad de agentes de IA y ha establecido que cada agente que opere en el país debe llevar una «tarjeta de identidad digital» [dato a verificar: iniciativa atribuida a la State Administration for Market Regulation (SAMR); confirmar fecha exacta de publicación y alcance regulatorio antes de citar].
Un DNI. Para robots.
Y no es un gesto simbólico. La ficha digital contiene metadatos básicos: quién es el desarrollador responsable, para qué está diseñado el agente, qué parámetros operativos tiene, qué nivel de permisos y qué grado de acceso a datos sensibles. Cuando ese agente interactúa con una plataforma, con un servicio o con otro agente, tiene que presentar su identificación y demostrar que puede hacer lo que dice que va a hacer.
Y aquí viene lo interesante. Si el agente se salta las normas, su identidad digital puede ser revocada. Es decir, deja de existir en el ecosistema. Le quitan el carnet. Adiós. En China, un agente sin DNI es un agente que no opera. Y eso, para las empresas que operan allí, no es un debate filosófico. Es un requisito de acceso al mercado.
Lo que están haciendo tiene tres capas y todas son incómodas si las miras con calma.
La capa de la responsabilidad
Al registrar cada agente, el Estado sabe quién lo puso en circulación, con qué propósito y con qué límites. Si el agente delinque, la responsabilidad tiene nombre y apellidos desde el minuto uno. No hay bola que pasarse.
La capa de la interoperabilidad
Y esta es la parte que menos se está comentando en occidente y que a mí me parece más relevante para cualquier negocio. El estándar obliga a que los agentes hablen entre ellos siguiendo protocolos comunes. Es decir, un agente de reservas de una compañía tiene que poder comunicarse con un agente de pagos de otra y con un agente de logística de una tercera. Sin fricción. Sin walled gardens.
Esto es un torpedo a la línea de flotación del modelo de plataformas cerradas. Y es también, dicho sea de paso, la única forma realista de que los agentes de IA generen valor de verdad en un negocio: cuando pueden encadenarse sin pedir permiso a media docena de departamentos de integración.
La capa del control
Y la parte oscura, que hay que nombrar sin edulcorar. Un sistema donde toda actuación autónoma queda registrada, verificada y vinculada a una identidad centralmente supervisada es una herramienta de trazabilidad brutal. En manos de un Estado con la cultura de vigilancia que tiene China, eso es lo que es. Y no debería sorprender a nadie.
Pero mira, aunque no compartamos el modelo político, la pregunta técnica y jurídica que subyace es válida en cualquier democracia: ¿podemos permitirnos un ecosistema de agentes autónomos sin identidad, sin trazabilidad y sin responsabilidad exigible? Yo creo que no. Y me temo que lo vamos a descubrir por la vía dura si no nos ponemos.
En una sesión reciente en TEKDI, discutiendo con un grupo de directivos cómo estaban integrando agentes de IA en sus operaciones, salió una pregunta que resume el problema: «¿Cómo sabemos qué agente hizo qué, cuándo y con permiso de quién?» La respuesta honesta de la mayoría fue: no lo sabemos. Están automatizando procesos sin log de decisiones autónomas, sin niveles de permiso claros, sin trazabilidad de qué agente accedió a qué dato.
Es como tener una empresa donde entra y sale gente por todas las puertas y nadie firma en recepción. Funciona hasta que un día pasa algo. Y ese día llega siempre.
Y esto aplica a cualquier empresa. Incluida la tuya.
Aunque en Europa no tengamos un estándar equivalente al chino, la dirección es evidente. La AI Act ya introduce obligaciones de transparencia y trazabilidad para sistemas de alto riesgo. Los reguladores sectoriales (bancario, sanitario, seguros) están empezando a preguntar por auditabilidad de decisiones automatizadas. Y las aseguradoras, que son las que suelen marcar el paso real cuando algo se pone serio, van a empezar a exigir identificación y logs verificables antes de asegurar operaciones ejecutadas por agentes.
Traducción: la identidad digital de los agentes no es una moda china. Es la próxima capa de infraestructura empresarial. Lo que hoy hace China por decreto, mañana lo pedirá tu auditor. Y pasado, tu cliente corporativo.
No voy a decirte que corras a comprar un sistema de gestión de identidades para agentes de IA porque la mayoría aún no existen como producto maduro. Pero sí voy a decirte lo que puedes empezar hoy sin gastar un euro.
Empieza por mapear qué agentes autónomos tienes ya operando en tu empresa. Y cuando digo agentes, incluyo desde el flujo de n8n con IA que responde emails hasta ese script que toma decisiones de compra en tu ecommerce. Todo lo que actúa sin que un humano apruebe la acción concreta.
Después, por cada uno de ellos, contesta tres preguntas incómodas. Quién lo desarrolló y a quién se le exigen cuentas si falla. A qué datos accede y con qué permisos. Y qué queda registrado de sus decisiones para poder auditar el día que haga falta.
Si no puedes contestar esas tres preguntas hoy, tu problema no es que China vaya por delante. Tu problema es que estás construyendo tu operación sobre trabajadores invisibles, sin nómina, sin contrato y sin responsabilidad exigible. Y eso, tarde o temprano, revienta.
Te lo voy a dejar en blanco y negro, sin escala de grises.
Puedes seguir desplegando agentes de IA como quien enchufa aparatos a una regleta sin fusible. Confiando en que no pase nada. Confiando en que si pasa, ya se verá. Confiando en que el marco legal llegará tarde y te dará tiempo a maniobrar.
O puedes empezar a tratar a tus agentes como lo que ya son: actores autónomos con capacidad de generar consecuencias reales. Y actuar en consecuencia. Darles identidad, permisos, logs y responsables humanos claros. No porque te obligue Bruselas todavía. Sino porque es lo que separa una operación seria de un experimento que un día se te va de las manos.
China acaba de decir en voz alta lo que Europa lleva meses evitando en los pasillos: no hay agente sin identidad, y no hay identidad sin responsabilidad.
Elige tú qué lado prefieres que te pille preparado.
Juan Merodio
Juan Merodio es conferenciante internacional y emprendedor en innovación, IA y negocio. Con más de 20 años creando y liderando empresas, ha impartido más de 1.000 conferencias en España, Estados Unidos, Japón y Latinoamérica. Fundador de TEKDI y autor de 16 libros. Pero si algo lo define no es su currículum, sino su capacidad para ver lo que viene… y construirlo antes que nadie.
Compartir >>