WorkOS lanza auth.md: Un protocolo de registro de agentes abierto construido sobre estándares OAuth

<meta name=description content=WorkOS lanza auth.md, un protocolo abierto para registro de agentes basado en OAuth. Conoce cómo simplifica la autenticación y autorización de agentes.>

25 may 2026 • 5 min read • Q2BSTUDIO Team

WorkOS presenta auth.md: protocolo abierto de registro de agentes sobre OAuth

La creciente adopción de agentes autónomos basados en inteligencia artificial está transformando la manera en que las empresas operan sus flujos de trabajo. Estos agentes ya no se limitan a responder preguntas en un chat, sino que escriben código, revisan incidencias, actualizan bases de datos e interactúan directamente con las APIs de los servicios corporativos. Sin embargo, la infraestructura de autenticación tradicional, diseñada para que un humano complete formularios y verifique correos electrónicos, se queda corta cuando es un programa quien debe registrarse y obtener credenciales. La solución más común hasta ahora ha sido compartir una clave de API fija o un token de sesión, lo que genera problemas graves de seguridad: esas credenciales no tienen alcance, es imposible auditar su uso por sesión o agente, y revocarlas de forma selectiva resulta complejo. En este contexto, WorkOS ha presentado auth.md, un protocolo abierto que define cómo un agente IA puede registrarse de forma estructurada y segura dentro de un ecosistema OAuth, sin necesidad de intervención humana constante. Este enfoque no solo resuelve un problema técnico, sino que abre la puerta a una nueva generación de aplicaciones a medida que integran agentes como usuarios de primera clase.

El núcleo de auth.md es un archivo en formato Markdown que cualquier servicio publica en una ubicación conocida de su dominio. Este fichero, legible tanto por humanos como por máquinas, detalla los flujos de registro soportados, los ámbitos de permisos disponibles y las direcciones para emitir, auditar y revocar credenciales. Para un desarrollador, funciona como documentación técnica; para un agente, es un artefacto de descubrimiento que puede procesar de manera programática. El proceso de descubrimiento se apoya en los estándares existentes de OAuth, utilizando los puntos finales /.well-known/oauth-protected-resource y /.well-known/oauth-authorization-server. Cuando una API devuelve un error 401, incluye una cabecera que dirige al agente hacia estos metadatos, de modo que el flujo de registro se dispara sin que el usuario tenga que leer manuales ni rellenar formularios. Este diseño es especialmente relevante para empresas que están desplegando agentes IA en procesos críticos, donde la automatización del alta y la gestión de identidades es tan importante como la propia funcionalidad del agente.

El protocolo define dos flujos principales de registro. El primero, denominado flujo verificado por agente, aprovecha la capacidad del proveedor de identidad del agente (OpenAI, Anthropic, Cursor u otros) para atestiguar la identidad del usuario en tiempo real. El agente solicita un token específico (ID-JAG) a su proveedor, lo envía al servicio objetivo, y este verifica la firma contra las claves públicas del emisor. La respuesta incluye credenciales sincronizadas, sin necesidad de OTP ni correo de verificación. La auditoría queda registrada por tripleta (emisor, sujeto, audiencia), y el proveedor puede revocar la delegación en cualquier momento enviando un token de cierre de sesión. Este flujo es ideal para entornos donde se requiere alta seguridad y trazabilidad, como en plataformas de ciberseguridad o sistemas que manejan datos sensibles. El segundo flujo, llamado reclamado por usuario, está pensado para escenarios donde el agente no cuenta con un proveedor de identidad compatible. Aquí se utiliza un código de un solo uso enviado por correo electrónico, que el usuario debe introducir para vincular la credencial del agente a su cuenta. Este flujo permite dos variantes: una donde el agente empieza a trabajar con permisos limitados y luego se asocia a un usuario real, y otra donde no se emite ninguna credencial hasta completar la verificación. Ambas opciones ofrecen flexibilidad a la hora de integrar ia para empresas en procesos que requieren distintos niveles de confianza inicial.

Desde la perspectiva de la implantación técnica, auth.md establece pautas claras para la resolución de identidad y la auditoría. Cuando un agente se registra, el servicio debe intentar emparejar la nueva delegación con registros previos del mismo par (emisor, sujeto), luego con un correo electrónico verificado, y finalmente crear un nuevo usuario según la política de la compañía. Se recomienda registrar eventos normalizados como creación de registro, solicitud de reclamación, generación de OTP, confirmación de reclamación, expiración y revocación. Para el flujo verificado por agente, es importante incluir el emisor, el sujeto y la plataforma del agente, de modo que los equipos de operaciones puedan correlacionar incidentes con los logs del proveedor. Esta visión granular es fundamental en arquitecturas que combinan servicios cloud aws y azure con aplicaciones internas, donde la trazabilidad de cada llamada a la API es un requisito de cumplimiento.

La aparición de auth.md no solo resuelve un problema técnico inmediato, sino que representa un cambio de paradigma en cómo concebimos la identidad digital. Hasta ahora, los sistemas se diseñaban pensando en que un humano estaba detrás de cada petición. Con la proliferación de asistentes autónomos y agentes que actúan en nombre de usuarios, es necesario un modelo de registro que delegue la autenticación de forma segura, auditable y escalable. Las empresas que quieran adelantarse a esta tendencia pueden empezar por analizar sus propias APIs y determinar si sus flujos de autenticación actuales son capaces de gestionar peticiones provenientes de agentes sin intervención manual. Aquí es donde contar con un socio tecnológico como Q2BSTUDIO marca la diferencia. Nuestra experiencia en software a medida nos permite diseñar e implementar soluciones que integran protocolos modernos como auth.md dentro de arquitecturas existentes, ya sea sobre infraestructura cloud o entornos híbridos. Además, combinamos estas capacidades con servicios inteligencia de negocio y herramientas de reporting como Power BI, para que los equipos de operaciones puedan visualizar en tiempo real el estado de las delegaciones y las auditorías de los agentes.

En definitiva, el protocolo propuesto por WorkOS marca un hito en la evolución de la autenticación para agentes autónomos. No se trata solo de un parche técnico, sino de una base sólida para construir el futuro de las interacciones entre humanos, máquinas y servicios. En Q2BSTUDIO estamos preparados para ayudar a las organizaciones a dar este salto, integrando estos principios en sus aplicaciones a medida y servicios gestionados, garantizando que la adopción de agentes IA se realice con los más altos estándares de seguridad, auditabilidad y eficiencia operativa.

A BREAK?

Play for a moment before you go

OUR SERVICES

How we can help you

Artificial intelligence

AI agents, chatbots, and intelligent assistants that automate tasks and serve your customers 24/7 to improve the efficiency of your business.

More info

Software Development

Web, mobile, and desktop applications, intranets, e-commerce, SaaS, and management platforms designed for your company's specific needs.

More info

Cloud services

Migration, infrastructure, managed hosting, high availability, and security on Microsoft Azure and Amazon Web Services to help your business scale without limits.

More info

Cybersecurity and pentesting

Security audits, penetration testing and protection of applications, data and infrastructure on-premise and cloud, with ethical hacking and regulatory compliance.

More info

Business Intelligence

Dashboards and data analysis with Power BI: we integrate your sources, design dashboards and KPIs and turn your data into decisions.

More info

Process automation

We automate repetitive tasks and connect your applications with n8n, Power Automate, Make, and RPA, eliminating manual work and increasing productivity.

More info

Training for Companies

We train your teams in technology with criteria: web development, databases, Git, best practices and security, automation with n8n, artificial intelligence for companies and creation of AI solutions with Azure AI Foundry.

More info

Code Auditing

We audit the code that you, your team or an AI create: we tell you what is good and what to improve, we secure it and make it ready for production, web or app.

More info

AI Image Generation

We create for you the images that your business needs with artificial intelligence: product, networks, advertising, illustration and avatars. You tell us what you want and we deliver it ready to use.

More info

AI Video Generation

We create videos with artificial intelligence for you: promotional, networking, virtual presenters, dubbing and animations. You tell us the idea and we will deliver it assembled and ready to publish.

More info

AI Conversational Avatars

We create conversational avatars with AI – digital humans with a face and voice – that serve your customers and teams with the knowledge of your company, on your website, interactive monitors, WhatsApp or Teams.

More info

Online Marketing and AI

Google Ads, Meta Ads, LinkedIn Ads and AI Engine Positioning (GEO/AEO): we attract customers and make your brand appear where they search for you, also on ChatGPT, Gemini and Perplexity.

More info

Do you have a project in mind?

Tell us your vision and we'll turn it into a software solution. Whatever the scope, we make your idea real.

Live Chat