Microsoft ha dado un paso estratégico y arriesgado al integrar en Windows 11 lo que llama «experiencias de agente», una serie de funcionalidades de inteligencia artificial capaces de actuar sobre el sistema, los ficheros del usuario y las aplicaciones de forma autónoma o semiautónoma. Esa visión de un sistema operativo convertido en «agente» que otras compañías, como Salesforce, están tratando de proponer, ha despertado ya advertencias explícitas de la propia compañía sobre riesgos hasta ahora relativamente inéditos: desde la exfiltración de datos hasta la instalación de malware a través de cross-prompt injection (XPIA).
Hasta ahora, el gran valor de Microsoft en el terreno de la inteligencia artificial empresarial residía en un enfoque relativamente conservador con Microsoft Copilot: sencillo, disponible, distribuido gracias al dominio de Windows+Office, estructurado para empresas, con garantías de que los datos no se usan para entrenar modelos cuando así se pacta y que se almacenan en Europa para clientes europeos. Ese planteamiento «discreto pero razonablemente potente» construyó una ventaja competitiva difícil de replicar: acceso masivo, credibilidad institucional, y servicio corporativo con garantías. Copilot no era decididamente el asistente más potente, pero funcionaba razonablemente bien para muchas tareas, y era seguro: no estabas enviando tus datos a ningún sitio. Ahora, sin embargo, la introducción de un agente de inteligencia artificial que actúa directamente en el sistema operativo hurta parte de esa precaución y entra en un territorio de mayor exposición y de control menos claro.
La comunicación interna de Microsoft no es tímida: en su artículo «Securing AI agents on Windows« explican que los agentes actuarán en un «Agent Workspace», como cuentas distintas en Windows que podrán acceder a carpetas del usuario (Documentos, Descargas, Escritorio) previo permiso, pero que aún así existe posibilidad de error (hallucinations) o de que se aprovechen fallos de inyección de prompts para que el agente ejecute acciones no esperadas. Este nivel de detalle es inédito en la comunicación pública de Microsoft: reconocer que su nueva funcionalidad puede instalar malware o exfiltrar datos entra poco en lo habitual para esta compañía cuando lanza un nuevo producto.
La confesión no es menor, y abre varias preguntas: ¿por qué Microsoft decide ahora jugar en ese terreno cuando hasta ahora mantenía prudencia? ¿Y cuál es el riesgo para su propuesta de valor corporativa, tan construida sobre la confianza institucional, la estabilidad del sistema y el servicio empresarial?
La razón estratégica es obvia: la inteligencia artificial no es una funcionalidad más, es el nuevo campo de batalla de plataformas y sistemas. Windows arrastra una penetración global, pese a que su narrativa haya perdido brillo frente al móvil, y Microsoft ve en el nuevo concepto del «ordenador con inteligencia artificial» una forma de revitalizar su ecosistema, y de defenderse frente a rivales que ya llevan ventaja en algoritmos puros (Google, OpenAI, etc.) Si un agente puede actuar en tu ordenador gestionando correos, archivo, reuniones, es una puerta de entrada a que Microsoft no sólo provea sistema operativo, sino que ofrezca «acciones inteligentes» directamente al usuario. Y eso tiene enormes implicaciones de modelo de negocio, de valor añadido o de dependencia de plataforma.
Pero ese salto acarrea una tensión de credibilidad: la confianza de los departamentos de sistemas, de los directores de seguridad, de los grandes clientes, está construida sobre control y previsibilidad. Cuando el sistema operativo se convierte en agente que ejecuta acciones autónomas, la mentalidad de «control» cambia hacia «confío en lo que hará la máquina». Y ahí es donde Microsoft se expone: ya no basta con mantener la compatibilidad y el soporte, ahora debe demostrar que su agente no se convertirá en un vector de ataque más.
El vector XPIA es muy ilustrativo: los documentos, la interfaz de usuario, los prompts pueden contener código malicioso que engañe al agente y le haga ejecutar tareas que no fueron autorizadas por el usuario. Es una vulnerabilidad estructural: la autonomía del agente conlleva acceso a recursos que antes estaban más segregados. ¿Podemos esperar que todas las personas de una organización sean tan prudentes como para no entrar en páginas en las que pueda haber inyecciones de prompts escondidas? Seguramente, por mucha confianza que pudieras tengas en tus empleados, no es lo más recomendable. Y Microsoft lo sabe: en sus documentos advierte que «los modelos de inteligencia artificial siguen teniendo limitaciones funcionales… y pueden alucinar o producir resultados inesperados». ¿Cuándo se ha leído una advertencia tan cruda como esa viniendo del creador de Windows? No muy a menudo.
Para una empresa que compite precisamente en el mundo corporativo, ese tipo de advertencia es esencialmente un aviso de “pruebe bajo su propia responsabilidad”. Y es un aviso que podría erosionar la confianza que Microsoft tardó años en construir. Porque los departamentos de TI miran el ecosistema Microsoft como algo más que un proveedor de software: lo ven como un socio de infraestructura crítica. Con ese estatus, lanzar una funcionalidad que puede «actuar por ti» y que reconoce públicamente que puede fallar o ser manipulada es un cambio de cultura de dimensiones importantes.
Podríamos resumir los riesgos en tres ejes. Primero, la reputación: si un incidente de seguridad grave se produce asociado a esos agentes de inteligencia artificial, Microsoft sería el responsable principal, y su marca de confianza se vería erosionada. Segundo, la complejidad operativa: los clientes empresariales deberán adoptar nuevos patrones de seguridad como la monitorización de agentes, la gestión de permisos granulares, las auditorías de logs, etc. que hasta ahora no eran necesarios en ese nivel para Windows básico. Y tercero, la competencia y diferenciación: si otras plataformas ofrecen inteligencia artificial similar pero sin necesidad de otorgar acceso tan profundo al sistema, Microsoft podría ver diluida su ventaja.
Microsoft es sin duda consciente de los riesgos e incluye controles de aislamiento, uso por fases (solo para insiders, solo si el usuario lo habilita), registros de actividad, cuentas de agente separadas, etc. Pero la clave ahora es la transición: en qué medida los clientes adoptarán esa funcionalidad, cuántos la habilitarán, y sobre todo, cuántos incidentes van a aparecer durante ese despliegue.
Desde un punto de vista académico, esta movida de Microsoft podría interpretarse como uno de los momentos definidores de la «era de los sistemas operativos agénticos: un cambio de paradigma donde ya no basta con el firmware, el kernel y la interfaz gráfica: el agente es el nuevo punto de contacto. Pero con mayor autonomía, tenemos lógicamente también un mayor riesgo. Y eso exige un análisis de gobernanza, de auditoría, de riesgo tecnológico para el que muchas organizaciones no estaban preparadas hasta ahora.
Para mí, la gran cuestión es si Microsoft logrará mantener su reputación de fiabilidad mientras evoluciona hacia ese papel más ambicioso. Porque el valor que le ofrece con la omnipresencia de Windows, la integración con Office, y la fuerza comercial empresarial está siendo renovado por una capa de inteligencia artificial que requiere otorgar más prerrogativas al sistema. Y cada prerrogativa es una puerta, y cada puerta un vector más de vulnerabilidad.
Si el agente de inteligencia ejecuta algo incorrectamente, o es manipulado, o simplemente alucina y borra archivos esenciales, Microsoft se enfrentará no solo a un fallo técnico sino a una crisis de confianza. En un sector en que las empresas miden con lupa la seguridad, la protección de datos o la continuidad de negocio, y en que también rigen regulaciones (como GDPR en Europa) y penalizaciones reputacionales, ese riesgo no es en absoluto menor.
Mi conclusión: Microsoft está haciendo uno de los movimientos más audaces del terreno corporativo de inteligencia artificial en los últimos años, que podría redefinir el concepto de lo que es un PC y reactivar un ecosistema que parecía estabilizado y aburrido. Pero lo hace en un terreno inclinado: la promesa de «haz que la máquina actúe por ti» conlleva la necesidad de «asegúrate de que la máquina no actúe contra ti». Y ahí es donde Microsoft debe demostrar que no solo tiene la escala, sino también el rigor, para operacionalizar con seguridad lo que empieza como promesa. Si lo consigue, habrá ganado un nuevo frente en la guerra de la inteligencia artificial. Pero si no, podría perder la ventaja más preciada: la confianza corporativa.
This article is also available in English on Medium, «Windows 11’s AI agents: convenience or a new attack vector?»
Te corrijo varias erratas (en plan broma):
*Esa visión de un sistema operativo convertido en «agente» –> «agente del mal»
*si un incidente de seguridad grave se produce –> _cuando_ un incidente de seguridad grave se produzca
*los clientes empresariales deberán adoptar nuevos patrones de seguridad como –> poner linux y quitar windows
Y luego:
*la gran cuestión es si Microsoft logrará mantener su reputación de fiabilidad
*podría perder la ventaja más preciada: la confianza corporativa.
Aquí, te lo juro, no entiendo el mundo en el que vivo. ¿De verdad alguien se fía de una infrastructura basada en componentes microsoft? Siempre he entendido que cuando toda una universidad basa su vpn, correo, sistemas de archivos flotantes, etc, en herramientas de Microsoft es porque había alguien corrupto que aceptaba la oferta de un primo suyo que era representante de Microsoft, a cambio de alguna mordida (es la única explicación que se me ocurre para tener que usar sí o sí microsoft authenticator para usar vpn, o el sistema de archivos NFS, o que se compre acceso masivo a Copilot). Que lo elijan las empresas entiendo que es porque solo hay mentecatos al volante. ¿Es esto a lo que se le llama «confianza corporativa»?
En mis proyectos personales uso Linux y estoy muy contento.
Profesionalmente no me queda más remedio que usar Windows y no me gusta.
Me parece pesado, con muchísima funcionalidad superflua y que trabaja más con Microsoft en mente que para el usuario.
Sin embargo si quieres algo que simplemente funcione haciendo lo que hace todo el mundo va bien. Entiendo que las empresas lo usen.
Eso sí, si Microsoft se empeña en que las ruedas son cuadradas y tú las necesitas redondas ahí vas a sufrir.
Tengo W11, y no he notado que haya un agente o espia que acceda a mi entorno… más allá de lo que yo le deje entrar
Por ejemplo Copilot, me avisa «Trabaja de forma más inteligente con tus archivos». Has ocultado todos los archivos de la vista.
Si entras en configuracion de tu cuenta MS desde copilot:
Aplicación. Inicio automatico al iniciar sesión: NO
Permisos … en general. todo a NO
Esto de la IA es como el SPAM, no te preocupes que cuando necesita algo ya te lo diré yo, no me des la lata…
Si veis que se puede capar en algo más a Copilot, os lo agradecería.
Microsoft cada vez va cerrando el circulo y llevando a las ovejas al redil. Solo hay que ver que cada vez resulta mas complicado —lo complica la propia Microsoft— el instalar el propio Windows sin una cuenta de Microsoft. Va a llegar el día que no habrá forma de hacerlo sin crear la dichosa cuenta y no es de extrañar que cambien el acuerdo para quitarse responsabildades de mal funcionamiento de los agentes de IA de la misma manera que lo hacen con su propio software.
Si los canadienses pueden hacer su propio billete de 5 dólares(1), no va a poder domesticar un español al w11…
(1) Buscar en google: «billetes 5 dolares canada spock»
Apple nunca ha querido entrar a competir en el mercado de los grandes LLM -Gemini, ChatGP, etc.- sino en la IA que se ejecuta en el dispositivo -lo que fuerza a usar modelos pequeños- y que ejecuta cosas en el dispositivo, lo mismo que pretende ahora MS… ¡y que resulta que no es tan fácil o, al menos, tan seguro como debiera ser!
MS se va a arriesgar -o mejor, nosotros nos vamos a arriesgar- a que la IA que hace cosas en nuestro ordenador pueda pifiarla a lo grande, precisamente lo que Apple más teme.
¿A ver si va a resultar que las precauciones de Apple no son tan excesivas?
Ojalá MS fuera de código abierto y pudiéramos hacer un fork.
Sueños aparte, suena a desastre a punto de suceder. Lo mejor que podría pasar (para el resto) es que alguien la pifie hasta el fondo y en el juicio le gane una millonada a Microsoft y así pedaleen un poco hacia atrás.
Nos lo quieren meter por la garganta, sí o sí. Incluso en mi empresa empiezan ya a preguntarnos si usamos IA, con que frecuencia, cómo, etc.
A mí sigue sin hacerme un buen cambio de espacio de color de un rojo sRGB en HEX a un HSL, por poner un ejemplo sencillo. No importa si es Python, C, Rust o PHP o JS. Simplemente no lo hace, y mira que hay librerías en GitHub que tienen esto superpulido..
Se puede decir más fuerte pero no más claro.
Aunque suene a la recursiva broma, nos vamos acercando cada vez mas a la realidad de: ”este será el año de Linux en el escritorio”
Dinamarca le da la patada a Microsoft para pasarse a Linux
Dinamarca ha comenzado un proceso de migración para sustituir todos sus ordenadores Windows por Linux y Microsoft 365 por LibreOffice en parte de su administración pública.
(…)
Con esta medida, el gobierno danés busca reducir costes, romper su dependencia de proveedores estadounidenses y reforzar su soberanía tecnológica en un momento especialmente delicado, por lo que ahora apostará por las soluciones de código abierto.
https://computerhoy.20minutos.es/tecnologia/adios-windows-pais-europeo-da-patada-microsoft-pasarse-linux-1468065
Parece que poco a poco, el mundo se mueve…
Estoy con Lua. Ya instalé Linux Mint en un portátil viejillo y va como un tiro y con la tienda de aplicaciones casi me he podido olvidar de «sudo apt-get…»
Casi es la clave. Siguen habiendo demasiadas cosas que solo arreglas desde la terminal. Windows dejó MS-DOS atrás en Win95 pero en el mundo de Linux dejar la terminal atrás es impensable.
Hasta que no arreglen la puñetera dependencia de eso, no será el año de Linux. Muchos acabarán usando Windows 11 de FlyoBee u otros que tengan modificado «no updates» y «no IA», lo cual abre todo un agujero de seguridad en otros ámbitos
Has de tener una necesidad “muy necesaria” para tener que tirar del terminal en Linux.
Para el uso corriente de cualquiera (web, correo, música o películas, etc), Mint es una opción muy practica: instalar y usar. Y aun así, tenerle miedo a la terminal es una chorrada, y mas para los que ya vivimos MS-DOS. (mi caso es un aparte porque yo empecé en SCO UNIX System V a la vez)
En windows tienes WSL y Gitbash para usar bash, y tirar de terminal como dios manda, sino de que iba a usar w11…
Como alguien que nunca había usado Linux de forma continua (solo trastear en plan «…a ver que hay de nuevo…») y volver a Windows, puedo decir que a la terminal le vas perdiendo el miedo/respeto. Y lo empiezas a perder cuando ves lo que has ganado. Es medio raro de explicar, pero en mi caso, empecé a sentir «tranquilidad» de saber que ahora es mí sistema, gracias a una comunidad que lo creó, lo mantiene y lo mejora, así que es natural empezar a probar.
Hay gente que hasta podría presumir de editar videos usando la terminal (quién soy yo para criticarlos…los gustos hay que dárselos en vida…) pero en mi caso, ya no me incomoda, se volvió parte de la experiencia. Pero, eso solo lo pude sentir una vez que me convertí, no antes.
Es un trade-off: el cambio implica que esto (la terminal) es lo que debes usar (en contados casos).
«empecé a sentir «tranquilidad» de saber que ahora es mí sistema, gracias a una comunidad que lo creó, lo mantiene y lo mejora»
y esa es la clave…
para lo demas… Nunca os han dicho que es malo mezclar bebidas? Pos lo mismo… XDDD
A Linux lo que es de Linux, y a Win todo lo demas…
«los modelos de inteligencia artificial siguen teniendo limitaciones funcionales… y pueden alucinar o producir resultados inesperados» (Edans).
Ya lo dijo el psicoanálisis, «cuidado con las alucinaciones» (y otras hierbas)… pero se olvidaron de evitar que las mayores alucinaciones salgan, precisamente, de mentes psicoanalíticas.
Contra estas audaces innovaciones no hay antivirus que valga…