La Frontera IA

IA y tecnología sin humo, con método y criterio.

Categoría: Análisis

Lectura crítica de tendencias, anuncios y cambios relevantes en IA y tecnología.

  • Seguridad avanzada en ChatGPT: por qué las passkeys importan también para Codex

    Seguridad avanzada en ChatGPT: por qué las passkeys importan también para Codex

    Resumen rápido: OpenAI ha lanzado Advanced Account Security, un modo opcional que endurece el acceso a ChatGPT y Codex con passkeys o llaves físicas, recuperación más estricta, sesiones más cortas y exclusión automática del entrenamiento. No es una función vistosa de IA, pero sí una señal importante: las cuentas de IA ya se están tratando como infraestructura sensible, no como simples apps de consumo.

    Ficha rápida

    • Tema: seguridad avanzada para cuentas de IA.
    • Para quién: usuarios intensivos de ChatGPT/Codex, perfiles técnicos, periodistas, investigadores y equipos que conectan IA a herramientas de trabajo.
    • Dificultad: media: el concepto es simple, pero la recuperación de cuenta exige disciplina.
    • Tiempo de lectura: 6-8 minutos.
    • Idea clave: más seguridad implica menos margen para recuperar la cuenta “a la antigua”.

    Qué ha anunciado OpenAI

    OpenAI presentó el 30 de abril de 2026 Advanced Account Security, un ajuste opcional para cuentas de ChatGPT que también protege el acceso a Codex cuando se usa el mismo login.

    La propuesta no consiste en “otra capa de 2FA” genérica. OpenAI agrupa varias decisiones de seguridad en un modo reforzado:

    • inicio de sesión con passkeys o llaves físicas de seguridad;
    • desactivación del login basado en contraseña;
    • recuperación de cuenta sin email ni SMS;
    • sesiones más cortas y más visibilidad sobre sesiones activas;
    • exclusión automática de entrenamiento para las conversaciones de cuentas inscritas.

    El detalle menos cómodo es también el más importante: OpenAI avisa de que soporte no podrá recuperar la cuenta de usuarios inscritos si pierden sus métodos fuertes de recuperación.

    Por qué importa más de lo que parece

    Durante años, una cuenta de una app era básicamente un perfil, un historial y poco más. Una cuenta de IA moderna puede contener algo mucho más delicado: contexto personal, documentos, fragmentos de código, memoria de trabajo, integraciones con herramientas externas y tareas delegadas a agentes.

    Eso cambia el modelo de riesgo. Si alguien toma una cuenta de ChatGPT o Codex, no solo puede leer conversaciones: puede entender proyectos, acceder a flujos conectados, manipular tareas o extraer contexto que antes estaba disperso entre varias herramientas.

    Por eso este lanzamiento es relevante aunque no sea tan llamativo como un modelo nuevo. Marca una normalización: las cuentas de IA empiezan a requerir controles parecidos a los de correo corporativo, repositorios de código o gestores de identidad.

    Qué cambia en la práctica

    La pieza central es la autenticación resistente al phishing. Las passkeys y las llaves FIDO reducen el valor de robar una contraseña porque no dependen de escribir un secreto reutilizable en una página que puede ser falsa. La FIDO Alliance describe las passkeys como credenciales pensadas para reemplazar contraseñas con autenticación criptográfica vinculada al servicio legítimo.

    También cambia la recuperación. Email y SMS son cómodos, pero suelen ser el eslabón débil: si un atacante controla el correo o intercepta el número, puede intentar resetear cuentas críticas. OpenAI opta por métodos de recuperación más duros: passkeys de respaldo, llaves de seguridad y claves de recuperación.

    La contrapartida es clara: si activas este modo, tienes que gestionar tus llaves como gestionarías las llaves de casa o una seed phrase. No basta con “ya me acordaré”.

    Control Beneficio Coste real
    Passkeys / llaves físicas Mejor defensa frente a phishing Necesitas respaldo bien guardado
    Sin recuperación por email/SMS Menos riesgo si comprometen correo o teléfono Recuperar la cuenta será más difícil
    Sesiones más cortas Menor ventana si un dispositivo queda expuesto Más fricción al iniciar sesión
    Exclusión automática de entrenamiento Mejor postura para información sensible No sustituye políticas internas de datos

    Sustancia vs marketing

    Sustancia: el movimiento ataca problemas reales: phishing, recuperación débil, sesiones persistentes y sensibilidad creciente de las cuentas de IA. También reconoce que Codex y los agentes convierten la cuenta en un punto de control operativo, no solo conversacional.

    Marketing: no convierte automáticamente una organización en segura. Si un usuario pega secretos en chats, conecta herramientas sin revisar permisos o pierde sus llaves de recuperación, el riesgo sigue existiendo. Tampoco reemplaza SSO, políticas de dispositivo, auditoría, gestión de secretos ni revisiones de permisos en entornos empresariales.

    La lectura útil: Advanced Account Security no es “seguridad total”; es una buena base para perfiles donde una cuenta de IA ya contiene contexto de alto valor.

    Quién debería activarlo

    Tiene sentido para usuarios que usan ChatGPT o Codex con información sensible: código privado, investigación, estrategia empresarial, fuentes periodísticas, documentación interna o flujos con herramientas conectadas.

    También encaja con desarrolladores que usan Codex como parte de su proceso de trabajo. Si el agente puede leer repositorios, proponer cambios o mantener contexto técnico, proteger el login deja de ser una preferencia y pasa a ser una medida básica.

    No lo activaría a la ligera quien no tenga preparado un plan de recuperación: al menos dos métodos fuertes, una llave o passkey de respaldo y una clave de recuperación guardada fuera del dispositivo principal.

    Fuentes y transparencia editorial

    Este análisis se basa principalmente en el anuncio oficial de OpenAI y en documentación pública sobre passkeys/FIDO. No se ha copiado la estructura ni el texto del anuncio; la pieza interpreta el impacto práctico para usuarios técnicos y equipos que usan IA como herramienta de trabajo.

    FAQ

    ¿Advanced Account Security está pensado solo para empresas?

    No. OpenAI lo plantea para personas con mayor riesgo digital y usuarios que quieran máxima protección. Aun así, el caso de uso empresarial es evidente cuando ChatGPT o Codex se conectan a trabajo real.

    ¿Una passkey es lo mismo que una contraseña fuerte?

    No. Una passkey usa criptografía y está vinculada al servicio legítimo, por lo que reduce mucho el riesgo de phishing frente a contraseñas tradicionales.

    ¿Debería activarlo todo el mundo?

    No necesariamente. Si no tienes una estrategia de recuperación, puede ser contraproducente. Para cuentas con información sensible, sí merece una revisión seria.

    ¿Esto elimina el riesgo de filtrar datos a una IA?

    No. Protege el acceso a la cuenta, pero no sustituye buenas prácticas: no subir secretos, revisar integraciones, limitar permisos y separar contextos personales/profesionales.

    SEO y enlaces internos sugeridos

    • Keyword principal: seguridad avanzada ChatGPT.
    • Secundarias: passkeys ChatGPT, seguridad Codex, llaves FIDO, cuentas de IA.
    • Meta title: Seguridad avanzada en ChatGPT: passkeys y Codex
    • Meta description: OpenAI lanza Advanced Account Security para ChatGPT y Codex. Qué protege, qué riesgos reduce y quién debería activarlo.
    • Categoría: Análisis / IA y seguridad.
    • Enlaces internos sugeridos: artículo sobre OpenAI en AWS y artículo sobre agentes de IA en producción.
  • Gemini Enterprise Agent Platform: qué cambia para los agentes de IA en producción

    Gemini Enterprise Agent Platform: qué cambia para los agentes de IA en producción

    Resumen rápido: Google ha presentado Gemini Enterprise Agent Platform en Cloud Next ’26. Lo relevante no es “otro producto de agentes”, sino el intento de convertir los agentes de IA en infraestructura gobernada: identidad, runtime, memoria, evaluación, observabilidad, CLI y skills reutilizables.

    Mi lectura: esto apunta a una fase menos vistosa pero más importante de la IA empresarial. El debate ya no es solo qué modelo responde mejor, sino qué plataforma permite que un agente actúe durante horas o días sin romper seguridad, costes ni trazabilidad.

    Ficha rápida

    • Tema: Gemini Enterprise Agent Platform y el paso de agentes experimentales a agentes productivos.
    • Para quién: equipos técnicos, CTOs, builders de automatización e IA aplicada.
    • Dificultad: media.
    • Tiempo de lectura: 7 minutos.
    • Idea clave: los agentes empiezan a parecerse más a una capa de plataforma que a una demo de chatbot.

    Qué ha anunciado Google

    En Cloud Next ’26, Google presentó Gemini Enterprise Agent Platform, una plataforma para construir, desplegar, gobernar y optimizar agentes de IA en entorno empresarial.

    La frase importante del anuncio es que Google plantea esta plataforma como evolución de Vertex AI para el desarrollo de agentes. Según Google, las capacidades futuras de Vertex AI se entregarán a través de Agent Platform, no como servicio aislado.

    Junto a esa plataforma, Google también anunció Agents CLI in Agent Platform, pensado para que asistentes de código y desarrolladores puedan crear, evaluar y desplegar agentes con una interfaz programática. Además, lanzó un repositorio oficial de Agent Skills para dar a los agentes conocimiento compacto y reutilizable sobre productos de Google Cloud.

    Por qué importa ahora

    Durante 2023 y 2024, gran parte de la conversación sobre agentes fue experimental: demos con navegación web, scripts que encadenan herramientas, frameworks cambiantes y muchas promesas. En producción, el problema real era menos glamuroso: seguridad, identidad, permisos, observabilidad, evaluación, costes, memoria y despliegue.

    El anuncio de Google va directamente a esa capa. Habla de agentes con identidad propia, registro, gateway, runtime, memoria persistente, entornos aislados, evaluación y trazas. Es decir: las piezas que una empresa necesita antes de permitir que un agente toque sistemas internos.

    Esto no significa que los agentes autónomos ya estén resueltos. Significa que los grandes proveedores cloud están empaquetando el problema como una plataforma corporativa. Y eso cambia el tipo de conversación: menos “mira lo que puede hacer mi bot” y más “cómo audito, limito y mantengo este comportamiento en producción”.

    Las piezas técnicas relevantes

    Hay tres bloques del anuncio que merecen atención técnica.

    1. Runtime, memoria y workflows largos

    Google promete soporte para agentes de larga duración, con workflows que pueden mantenerse durante días, y una capa de memoria llamada Agent Memory Bank. Si funciona como se describe, esto ataca una limitación práctica: muchos agentes actuales son buenos en sesiones cortas, pero malos manteniendo continuidad fiable.

    La oportunidad está clara: ventas, soporte, operaciones internas, investigación, análisis documental o tareas asíncronas que no caben en una única interacción. El riesgo también: memoria mal gobernada, datos obsoletos o agentes que arrastran contexto incorrecto.

    2. Gobierno: identidad, registro y gateway

    La parte más seria del anuncio no es el modelo, sino el control. Agent Identity, Agent Registry y Agent Gateway apuntan a una idea básica: cada agente debe tener identidad rastreable, permisos limitados y rutas de acceso controladas.

    Para empresas, esto es más importante que una demo espectacular. Sin identidad y trazabilidad, un agente que ejecuta acciones es una caja negra con acceso a sistemas críticos.

    3. Agents CLI y Skills

    Agents CLI intenta resolver el salto entre prototipo local y despliegue. Según Google, puede ayudar a crear proyectos, ejecutar evaluaciones, preparar infraestructura y publicar agentes en Gemini Enterprise.

    El repositorio de Skills tiene otra lectura interesante. En vez de inyectar documentación masiva en cada prompt, los skills funcionan como conocimiento compacto cargado bajo demanda. Es una respuesta práctica al “context bloat”: demasiada documentación en contexto puede empeorar precisión y aumentar coste.

    Sustancia vs marketing

    Sustancia: Google está moviendo el desarrollo de agentes hacia una capa de plataforma con identidad, runtime, evaluación, observabilidad, memoria y despliegue. Eso sí es una señal fuerte de madurez del mercado.

    También hay marketing. Frases como “autonomous enterprise” o “production in hours” deben leerse con cuidado. En una empresa real, producción no es solo desplegar: implica seguridad, compliance, datos, permisos, pruebas, rollback, costes y responsabilidad humana.

    La parte creíble es que los proveedores cloud están convirtiendo los agentes en un producto de infraestructura. La parte que aún hay que demostrar es si estos agentes serán fiables fuera de casos bien acotados y si el coste operativo compensa frente a automatizaciones más deterministas.

    Qué debería hacer un equipo técnico

    Si estás evaluando agentes en 2026, mi recomendación no es “migrar ya a Google”. Es más simple: usar este anuncio como checklist.

    • Identidad: cada agente debe tener permisos propios, no usar credenciales humanas compartidas.
    • Entorno aislado: ejecución de código y navegación en sandbox, nunca directamente contra sistemas críticos.
    • Evaluación: datasets de prueba, métricas y comparación entre versiones antes de producción.
    • Observabilidad: trazas de decisiones, llamadas a herramientas, errores y costes.
    • Memoria controlada: política clara sobre qué se guarda, cuánto tiempo y cómo se corrige.
    • Human-in-the-loop: aprobación humana en decisiones caras, irreversibles o sensibles.

    El valor práctico del anuncio es que pone nombre a esas piezas. Aunque no uses Google Cloud, esa arquitectura mental sirve para evaluar cualquier stack de agentes: OpenAI, Anthropic, Microsoft, AWS, LangGraph, Temporal, CrewAI o soluciones internas.

    FAQ

    ¿Gemini Enterprise Agent Platform reemplaza a Vertex AI?

    Google lo presenta como evolución de Vertex AI para el desarrollo de agentes. Según el anuncio, las evoluciones futuras de servicios y roadmap de Vertex AI se entregarán mediante Agent Platform.

    ¿Esto significa que los agentes ya son fiables en producción?

    No automáticamente. Significa que Google está empaquetando las capacidades necesarias para llevarlos a producción. La fiabilidad dependerá del caso de uso, datos, permisos, evaluación y supervisión.

    ¿Qué son los Agent Skills?

    Son paquetes compactos de conocimiento y capacidades para agentes. La idea es evitar cargar documentación enorme en el contexto y dar al agente información más específica cuando la necesita.

    ¿Debería una empresa adoptar esto ya?

    Solo si tiene un caso de uso claro y acotado. Para exploración, merece la pena probar. Para producción, primero hay que definir seguridad, evaluación, observabilidad y límites de actuación.

    Fuentes y transparencia editorial

    Transparencia editorial: este artículo no copia la estructura de las fuentes. Resume los anuncios oficiales, los conecta entre sí y aporta lectura crítica sobre su valor real para equipos técnicos. No está patrocinado.

    SEO y enlaces internos sugeridos

    • Keyword principal: Gemini Enterprise Agent Platform.
    • Keywords secundarias: agentes de IA en producción, Google Cloud agents, Agents CLI, Agent Skills, IA empresarial.
    • Categoría: Análisis / Herramientas IA.
    • Enlaces internos sugeridos: guía futura sobre agentes de IA en producción; comparativa futura Google vs OpenAI vs Anthropic para agentes empresariales.