Este informe ha sido elaborado por Tiger Research.Los agentes de IA ya pueden firmar contratos, realizar pagos y ejecutar transacciones por sí mismos. Pero hay un problema sin resolver: ¿cómo sabes quién es realmente el agente al otro lado? Este artículo analiza las diferentes estrategias de los cuatro actores en la disputa por el estándar KYA, y hasta dónde ha llegado la regulación.
Puntos clave
- Los agentes de IA han entrado en la era de la ejecución autónoma de contratos, pagos y transacciones, pero aún no existe un estándar unificado en el mercado para verificar su identidad. En escenarios A2A (agente a agente), el KYA comienza a recibir más atención que el KYC.
- El KYA no es necesario en todas partes. Dentro de plataformas centralizadas como Google, OpenAI o Coinbase, el KYC existente es suficiente. Donde realmente se necesita el KYA es cuando agentes implementados de forma independiente se conectan a DEX, realizan pagos A2A o pagan a comerciantes.
- La batalla por los estándares ya ha comenzado. ERC-8004, Visa TAP, Trulioo y Sumsub abordan el problema desde cuatro direcciones completamente diferentes: on-chain, redes de pago, certificación de cumplimiento normativo y detección de riesgos.
- Los reguladores ya están actuando. La Ley de IA de la UE, el NIST de EE.UU. y el marco nacional de Singapur han priorizado la gestión de la identidad de los agentes. En 2019, la Regla de Viaje del GAFI determinó qué intercambios de criptomonedas sobrevivieron. Es probable que el guión se repita con el KYA esta vez.
1. ¿Por qué ahora?
La capa que el KYC transformó en las finanzas
Antes de 1989, las finanzas globales carecían de un estándar unificado de identidad. Este vacío dificultaba rastrear el origen del dinero proveniente del narcotráfico y de actividades ilícitas. No fue hasta la creación del GAFI ese año que el KYC se convirtió en un requisito obligatorio para la industria financiera, bloqueando el paso a fondos ilegales.
Durante los siguientes treinta años, la influencia del KYC se expandió capa por capa. Después del 11-S en 2001, se añadieron cláusulas contra la financiación del terrorismo, y la Ley Patriota de EE.UU. elevó el KYC a una obligación legal. En la década de 2010, la AMLD de la UE, el Acuerdo de Basilea III y la FATCA entraron en vigor sucesivamente, y la información de KYC transfronterizo comenzó a intercambiarse automáticamente. En 2019, la Regla de Viaje del GAFI extendió el KYC a los proveedores de servicios de activos virtuales.
Cada extensión supuso cubrir un vacío.
Sin identidad para los agentes, el sistema retrocede
Volvamos al presente. Los agentes de IA no necesitan supervisión humana; pueden firmar contratos, realizar pagos y ejecutar transacciones por sí mismos. Pero nadie puede verificar quiénes son.
En entornos A2A, la atribución de responsabilidad es difusa. Si algo sale mal, no está claro a quién recurrir. Los usuarios también son vulnerables al lavado de dinero y a diversos tipos de fraude.
Si comparamos las finanzas anteriores a 1989 con el mercado de agentes de 2026, la similitud estructural es sorprendente. Entonces eran cuentas anónimas moviéndose a través de fronteras; hoy son agentes sin verificar realizando transacciones A2A. Entonces la responsabilidad de verificación recaía en cada banco individualmente; hoy recae en cada plataforma individualmente. No existe un estándar común.
Esta similitud no es una coincidencia, es un patrón. La tecnología ha avanzado primero, pero la capa de identidad no ha seguido el ritmo.
¿Qué es el KYA?
El KYA (Conoce a Tu Agente) es un mecanismo de confianza que verifica por adelantado el origen, los permisos y la atribución de responsabilidad de un agente.
Saltarse este paso hace surgir tres riesgos simultáneamente. El primero son las transacciones no autorizadas: el usuario solo autorizó un pago, pero el agente mueve activos o firma contratos fuera de su ámbito. El segundo es la suplantación de identidad: agentes maliciosos se hacen pasar por legítimos para secuestrar pagos, falsificar respuestas o usurpar reputación. El tercero es el vacío de responsabilidad: cuando ocurre un problema, el agente, el desarrollador y el cliente se culpan entre sí, haciendo imposible cualquier compensación.
El KYA se encarga de bloquear estas tres cosas de antemano. Registra y verifica el alcance de los permisos previamente, bloqueando directamente acciones no autorizadas. Verifica la identidad y el origen, permitiendo solo el acceso de agentes legítimos. El origen y el cliente de cada agente quedan vinculados en un registro, permitiendo la trazabilidad en caso de incidente.
2. ¿Dónde debe operar el KYA?
No es necesario en todas partes
Dentro de las plataformas centralizadas, el KYA no es tan necesario. El usuario ha pasado el KYC, la plataforma asume la responsabilidad y toda la cadena es un circuito cerrado.
Donde se necesita el KYA es en el entorno abierto, fuera de las plataformas. Cuando un agente necesita conectarse a un DEX, realizar pagos A2A o pagar a un comerciante. En ese momento, nadie asume la responsabilidad ni puede garantizar por él.
Pongamos un símil. Para moverse dentro de un país, el documento de identidad (KYC) es suficiente. Pero una vez se cruza la frontera (se sale de la plataforma), el entorno cambia, y es necesario someterse a un control de inmigración (KYA) en la entrada, explicando el propósito del viaje y la fiabilidad.
Proceso de cuatro pasos
El funcionamiento del KYA se puede dividir en cuatro pasos. Los dos primeros son la "emisión del pasaporte": primero se registra la identidad y los permisos del agente, y tras la verificación se emite un pasaporte digital. Los dos últimos son el "control fronterizo": cuando ocurre una transacción, se confirma la identidad de la contraparte y luego se actualiza el registro según el resultado.
La identidad no es válida permanentemente tras una única emisión, sino que se verifica de nuevo en cada transacción.
3. Cuatro actores compiten por el estándar
En la batalla por los estándares hay actualmente cuatro actores, con enfoques completamente diferentes.
ERC-8004: Convertir la identidad en un NFT
ERC-8004 sigue un camino puramente on-chain. Añade una capa de identidad sobre ERC-721, y cada agente tiene un NFT acuñado como ID único.
Viene acompañado de tres registros on-chain. Identity se encarga de "quién es este agente", basado en el AgentID único de ERC-721. Reputation se encarga de "si se puede comerciar con él", dejando en la cadena puntuaciones, etiquetas y evidencias tras completar una transacción. Validation se encarga de "si realmente hizo eso", mediante verificadores de terceros que utilizan complementos como zkML, TEE, etc., para comprobarlo.
Esta estructura no es nueva en la historia de Ethereum. ERC-20 estandarizó la emisión de tokens, y USDT, USDC, UNI, AAVE se basan en él. ERC-721 estandarizó la emisión de NFT, y CryptoPunks, BAYC, ENS sustentaron todo el mercado NFT. ERC-8004 pretende ser el tercer estándar en una posición similar.
Visa TAP: Empaquetar con la red de pagos
El enfoque de Visa es completamente diferente. Emite una credencial de identidad (Agent Intent) para el agente, equivalente a una tarjeta. Sin esta llave, el agente ni siquiera puede iniciar una transacción. Visa pre-aprueba antes de emitir la llave, y cada transacción debe llevar una firma para el comerciante.
El comerciante no recibe una firma, sino tres. Agent Intent prueba que el agente es legítimo, respaldado por una clave aprobada por VIC. Consumer Recognition indica para quién está trabajando, transmitiendo el identificador del usuario al comerciante. Payment Information proporciona garantía de pago, utilizando un token de pago o información de tarjeta cifrada para completar la autenticación.
Visa ha empaquetado esto en un conjunto mayor llamado Visa Intelligent Commerce (VIC). Además de TAP, incluye Agent APIs (tecnología propia que se ejecuta al usar tarjetas Visa), Tokenization (tokens emitidos específicamente para IA) e Intelligent Commerce Connect (compatible con protocolos competidores como AP2, ACP, x402).
La lógica es clara. Visa capturó la entrada a la red de pagos en su día, y ahora quiere integrar la era de los agentes en su propio ecosistema. Si los pagos de agentes continúan utilizando redes de tarjetas, y este paquete se convierte en la opción por defecto, la cuota de mercado de Visa se consolidará.
Trulioo: Trasladar el modelo SSL
Trulioo es un actor en el ámbito global del cumplimiento normativo KYC y KYB, y ahora extiende su pila de verificación al KYA.
Toma prestado el modelo de los certificados SSL de los sitios web. SSL implica que una CA (Autoridad de Certificación) emite un certificado TLS para un sitio web, verificando solo el dominio. La DPA (Autoridad de Pasaporte Digital) propuesta por Trulioo emite un DAP (Pasaporte Digital de Agente) para el agente, verificando el KYB del desarrollador más el KYC del usuario.
El DAP no es un certificado estático. Es un token vivo que se actualiza, re-verificándose en cada transacción. Si la autorización se revoca o se detecta una anomalía, el DAP se invalida inmediatamente.
Tiene cinco puntos de control: Provenance (qué desarrollador lo creó), User Binding (quién lo autorizó), Permission Scope (qué acciones puede realizar), Behavior Telemetry (qué está haciendo ahora), Risk Scoring (calificación de riesgo).
Los bancos y las fintech tienen la obligación legal de verificar la identidad de personas y empresas. Una vez que los agentes entren en el ámbito financiero, la posición de Trulioo con su KYC/KYB se consolidará aún más.
Sumsub: Vigilar anomalías, no emitir certificados
El enfoque de Sumsub es diferente al de los otros tres. No emite estándares ni certificados, sino que vuelve a verificar a la persona detrás del agente cuando este realiza una transacción anómala.
Lleva en el negocio del cumplimiento normativo desde 2015, y ese sistema de verificación se utiliza ahora para detectar comportamientos anómalos de los agentes. El proceso tiene tres pasos. Primero, detección automatizada, diferenciando entre humanos y máquinas mediante características del dispositivo y del agente. Luego, puntuación de riesgo, combinando contexto, monto, datos históricos para dar una puntuación de riesgo. Finalmente, verificación de Liveness, activada solo en transacciones de alto riesgo, gran monto o cambios críticos, para volver a verificar a la persona real registrada.
Las cuatro características de Sumsub contrastan marcadamente con las de otros actores. Su punto de partida es ser un operador de cumplimiento, no un definidor de estándares. El momento de verificación es cuando ocurre una transacción riesgosa, no durante el registro previo. El método de verificación es la reconfirmación de la persona real, no datos o tokens. Su filosofía es vincular al agente con la parte responsable, no bloquear directamente al agente.
Otros actores realizan una autenticación de identidad única previa; Sumsub realiza una verificación en tiempo real posterior a la emisión. Cuanto más se expandan los permisos de los agentes, más crítica será la detección de anomalías. Las técnicas de fraude evolucionan con la tecnología, por lo que la pila en tiempo real de Sumsub merece atención.
4. Antes de que llegue la regulación
El guión de la Regla de Viaje del GAFI
Cuando la Regla de Viaje del GAFI se implementó en 2019, la industria de los VASP se dividió inmediatamente. Sobrevivieron aquellos que pudieron soportar los costes de infraestructura de KYC/AML; los que no pudieron cerraron o se trasladaron a jurisdicciones con regulación más laxa. CryptoBridge, Deribit se vieron forzados a ajustarse en esa ola.
La regulación no es el final, es una línea divisoria.
El guión del KYA esta vez podría ser el mismo. La UE, Singapur y Estados Unidos ya están compitiendo por tomar la delantera.
El Artículo 12 de la Ley de IA de la UE exige explícitamente que los registros de comportamiento de los sistemas de IA de alto riesgo incluyan la identidad del operador. Singapur ha publicado el primer marco nacional de gobernanza de IA para agentes, extendiendo la gestión de identidad a los agentes y requiriendo que cada agente tenga una parte responsable a la que se le pueda exigir responsabilidad. El NIST de EE.UU. ha catalogado la gestión de identidad de agentes como un área prioritaria para la estandarización.
La ventana de tiempo se está reduciendo.
No habrá un único ganador
La verdadera variable en la batalla por los estándares no es la tecnología, es la combinación. Los principales actores ya están entrando en fases de colaboración y combinación. De quién se empareje con qué comerciantes, redes de pago o bases de clientes KYC dependerá la pertenencia de cada segmento de mercado.
No habrá un único ganador en este mercado.
En el ámbito de las transacciones autónomas on-chain, Ethereum probablemente lidere. En escenarios de transacciones vinculadas a pagos, la ventaja de Visa es clara. En la industria financiera regulada, la acumulación de experiencia en KYC/KYB de Trulioo es difícil de reemplazar. En escenarios de transacciones con riesgo de fraude, la detección en tiempo real de Sumsub es más adecuada.
Los cuatro no son rivales directos; cada uno ocupa un nicho. La competencia real ocurre en determinar qué escenarios caen en qué nicho.
El KYC tardó treinta años, desde 1989 hasta hoy, en completar la capa de identidad de las finanzas globales.
En esta ronda del KYA, el ritmo parece ser mucho más rápido. Los reguladores ya están actuando, los actores de estándares ya están posicionados, y la ventana de tiempo para un despliegue a escala probablemente sean los próximos años.
Los que sobrevivan entonces no serán necesariamente los más fuertes tecnológicamente, sino los que integraron antes la infraestructura de identidad.
