Este informe fue elaborado por Tiger Research. Los agentes de IA ya pueden firmar contratos, realizar pagos y ejecutar operaciones por sí mismos. Pero aún queda un problema sin resolver: ¿cómo sabes quién es realmente el agente del otro lado? Este artículo analiza las distintas estrategias de los cuatro actores en la disputa por el estándar KYA y hasta dónde ha llegado la regulación.
Puntos clave
- Los agentes de IA han entrado en la era de la ejecución autónoma de contratos, pagos y transacciones, pero aún no existe un estándar unificado en el mercado para verificar la identidad. En escenarios A2A (agente a agente), KYA comienza a recibir más atención que KYC.
- KYA no es necesario en todos los lugares. Dentro de plataformas centralizadas como Google, OpenAI y Coinbase, el KYC existente es suficiente. Lo que realmente necesita KYA es cuando agentes independientes se conectan a DEX, pagos A2A o pagos comerciales.
- La batalla por los estándares ya ha comenzado. ERC-8004, Visa TAP, Trulioo y Sumsub abordan respectivamente cuatro direcciones distintas: en la cadena, redes de pago, certificación de cumplimiento y detección de riesgos.
- La regulación ya ha actuado. La ley de IA de la UE, el NIST de EE.UU. y el marco nacional de Singapur han priorizado la gestión de identidades de agentes. La regla de viaje de la FATF en 2019 determinó qué intercambios de criptomonedas sobrevivieron; es muy probable que la historia se repita con KYA.
1. ¿Por qué ahora?
KYC redefinió esa capa de las finanzas
Antes de 1989, el sistema financiero global no tenía un estándar unificado de identidad. Este vacío hizo que fuera difícil rastrear el origen del dinero proveniente de drogas y otros fondos ilícitos. Hasta ese año, cuando se creó la FATF, el KYC se convirtió en un requisito obligatorio en la industria financiera, bloqueando el dinero ilícito.
Durante las tres décadas siguientes, el impacto del KYC se extendió capa tras capa. Tras el 11 de septiembre de 2001, se añadieron cláusulas contra el financiamiento del terrorismo, y la Ley Patriota de EE. UU. elevó el KYC a una obligación legal. En la década de 2010, la AMLD de la UE, el Acuerdo de Basilea III y el FATCA entraron en vigor sucesivamente, y la información de KYC transfronteriza comenzó a intercambiarse automáticamente. En 2019, la Regla de Viaje de la FATF extendió el KYC a los proveedores de activos virtuales.
Cada extensión llena un vacío.
Sin identidad de agente, el sistema está retrocediendo
Volvamos al presente. Los agentes de IA pueden firmar contratos, realizar pagos y hacer operaciones por sí solos, sin necesidad de que los humanos los supervisen. Pero nadie puede verificar quién es.
En el entorno A2A, la responsabilidad es borrosa. Nadie puede decir a quién recurrir cuando surge un problema. Los usuarios también fácilmente se encuentran con lavado de dinero y diversos tipos de estafas.
Al comparar las finanzas antes de 1989 con el mercado de agentes en 2026, la estructura es sorprendentemente similar. Entonces, las cuentas anónimas fluían transfronterizamente; hoy, los agentes no verificados realizan transacciones A2A. Entonces, la responsabilidad de verificación recaía en cada banco individualmente; hoy, recae en cada plataforma individualmente. No existen estándares comunes.
Esta similitud no es coincidencia, es una regla. La tecnología avanzó primero, pero la capa de identidad no siguió el ritmo.
¿Qué es KYA?
KYA (Know Your Agent) es un mecanismo de confianza que verifica por adelantado el origen, los permisos y la asignación de responsabilidades del agente.
Omita este paso y tres riesgos surgirán simultáneamente. El primero es el comercio excesivo: el usuario solo autorizó el pago, pero el agente mueve activos y firma contratos fuera del alcance autorizado. El segundo es la suplantación de identidad: un agente malicioso se disfraza como legítimo, secuestra pagos, falsifica respuestas y roba reputación. El tercero es el vacío de responsabilidad: tras un incidente, el agente, el desarrollador y el principal se echan la culpa unos a otros, y no se puede rastrear la compensación.
KYA simplemente bloquea por adelantado estas tres cosas. Registra y verifica los rangos de permisos con anticipación, y bloquea directamente cualquier acción excesiva. Verifica la identidad y el origen, permitiendo solo que agentes legítimos ingresen. El origen y el mandante de cada agente están vinculados en los registros, lo que permite rastrear cualquier incidente.
2. ¿Dónde funcionará KYA?
No es necesario en todos lados
En realidad, las plataformas centralizadas no necesitan mucho KYA. Los usuarios completan el KYC y la plataforma asume la responsabilidad; todo el flujo es cerrado.
Quien necesita KYA es el entorno abierto fuera de la plataforma. El agente debe conectarse con DEX, realizar pagos A2A y pagar a comerciantes. En ese momento, nadie respalda ni puede garantizar por él.
Por ejemplo, dentro de un país, basta con tener una identificación nacional (KYC). Pero al cruzar la frontera (salir de la plataforma), el entorno cambia y debes someterte a una revisión en la aduana (KYA), explicando claramente tu propósito y credibilidad.
Proceso de cuatro pasos
El funcionamiento de KYA se puede dividir en cuatro pasos. Los dos primeros son la "emisión de pasaporte": primero se registra la identidad y los permisos del agente, y tras la verificación, se emite un pasaporte digital. Los dos últimos son la "revisión de entrada": al producirse una transacción, se confirma la identidad del otro participante y luego se actualiza el registro según el resultado de la transacción.
La identidad no se emite una vez y es válida permanentemente, sino que se vuelve a verificar en cada transacción.
3. Cuatro jugadores compiten por el estándar
En la disputa de estándares, actualmente hay cuatro participantes con rutas completamente diferentes.
ERC-8004: Convertir la identidad en un NFT
ERC-8004 sigue un enfoque completamente en la cadena. Añade una capa de identidad sobre ERC-721, donde cada agente se acuña como un NFT único como ID.
Cuenta con tres registros en la cadena: Identity se encarga de "quién es este agente", mediante un AgentID único basado en ERC-721. Reputation se encarga de "si se puede comerciar con él", dejando calificaciones, etiquetas y evidencias en la cadena tras la transacción. Validation se encarga de "si realmente realizó ese evento", verificado por validadores externos mediante plugins como zkML o TEE.
Esta estructura no es la primera vez que ocurre en la historia de Ethereum. ERC-20 estandarizó la emisión de tokens, y USDT, USDC, UNI, AAVE crecieron sobre ella. ERC-721 estandarizó la emisión de NFT, y CryptoPunks, BAYC, ENS sustentaron todo el mercado de NFT. ERC-8004 tiene la intención de desempeñar el mismo papel como el tercer estándar.
Visa TAP: Empaquetar con la red de pagos
La aproximación de Visa es completamente diferente. Le otorga al agente una credencial de identidad (Agent Intent), equivalente a una tarjeta. Sin esta llave, el agente ni siquiera puede iniciar una transacción. Visa aprueba previamente y luego entrega la llave; cada transacción debe llevar una firma al comerciante.
El comerciante recibe no un solo firmado, sino tres. Agent Intent prueba la legitimidad del agente, respaldado por una clave aprobada por VIC. Consumer Recognition indica a quién representa, transmitiendo el identificador de usuario al comerciante. Payment Information proporciona garantía de pago, autenticando con un token de pago o información de tarjeta hasheada.
Visa incluyó todo esto en un paquete más grande llamado Visa Intelligent Commerce (VIC). Además de TAP, incluye Agent APIs (la tecnología propia de Visa para el uso de tarjetas Visa), Tokenization (tokens específicos para IA) e Intelligent Commerce Connect (compatible con protocolos competidores como AP2, ACP y x402).
La lógica es clara. Visa captó la entrada de la red de pagos en su día y ahora quiere integrar la era de los agentes inteligentes en su propio sistema. Si los pagos con agentes inteligentes continúan por la red de tarjetas y este paquete se convierte en la opción predeterminada, la cuota de Visa se mantendrá estable.
Trulioo: lleva el mismo sistema de SSL
Trulioo es un jugador en el sector global de cumplimiento KYC y KYB, y ahora ha ampliado su pila de verificación hacia KYA.
Se inspira en el modelo de los certificados SSL de los sitios web. El SSL consiste en que una CA (Autoridad de Certificación) emite certificados TLS a los sitios web, verificando únicamente el dominio. Trulioo propone la DPA (Autoridad de Pasaporte Digital), que emite DAP (Pasaporte de Agente Digital) a los agentes, verificando el KYB del desarrollador y el KYC del usuario.
DAP no es un certificado estático. Es un token activo que se actualiza y se vuelve a validar en cada transacción. Una vez que se retira el mandato o se detecta una anomalía, DAP se invalida inmediatamente.
Tiene cinco puntos de control: Provenance (quién lo desarrolló), User Binding (quién autorizó), Permission Scope (qué acciones puede realizar), Behavior Telemetry (qué está haciendo actualmente), Risk Scoring (calificación de riesgo).
Los bancos y las fintech están legalmente obligados a verificar la identidad de personas y empresas. Una vez que los agentes ingresan al ámbito financiero, la posición de Trulioo en KYC y KYB se vuelve aún más sólida.
Sumsub: Monitorear anomalías, no emitir certificados
La aproximación de Sumsub es diferente a las tres anteriores. No emite estándares ni certificados, sino que vuelve a verificar a la persona detrás de un agente cuando se detecta una transacción anormal.
Ha estado operando de forma regulada desde 2015, y ese sistema de verificación ahora se utiliza para detectar comportamientos anómalos de los agentes. El proceso consta de tres pasos. Primero, se realiza una detección automatizada, que distingue entre humanos y máquinas mediante características de dispositivos y agentes. Luego, se asigna una puntuación de riesgo, que combina contexto, monto y datos históricos para generar una calificación de riesgo. Finalmente, se realiza la verificación de Liveness, que solo se activa en casos de alto riesgo, montos elevados o cambios críticos, para volver a confirmar la identidad de una persona registrada.
Las cuatro características de Sumsub se distinguen claramente de las de otros jugadores. Su punto de partida es el operador cumplido, no el establecedor de normas. El momento de verificación es durante la transacción de riesgo, no durante el registro previo. El método de verificación es la confirmación por una persona real, no mediante datos o tokens. La filosofía es vincular al agente con la parte responsable, en lugar de bloquear directamente al agente.
Otros jugadores realizan una verificación de identidad única antes de realizar acciones, mientras que Sumsub realiza verificaciones en tiempo real después de la emisión. Cuanto más se amplían los permisos del agente, más crítica se vuelve la detección de anomalías. Los métodos de fraude evolucionan con la tecnología, y la pila en tiempo real de Sumsub merece atención.
4. Antes de que se implemente la regulación
Guión de la regla de viaje de la FATF
Cuando se implementó la regla de viaje de la FATF en 2019, la industria VASP se dividió inmediatamente. Los que pudieron soportar los costos de la infraestructura KYC y AML sobrevivieron; los que no pudieron cerraron o se mudaron a lugares con regulaciones más laxas. CryptoBridge y Deribit tuvieron que ajustarse en esa ola.
La regulación no es el final, sino un punto de inflexión.
KYA podría ser el mismo guion esta vez. La Unión Europea, Singapur y Estados Unidos ya están compitiendo por la delantera.
El artículo 12 de la ley de la UE sobre IA exige explícitamente que los registros de actividad de los sistemas de IA de alto riesgo incluyan la identidad del operador. Singapur lanzó el primer marco nacional de gobernanza de IA para agentes del mundo, extendiendo la gestión de identidad a los agentes y requiriendo que cada agente tenga una parte responsable rastreable. El NIST de EE. UU. ha clasificado la gestión de identidad de agentes como un área prioritaria para estándares.
El plazo se está reduciendo.
No habrá un solo ganador
La verdadera variable en la disputa de estándares no es la tecnología, sino la combinación. Los principales actores ya han entrado en la fase de colaboración y combinación. Quién se empareja con qué comerciantes, redes de pago y grupos de clientes KYC determinará la asignación de cada segmento de mercado.
No habrá un solo ganador en este mercado.
En el ámbito de las transacciones autónomas en la cadena, Ethereum probablemente lidera. En escenarios de transacciones vinculadas a pagos, Visa tiene una ventaja clara. En la industria financiera regulada, el conocimiento de cliente (KYC) y conocimiento de empresa (KYB) de Trulioo es difícil de reemplazar. Para escenarios de transacciones con riesgo de fraude, la detección en tiempo real de Sumsub es más adecuada.
Las cuatro empresas no son rivales directos; cada una ocupa su propio territorio. La verdadera competencia ocurre en qué escenarios se asignan a qué territorio.
KYC ha tardado treinta años, desde 1989 hasta hoy, para completar la capa de identidad global en finanzas.
En esta ronda, el ritmo parece mucho más rápido. La regulación ya ha actuado, los jugadores estándar ya se han posicionado, y la ventana de tiempo para la implementación a gran escala podría ser los próximos años.
Los que sobrevivan no serán necesariamente los de mayor tecnología, sino los que integren antes la infraestructura de identidad.