BLOG | OFICINA DEL CTO

Las API son los guardianes de la IA agente.

Miniatura de James Hendergart
James Hendergart
Publicado el 30 de abril de 2025

Los agentes de IA están apareciendo en todas partes. Prometen hacernos la vida más fácil al saber cómo hacer todo lo que sea necesario. Esto significa que los agentes necesitan acceder a recursos como servicios, herramientas y datos, pero ese acceso no debe ser ilimitado. Para operar de manera responsable, los recursos sólo deben ser accesibles en el contexto apropiado. Las siguientes pautas demuestran cómo funcionan las API para lograr este objetivo.

Los estándares promueven las API como intermediarios estructurados.

Las API son un intermediario estructurado. La invocación de API crea un espacio de ejecución donde los actores encuentran recursos, se controla el acceso y se verifica la autorización. Las API son flexibles, reducen la exposición y al mismo tiempo permiten una variedad de acciones aprobadas por el negocio. La desventaja de la flexibilidad es la falta de estándares que inhiben la interoperabilidad. Por lo tanto, los estándares emergentes como Model Context Protocol (MCP), Open Agentic Schema Framework (OASF), LangChain Agent Protocol y Agent2Agent Protocol (A2A) son un paso en la dirección correcta. Promueven el diseño reflexivo de API y la utilización de las API como la interfaz externa principal dentro de los ecosistemas de agencias. Ecosistemas de servicios, herramientas y datos que los agentes utilizarán para llevar a cabo sus planes de trabajo autodirigidos.

API seguras mediante servicios de infraestructura.

Las aplicações comerciales actuales exponen su funcionalidad a través de API, pero las API no funcionan solas. Las puertas de enlace consolidan funciones entre API, como acceso de usuarios, autorización y descubrimiento de servicios. Los firewalls filtran puertos, admiten reglas de enrutamiento y protegen contra solicitudes de protocolo malformadas. Los servidores proxy de autorización implementan controles de identidad avanzados, como flujos de códigos de autorización y búsquedas de políticas. Las API son la puerta de entrada a las aplicações comerciales. Los servicios de infraestructura agilizan, mejoran y permiten la validación adecuada de las solicitudes a las API.

La validación dinámica reemplazará a la validación estática.

Cuando un agente de IA no tiene permiso para realizar una acción específica, puede colaborar con otro agente que sí tenga permiso. Esto permite que los flujos de trabajo continúen sin violar los límites de acceso. Por ejemplo, un asistente de compras podría solicitar un código de descuento a un agente de cumplimiento en lugar de obtenerlo directamente de una base de datos confidencial. Las API facilitan esta interacción preservando al mismo tiempo la separación de funciones. Esto funciona bien hoy en día porque los agentes pueden actuar en nombre de un usuario o rol humano. 

Los usuarios y roles representan esquemas de permisos estáticos fácilmente compatibles con los sistemas de identidad y políticas actuales. De cara al futuro, es concebible que los propios agentes lleguen a poseer su propia identidad (o múltiples identidades), lo que aumentará la necesidad de contar con fuertes barreras de protección para gobernar el acceso a los recursos en una amplia variedad de situaciones. Con el tiempo, las medidas de seguridad dinámicas de confianza cero, que validan al solicitante, el recurso de destino y la acción en tiempo de ejecución, reemplazarán la validación estática y predefinida. 

Los diseños basados en API estarán en auge.

Las API son vitales para los agentes de IA porque necesitan una delimitación clara de a qué recursos pueden acceder y qué contexto de seguridad utilizar para cada acción que realizan. Cuantos más agentes se implementen, a más recursos tendrán acceso y más solicitudes realizarán, todo a través de API. Si un solo agente ejecuta múltiples tareas, puede haber múltiples autorizaciones que utilicen múltiples contextos de seguridad. La necesidad de API capaces se intensifica a medida que aumenta el número de agentes involucrados. Las API deben permitir un acceso apropiado, de forma automática y a una escala extremadamente alta.

Hoy en día, los usuarios obtienen acceso a los recursos a través de aplicações y API personalizadas. En el futuro, las API estandarizadas surgirán como el punto de control estratégico donde los sistemas de IA agentes y los recursos de línea de negocios interactúan a través de los límites de la red, la organización y la industria. El pensamiento API-first nos llevará a la era de la IA agente, que ofrecerá gobernanza, interoperabilidad y escala.