WorkOS lanza auth.md: Un protocolo de registro de agentes abierto construido sobre estándares OAuth

<meta name=description content=WorkOS lanza auth.md, un protocolo abierto para registro de agentes basado en OAuth. Conoce cómo simplifica la autenticación y autorización de agentes.>

25 may 2026 • 5 min de lectura • Equipo Q2BSTUDIO

WorkOS presenta auth.md: protocolo abierto de registro de agentes sobre OAuth

La creciente adopción de agentes autónomos basados en inteligencia artificial está transformando la manera en que las empresas operan sus flujos de trabajo. Estos agentes ya no se limitan a responder preguntas en un chat, sino que escriben código, revisan incidencias, actualizan bases de datos e interactúan directamente con las APIs de los servicios corporativos. Sin embargo, la infraestructura de autenticación tradicional, diseñada para que un humano complete formularios y verifique correos electrónicos, se queda corta cuando es un programa quien debe registrarse y obtener credenciales. La solución más común hasta ahora ha sido compartir una clave de API fija o un token de sesión, lo que genera problemas graves de seguridad: esas credenciales no tienen alcance, es imposible auditar su uso por sesión o agente, y revocarlas de forma selectiva resulta complejo. En este contexto, WorkOS ha presentado auth.md, un protocolo abierto que define cómo un agente IA puede registrarse de forma estructurada y segura dentro de un ecosistema OAuth, sin necesidad de intervención humana constante. Este enfoque no solo resuelve un problema técnico, sino que abre la puerta a una nueva generación de aplicaciones a medida que integran agentes como usuarios de primera clase.

El núcleo de auth.md es un archivo en formato Markdown que cualquier servicio publica en una ubicación conocida de su dominio. Este fichero, legible tanto por humanos como por máquinas, detalla los flujos de registro soportados, los ámbitos de permisos disponibles y las direcciones para emitir, auditar y revocar credenciales. Para un desarrollador, funciona como documentación técnica; para un agente, es un artefacto de descubrimiento que puede procesar de manera programática. El proceso de descubrimiento se apoya en los estándares existentes de OAuth, utilizando los puntos finales /.well-known/oauth-protected-resource y /.well-known/oauth-authorization-server. Cuando una API devuelve un error 401, incluye una cabecera que dirige al agente hacia estos metadatos, de modo que el flujo de registro se dispara sin que el usuario tenga que leer manuales ni rellenar formularios. Este diseño es especialmente relevante para empresas que están desplegando agentes IA en procesos críticos, donde la automatización del alta y la gestión de identidades es tan importante como la propia funcionalidad del agente.

El protocolo define dos flujos principales de registro. El primero, denominado flujo verificado por agente, aprovecha la capacidad del proveedor de identidad del agente (OpenAI, Anthropic, Cursor u otros) para atestiguar la identidad del usuario en tiempo real. El agente solicita un token específico (ID-JAG) a su proveedor, lo envía al servicio objetivo, y este verifica la firma contra las claves públicas del emisor. La respuesta incluye credenciales sincronizadas, sin necesidad de OTP ni correo de verificación. La auditoría queda registrada por tripleta (emisor, sujeto, audiencia), y el proveedor puede revocar la delegación en cualquier momento enviando un token de cierre de sesión. Este flujo es ideal para entornos donde se requiere alta seguridad y trazabilidad, como en plataformas de ciberseguridad o sistemas que manejan datos sensibles. El segundo flujo, llamado reclamado por usuario, está pensado para escenarios donde el agente no cuenta con un proveedor de identidad compatible. Aquí se utiliza un código de un solo uso enviado por correo electrónico, que el usuario debe introducir para vincular la credencial del agente a su cuenta. Este flujo permite dos variantes: una donde el agente empieza a trabajar con permisos limitados y luego se asocia a un usuario real, y otra donde no se emite ninguna credencial hasta completar la verificación. Ambas opciones ofrecen flexibilidad a la hora de integrar ia para empresas en procesos que requieren distintos niveles de confianza inicial.

Desde la perspectiva de la implantación técnica, auth.md establece pautas claras para la resolución de identidad y la auditoría. Cuando un agente se registra, el servicio debe intentar emparejar la nueva delegación con registros previos del mismo par (emisor, sujeto), luego con un correo electrónico verificado, y finalmente crear un nuevo usuario según la política de la compañía. Se recomienda registrar eventos normalizados como creación de registro, solicitud de reclamación, generación de OTP, confirmación de reclamación, expiración y revocación. Para el flujo verificado por agente, es importante incluir el emisor, el sujeto y la plataforma del agente, de modo que los equipos de operaciones puedan correlacionar incidentes con los logs del proveedor. Esta visión granular es fundamental en arquitecturas que combinan servicios cloud aws y azure con aplicaciones internas, donde la trazabilidad de cada llamada a la API es un requisito de cumplimiento.

La aparición de auth.md no solo resuelve un problema técnico inmediato, sino que representa un cambio de paradigma en cómo concebimos la identidad digital. Hasta ahora, los sistemas se diseñaban pensando en que un humano estaba detrás de cada petición. Con la proliferación de asistentes autónomos y agentes que actúan en nombre de usuarios, es necesario un modelo de registro que delegue la autenticación de forma segura, auditable y escalable. Las empresas que quieran adelantarse a esta tendencia pueden empezar por analizar sus propias APIs y determinar si sus flujos de autenticación actuales son capaces de gestionar peticiones provenientes de agentes sin intervención manual. Aquí es donde contar con un socio tecnológico como Q2BSTUDIO marca la diferencia. Nuestra experiencia en software a medida nos permite diseñar e implementar soluciones que integran protocolos modernos como auth.md dentro de arquitecturas existentes, ya sea sobre infraestructura cloud o entornos híbridos. Además, combinamos estas capacidades con servicios inteligencia de negocio y herramientas de reporting como Power BI, para que los equipos de operaciones puedan visualizar en tiempo real el estado de las delegaciones y las auditorías de los agentes.

En definitiva, el protocolo propuesto por WorkOS marca un hito en la evolución de la autenticación para agentes autónomos. No se trata solo de un parche técnico, sino de una base sólida para construir el futuro de las interacciones entre humanos, máquinas y servicios. En Q2BSTUDIO estamos preparados para ayudar a las organizaciones a dar este salto, integrando estos principios en sus aplicaciones a medida y servicios gestionados, garantizando que la adopción de agentes IA se realice con los más altos estándares de seguridad, auditabilidad y eficiencia operativa.

¿UNA PAUSA?

Juega un momento antes de irte

NUESTROS SERVICIOS

Cómo podemos ayudarte

Inteligencia artificial

Agentes de IA, chatbots y asistentes inteligentes que automatizan tareas y atienden a tus clientes 24/7 para mejorar la eficiencia de tu negocio.

Más info

Desarrollo de software

Aplicaciones web, móviles y de escritorio, intranets, e-commerce, SaaS y plataformas de gestión diseñadas para las necesidades concretas de tu empresa.

Más info

Servicios cloud

Migración, infraestructura, hosting gestionado, alta disponibilidad y seguridad en Microsoft Azure y Amazon Web Services para que tu negocio escale sin límites.

Más info

Ciberseguridad y pentesting

Auditorías de seguridad, test de intrusión (pentesting) y protección de aplicaciones, datos e infraestructura on-premise y cloud, con hacking ético y cumplimiento normativo.

Más info

Business Intelligence

Cuadros de mando y análisis de datos con Power BI: integramos tus fuentes, diseñamos dashboards y KPIs y convertimos tus datos en decisiones.

Más info

Automatización de procesos

Automatizamos tareas repetitivas y conectamos tus aplicaciones con n8n, Power Automate, Make y RPA, eliminando trabajo manual y aumentando la productividad.

Más info

Formación para empresas

Formamos a tus equipos en tecnología con criterio: desarrollo web, bases de datos, Git, buenas prácticas y seguridad, automatización con n8n, inteligencia artificial para empresas y creación de soluciones de IA con Azure AI Foundry.

Más info

Auditoría de código

Auditamos el código que creas tú, tu equipo o una IA: te decimos qué está bien y qué mejorar, lo securizamos y lo dejamos listo para producción, web o app.

Más info

Generación de imágenes con IA

Creamos por ti las imágenes que necesita tu negocio con inteligencia artificial: producto, redes, publicidad, ilustración y avatares. Tú nos dices qué quieres y te lo entregamos listo para usar.

Más info

Generación de vídeos con IA

Creamos por ti vídeos con inteligencia artificial: promocionales, para redes, presentadores virtuales, doblaje y animaciones. Nos cuentas la idea y te lo entregamos montado y listo para publicar.

Más info

Avatares conversacionales con IA

Creamos avatares conversacionales con IA —humanos digitales con cara y voz— que atienden a tus clientes y equipos con el conocimiento de tu empresa, en tu web, monitores interactivos, WhatsApp o Teams.

Más info

Marketing Online e IA

Google Ads, Meta Ads, LinkedIn Ads y posicionamiento en motores de IA (GEO/AEO): captamos clientes y hacemos que tu marca aparezca donde te buscan, también en ChatGPT, Gemini y Perplexity.

Más info

¿Tienes un proyecto en mente?

Cuéntanos tu visión y la convertimos en una solución de software. Sea cual sea el alcance, hacemos realidad tu idea.

Live Chat