FIDO Alliance, Google y Mastercard crean estándar para agentes de IA en compras en línea

Los agentes de IA que realizan compras en tu lugar están pasando de la etapa de concepto. La pregunta ya no es "¿lo harán?", sino "¿qué tan seguro será" — y esta es la pregunta que están abordando FIDO Alliance, Google y Mastercard.

Por Qué Se Volvió Urgente

Las compras autónomas ya no son un experimento. OpenAI lanzó Operator: un agente que controla un navegador en tiempo real, busca productos, selecciona artículos y hace clic en "Pagar" sin intervención humana. Google presentó Agent Mode en Chrome, Anthropic está probando Computer Use, y decenas de startups están incorporando funciones similares en búsquedas y navegadores.

El problema es que no existe un estándar único de autenticación para agentes de IA durante transacciones. Cada empresa lo resuelve de forma independiente — o lo ignora completamente. Mientras las compras por agentes sigan siendo una función de nicho, los riesgos son manejables.

Cuando esta capacidad aparezca en cada smartphone, el costo de la falta de coordinación recaerá sobre los usuarios.

• Un agente realiza compras sin consentimiento explícito del usuario
• Un atacante intercepta la sesión del agente y realiza transacciones no autorizadas
• Un agente cae en una tienda de phishing y transmite datos de la tarjeta
• Múltiples agentes competidores duplican el mismo pedido
• La ausencia de límites de gasto lleva a gastos imprevistos

Quién Se Hizo Cargo

FIDO Alliance — una organización sin fines de lucro que creó los estándares passkey y autenticación sin contraseña, que ahora son compatibles con Apple, Google, Microsoft y la mayoría de los grandes bancos — anunció una asociación con Google y Mastercard. El objetivo: desarrollar un estándar abierto para autenticar agentes de IA al realizar operaciones de pago — un protocolo que vinculará identificación del agente, consentimiento del usuario e infraestructura de pago en una única cadena segura. No es la primera vez que FIDO Alliance se encarga de una tarea de gran escala.

Hace algunos años, los códigos SMS parecían una parte integral de la banca en línea. Hoy, los passkeys los están reemplazando en todas las plataformas principales. Precisamente la asociación con Apple, Google y Microsoft convirtió los passkeys de un proyecto académico en un cambio de mercado real — sin la participación de jugadores de infraestructura de este nivel, cualquier estándar sigue siendo una recomendación en papel.

Google controla Chrome y Android — la mayoría de las compras en línea del mundo pasan por estas plataformas. Mastercard gestiona una de las mayores redes de pagos, procesando miles de millones de transacciones anualmente. Juntos, cierran toda la cadena: autenticación → navegador → transacción.

Cómo Podría Funcionar la Protección

Las especificaciones concretas aún están en desarrollo, pero la lógica arquitectónica es clara a partir de estándares anteriores de FIDO Alliance: un protocolo abierto disponible para cualquier desarrollador, no una solución propietaria de una corporación. Elementos clave probables:

• Tokens delegados — un agente recibe una clave limitada y de un solo uso, en lugar de acceso permanente a los datos de la tarjeta
• Verificación contextual — el sistema de pago confirma que la operación la inicia un agente autorizado dentro de parámetros previamente acordados
• Límites explícitos — el usuario establece un presupuesto, tiendas permitidas y categorías de productos
• Registro de auditoría — cada acción del agente se registra y permanece disponible para revisión

Si el estándar es adoptado por grandes plataformas y redes de pago, los desarrolladores de agentes tendrán que apoyarlo — así es como funciona la estandarización de infraestructura: las reglas las establece quien controla la infraestructura.

Qué Significa Esto

La carrera por agentes de IA autónomos está en pleno apogeo, y la industria finalmente reconoce: la velocidad del despliegue sin estándares de seguridad crea riesgos reales para los usuarios. La iniciativa de FIDO Alliance, Google y Mastercard es un intento de establecer reglas antes de que las transacciones de agentes se vuelvan masivas y costosas. Si los estándares se mantienen, hacer que un agente pida productos o compre boletos de avión será más seguro que introducir datos de tarjeta manualmente en un sitio web desconocido.