Proceso de Verificación KYA Paso a Paso

Cómo funciona una verificación KYA moderna: desde la identificación del agente hasta la monitorización continua. Guía técnica para empresas.

Las fases de una verificación KYA moderna

Verificar la identidad de un agente de IA es diferente a verificar la de una persona. No hay un DNI que escanear ni un rostro que comparar. En su lugar, el KYA se basa en credenciales criptográficas, cadenas de delegación y análisis de comportamiento. Aquí desglosamos cada fase.

Paso 1: Registro del agente

El agente se presenta ante la plataforma con sus credenciales de identidad. Este registro puede ser iniciado por el desarrollador del agente o por el usuario (principal) que lo despliega.

Qué se verifica en este paso:

  • Identificador único: Un ID criptográfico (basado en claves públicas o DIDs) que identifica al agente de forma inequívoca.
  • Metadatos del agente: Nombre, versión, modelo base, capacidades declaradas y propósito.
  • Firma del desarrollador: Certificado digital que garantiza que el agente no ha sido modificado desde su creación.
  • Vinculación con el principal: Credencial que demuestra que una persona o empresa verificada mediante KYC ha autorizado al agente para operar en su nombre.

Tecnologías implicadas: PKI (Public Key Infrastructure), DIDs (Decentralized Identifiers), Verifiable Credentials.

Paso 2: Verificación de la cadena de confianza

Una vez presentadas las credenciales, el sistema verifica la integridad de toda la cadena:

  • Desarrollador → Agente: ¿La firma digital del desarrollador es válida? ¿El certificado está vigente? ¿El desarrollador está registrado en un trust registry reconocido?
  • Principal → Agente: ¿El token de delegación es auténtico? ¿Ha sido emitido por el principal verificado? ¿Está vigente o ha expirado?
  • Principal → KYC: ¿El principal (persona o empresa) ha sido verificado mediante un proceso KYC válido?

Si algún eslabón de la cadena falla, el agente es rechazado.

Analogía: Es como verificar un poder notarial. No basta con que el documento exista; hay que comprobar que el notario es legítimo, que el otorgante es quien dice ser y que el poder no ha caducado.

Paso 3: Verificación de permisos y scope

Saber quién es el agente no es suficiente. Hay que verificar qué está autorizado a hacer:

  • Scope de operaciones: ¿Qué acciones puede realizar? (consultar, comprar, transferir, firmar, eliminar)
  • Límites cuantitativos: ¿Cuál es el importe máximo por operación? ¿Cuántas operaciones puede ejecutar por hora/día?
  • Restricciones geográficas: ¿Desde qué jurisdicciones puede operar?
  • Restricciones temporales: ¿Tiene una ventana de actividad definida? ¿Cuándo expiran sus permisos?

La plataforma evalúa estos permisos contra su propia política de riesgo. Un agente con scope de "consultar precios" no puede ejecutar una compra, independientemente de lo que solicite.

Tecnologías implicadas: OAuth 2.0 con extensiones para agentes, policy engines (OPA, Cedar), JWT con claims de scope.

Paso 4: Evaluación de riesgo inicial

Antes de permitir que el agente opere, se genera un perfil de riesgo basado en:

  • Reputación del desarrollador: ¿Es un proveedor conocido? ¿Ha tenido incidentes previos?
  • Historial del agente: ¿Es un agente nuevo o tiene un historial de operaciones exitosas?
  • Perfil del principal: ¿El principal tiene un historial limpio? ¿Es una PEP?
  • Contexto de la solicitud: ¿La operación es coherente con el scope declarado?
Nivel de riesgo Resultado
Bajo Acceso inmediato con monitorización estándar
Medio Acceso con límites reducidos y monitorización reforzada
Alto Acceso denegado o requiere verificación adicional del principal

Paso 5: Emisión de token de sesión

Si el agente supera todas las verificaciones, recibe un token de sesión que le permite operar sin repetir el proceso de verificación en cada petición:

  • Token firmado: Contiene la identidad del agente, su scope, los límites y la fecha de expiración.
  • Tiempo de vida limitado: Los tokens expiran (típicamente entre 15 minutos y 24 horas) y deben renovarse.
  • Revocable: La plataforma puede invalidar el token en cualquier momento si detecta actividad sospechosa.

Paso 6: Monitorización continua

La verificación no termina con el token. Durante toda la sesión, el sistema monitoriza:

Análisis de comportamiento

  • Patrones de uso: ¿El agente opera dentro de su patrón habitual? Un agente que normalmente hace 10 consultas por hora y de repente hace 10.000 es una señal de alarma.
  • Coherencia con el scope: ¿Las operaciones que solicita están dentro de sus permisos?
  • Anomalías temporales: ¿Opera en horarios inusuales para su principal?

Rate limiting inteligente

A diferencia del rate limiting clásico (X peticiones por segundo), el KYA aplica límites contextuales:

  • Por tipo de operación (lectura vs. escritura)
  • Por importe acumulado
  • Por velocidad de escalada (incremento gradual vs. pico repentino)

Detección de compromiso

Si un agente legítimo es comprometido (sus credenciales son robadas o su comportamiento es manipulado), la monitorización detecta:

  • Cambio brusco en los patrones de operación
  • Solicitudes fuera del scope autorizado
  • Intentos de escalada de privilegios
  • Operaciones desde IPs o ubicaciones no habituales

Paso 7: Revocación y respuesta a incidentes

Cuando se detecta actividad sospechosa, el sistema actúa en tiempo real:

  1. Revocación del token: El agente pierde acceso inmediato.
  2. Notificación al principal: El usuario o empresa recibe una alerta con los detalles del incidente.
  3. Bloqueo temporal: El agente queda en cuarentena hasta que el principal confirme la situación.
  4. Generación del expediente: Todas las acciones del agente quedan documentadas para investigación.

Paso 8: Generación del expediente de compliance

Cada verificación y cada sesión generan un expediente digital que incluye:

  • Identidad verificada del agente (ID, desarrollador, principal)
  • Resultado de la verificación de la cadena de confianza
  • Scope autorizado y límites aplicados
  • Log completo de operaciones realizadas
  • Alertas generadas y acciones tomadas
  • Timestamps y metadatos de cada evento

Este expediente se almacena cifrado y está disponible para auditorías regulatorias.

Tiempos reales de verificación

Fase Tiempo
Registro y presentación de credenciales 50-100 ms
Verificación de cadena de confianza 100-200 ms
Verificación de scope y permisos 10-50 ms
Evaluación de riesgo 50-100 ms
Emisión de token 10-20 ms
Total verificación inicial 200-500 ms
Verificación por petición (con token) 1-5 ms

Integración en tu plataforma

El proceso KYA se integra en tu infraestructura mediante:

  • SDK de verificación: Bibliotecas para los principales lenguajes (Python, Node.js, Java, Go) que encapsulan toda la lógica de verificación.
  • API Gateway plugin: Plugins para Kong, Envoy o API Gateway de AWS que verifican automáticamente la identidad de cada agente antes de enrutar la petición.
  • Middleware: Componentes que se insertan en tu stack existente sin modificar la lógica de negocio.
  • Webhook de eventos: Notificaciones en tiempo real sobre verificaciones, alertas y revocaciones.

Preguntas frecuentes

¿Cada agente necesita verificarse en cada petición?

No. La verificación completa se hace una vez. Después, el agente opera con un token de sesión que se valida en milisegundos.

¿Qué pasa si un agente no tiene credenciales KYA?

La plataforma decide su política: puede rechazar al agente, permitir acceso limitado (solo lectura) o redirigirlo al proceso de registro.

¿Cómo se diferencia un agente legítimo de un bot malicioso?

Por la cadena de confianza. Un agente legítimo presenta credenciales firmadas por un desarrollador reconocido y un token de delegación de un principal verificado. Un bot malicioso no puede fabricar estas credenciales.

¿El KYA funciona con agentes de cualquier proveedor?

Sí, siempre que el agente soporte los estándares abiertos de identidad (DIDs, Verifiable Credentials, OAuth 2.0). El KYA es agnóstico respecto al proveedor del agente.

¿Quieres ver el proceso KYA en acción? Solicita una demo en Joinble y comprueba cómo se verifica la identidad de un agente de IA en menos de 500 milisegundos.

¿Listo para implementar KYC en tu negocio?

Contacta con nuestros expertos y descubre cómo Joinble puede ayudarte a cumplir con la normativa sin fricciones.

Hablar con un experto

Mantente al día en IA y KYC

Recibe los mejores artículos sobre inteligencia artificial, verificación de identidad y cumplimiento normativo directamente en tu bandeja.

Sin spam. Puedes darte de baja en cualquier momento.

Otros recursos

security

Beneficios del KYA para Empresas y Usuarios

Descubre las ventajas de implementar KYA (Know Your Agent): protección contra fraude automatizado, control de agentes de IA, trazabilidad y cumplimiento normativo.

shield

Beneficios del KYC para Empresas y Usuarios

Descubre las ventajas reales de implementar un proceso KYC: desde la protección contra el fraude hasta la mejora de la confianza del cliente y el cumplimiento normativo.

gavel

Entidades Obligadas a Aplicar KYC en España y Europa

Lista completa de los sujetos obligados a cumplir con la normativa KYC y AML según la legislación española y las directivas europeas.

Joinble

Únete al poder de la IA.
Impulsa el futuro

Blog

Recursos

Oficina

Calle Hermosilla 48, 1º Dcha
28001 - Madrid - España

Contáctanos

contact@joinble.io

Sectores

Fintech & CriptoInmobiliariaMovilidadRecursos HumanosLujoHosteleríaBancaTelecomunicacionesMarketplacesCripto & Web3TokenizaciónE-HealthGaming & BettingViajesEducaciónE-CommerceInsurtechGobiernoPeople Tech

© 2026. Todos los derechos reservados.

Política de PrivacidadTérminos y Condiciones
Proceso de Verificación KYA Paso a Paso | Joinble