Tu agente de IA se acaba de convertir en un criminal: Cómo el fallo de Amazon contra Perplexity redefine las reglas para el software autónomo

Una jueza federal en San Francisco acaba de trazar una línea que todo desarrollador que construya agentes de IA debe entender. El 9 de marzo de 2026, la jueza Maxine M. Chesney dictaminó que el navegador Comet de Perplexity violó tanto la Ley de Abuso y Fraude Informático (CFAA) federal como la Ley Integral de Acceso a Datos Informáticos y Fraude de California al acceder a cuentas de Amazon en nombre de los usuarios — a pesar de que esos usuarios otorgaron su permiso explícito. La distinción crítica: la autorización del usuario no es lo mismo que la autorización de la plataforma.

Este fallo no solo afecta a Perplexity. Potencialmente criminaliza a toda una clase de comportamiento de agentes de IA que cientos de startups, protocolos cripto y proyectos Web3 están construyendo en este momento.

Qué hizo realmente Comet de Perplexity

Perplexity lanzó Comet en julio de 2025 como un navegador centrado en la IA basado en Chromium. A diferencia de una extensión de navegador tradicional o una superposición de chatbot, Comet integró modelos de lenguaje de gran tamaño directamente en la arquitectura central del navegador, permitiendo lo que la empresa denominó "ejecución de tareas agénticas". Los usuarios podían instruir a Comet para comparar precios en diferentes sitios web, iniciar sesión en sus cuentas, añadir artículos a los carritos y completar compras — todo de forma autónoma.

El conflicto con Amazon comenzó a escalar mucho antes de llegar a los tribunales. Según los expedientes judiciales, Amazon advirtió a Perplexity al menos cinco veces a partir de noviembre de 2024 para que Comet dejara de acceder a los sistemas de Amazon. En agosto de 2025, Amazon desplegó una barrera técnica para bloquear a Comet. Perplexity respondió con una actualización de software en menos de 24 horas para eludirla.

Amazon presentó su demanda federal el 4 de noviembre de 2025, argumentando que Perplexity disfrazó deliberadamente al agente de IA de Comet como una sesión regular del navegador Google Chrome para evadir la detección. La medida cautelar preliminar concedida en marzo de 2026 no solo prohibió a Comet acceder a los sistemas protegidos por contraseña de Amazon, sino que también exigió a Perplexity destruir cualquier dato de Amazon que hubiera recopilado.

El terremoto legal: Permiso del usuario vs. Autorización de la plataforma

El hallazgo más trascendental del fallo puede resumirse en una sola frase de la opinión de la jueza Chesney: Comet accedió a las cuentas de Amazon "con el permiso del usuario de Amazon, pero sin la autorización de Amazon".

Esta distinción parece simple, pero sus implicaciones son profundas. Durante décadas, el requisito de "autorización" de la CFAA ha sido un territorio legal disputado. La Corte Suprema estrechó el alcance de la CFAA en Van Buren v. United States (2021), pero ese caso trataba sobre un empleado que excedía el acceso autorizado en un sistema que de otro modo se le permitía usar. El caso Amazon v. Perplexity plantea una pregunta fundamentalmente diferente: cuando un agente de IA actúa en nombre de un usuario, ¿la autorización de quién cuenta?

La respuesta de la jueza Chesney es clara: la de la plataforma. La cuestión ya no es simplemente si un usuario consiente que una IA actúe en su nombre. La pregunta es si la plataforma donde ocurre esa acción ha consentido que un agente de IA aparezca en primer lugar.

Esto crea tres líneas rojas críticas para los desarrolladores:

1. Acceso a credenciales de cuenta: Cualquier agente de IA que utilice credenciales de cliente para iniciar sesión en una plataforma de terceros sin el consentimiento explícito de dicha plataforma se arriesga a una responsabilidad bajo la CFAA.
2. Secciones protegidas por contraseña: Acceder a áreas detrás de puertas de autenticación — incluso con credenciales de usuario válidas — constituye un acceso no autorizado si la plataforma no ha sancionado al agente.
3. Continuar tras advertencias de la plataforma: La decisión de Perplexity de eludir los bloqueos técnicos de Amazon tras recibir advertencias explícitas fortaleció significativamente el caso de Amazon.

Por qué esto importa más allá de las compras

El encuadre inmediato de este caso como una disputa de "comercio agéntico" subestima su alcance. El principio legal — que la autorización de la plataforma prevalece sobre la autorización del usuario — se aplica por igual a los agentes de IA que operan en servicios financieros, redes sociales, portales de salud, SaaS empresarial y, de manera crítica, finanzas descentralizadas.

Consideremos el panorama actual. Más del 68% de los nuevos protocolos DeFi lanzados en el primer trimestre de 2026 incluyeron agentes de IA autónomos. Los agentes de IA representan ahora aproximadamente el 18% del volumen total de los mercados de predicción. El cuarenta y uno por ciento de los fondos de cobertura cripto están utilizando o probando activamente agentes de IA on-chain. Toda la tesis de la IA agéntica en Web3 — agentes autónomos que ejecutan swaps, gestionan carteras e interactúan con protocolos — depende de responder correctamente a la pregunta de la autorización.

La diferencia en Web3 es que muchos protocolos son permissionless (sin permisos) por diseño. Un exchange descentralizado no tiene términos de servicio en el sentido tradicional. Los contratos inteligentes se ejecutan basándose en transacciones válidas, no en si el emisor es un humano o un bot. Pero el fallo de Perplexity crea un precedente que podría extenderse a cualquier plataforma con incluso controles de acceso mínimos: límites de tasa de API, restricciones en los términos de servicio o requisitos de autenticación.

Para los exchanges centralizados y las plataformas CeFi, las implicaciones son inmediatas. Un agente de trading de IA que inicie sesión en la cuenta de Coinbase o Binance de un usuario utilizando credenciales almacenadas — incluso con el pleno consentimiento del usuario — podría enfrentar la misma exposición legal que Comet.

La encrucijada: APIs frente a acceso por credenciales

El fallo obliga efectivamente al ecosistema de agentes de IA a adoptar uno de dos modelos arquitectónicos.

Modelo 1: APIs autorizadas por la plataforma

El camino "seguro" requiere que los agentes de IA operen exclusivamente a través de APIs oficiales y acuerdos de asociación. Esto ya está tomando forma:

• Protocolo de Comercio Universal (UCP) de Google, anunciado en enero de 2026 con más de 20 socios, incluidos Shopify, Target y Walmart, crea un estándar abierto para el comercio agéntico que funciona con la infraestructura minorista existente.
• Protocolo de Comercio Agéntico (ACP) de OpenAI y Stripe impulsa el Pago Instantáneo (Instant Checkout) dentro de ChatGPT, centrándose específicamente en la capa de pago.
• Habilidades de Trading con IA de Bybit exponen 253 puntos de conexión (endpoints) de API para el trading en lenguaje natural, lo que permite a los agentes ejecutar operaciones sin acceso a credenciales.

Estos protocolos comparten una arquitectura común: la plataforma autoriza explícitamente las interacciones del agente a través de interfaces definidas, límites de velocidad y alcances de permisos. El agente nunca toca directamente las credenciales del usuario.

Modelo 2: Acceso basado en credenciales (ahora legalmente peligroso)

La alternativa — agentes de IA que utilizan credenciales proporcionadas por el usuario para acceder a las plataformas como si fueran el usuario — es lo que intentó Perplexity. Tras este fallo, este modelo conlleva una posible responsabilidad penal bajo la CFAA, independientemente del consentimiento del usuario.

Para la Web3, esta bifurcación es particularmente significativa. Los protocolos descentralizados favorecen naturalmente el modelo de API: las interacciones con contratos inteligentes son intrínsecamente sin permiso (permissionless) y no requieren la suplantación de credenciales. Pero las arquitecturas híbridas que conectan sistemas centralizados y descentralizados (conectando la cuenta bancaria de un usuario a un protocolo DeFi, por ejemplo) deberán navegar esta distinción con cuidado.

La "Apertura Controlada" de China como contrapunto

Mientras que los tribunales de EE. UU. definen los límites de los agentes de IA a través de litigios, China está abordando el problema mediante la arquitectura regulatoria. La fragmentación del ecosistema móvil chino — donde diferentes aplicaciones y servicios no interoperan ni comparten datos — crea un desafío estructural para los agentes de IA que deben operar a través de múltiples superapps y dispositivos.

El agente de IA Doubao de ByteDance, por ejemplo, se enfrenta a posibles restricciones antimonopolio que le impiden dirigir a los usuarios a la plataforma de comercio electrónico de Douyin. El "Gestor de Vida con IA" Zhixiabao de Alipay opera dentro del ecosistema cerrado (walled garden) de Ant Group. El modelo chino emergente trata a los agentes de IA como posibles "guardianes digitales" (digital gatekeepers), aplicando un marco de apertura controlada donde el acceso se gestiona para evitar comportamientos monopolísticos.

El contraste es instructivo. El enfoque de EE. UU., ejemplificado por el fallo de Perplexity, otorga a las plataformas el poder de bloquear por completo a los agentes de IA a través de los términos de servicio. El enfoque de China limita potencialmente la capacidad de las plataformas para restringir el acceso de los agentes si al hacerlo se crean efectos anticompetitivos. Ninguno de los dos modelos resuelve plenamente la tensión entre la autonomía del usuario y el control de la plataforma.

El factor sorpresa del Noveno Circuito

Perplexity apeló el mandato judicial preliminar el 11 de marzo de 2026. La revisión del Noveno Circuito representa un punto de inflexión de alto riesgo para toda la industria de los agentes de IA.

Si el tribunal de apelación confirma el mandato, la CFAA se convierte en una herramienta poderosa para que cualquier plataforma bloquee a los agentes de IA, independientemente del consentimiento del usuario. Las violaciones de los términos de servicio podrían constituir un fraude informático federal. Cada desarrollador de agentes de IA necesitaría acuerdos de autorización plataforma por plataforma — lo que desplazaría fundamentalmente el poder hacia las plataformas dominantes.

Si el Noveno Circuito revoca el fallo, indicará que la autorización del usuario es suficiente y que las plataformas no pueden invocar estatutos de fraude para bloquear herramientas que los usuarios han habilitado explícitamente. Esto preservaría la visión del "agente de IA personal" donde los usuarios controlan cómo interactúan con la web, pero también limitaría la capacidad de las plataformas para proteger sus ecosistemas del acceso automatizado no deseado.

Los expertos legales señalan que ninguno de los dos resultados sirve perfectamente a todos los intereses. Un usuario que otorga a su agente de IA acceso a su cuenta de Amazon está ejerciendo una forma de autonomía del consumidor. Pero Amazon tiene intereses legítimos en controlar cómo se accede a sus sistemas, prevenir el raspado de datos (scraping) y mantener la integridad de su mercado.

Qué deben hacer los desarrolladores ahora

El fallo genera tareas inmediatas para cualquier persona que cree agentes de IA:

Audite sus patrones de acceso. Si su agente accede a cualquier plataforma de terceros utilizando credenciales de usuario, debe evaluar si la plataforma ha autorizado explícitamente ese acceso. La aceptación implícita (la plataforma aún no lo ha bloqueado) no es lo mismo que la autorización.

Adopte arquitecturas centradas en APIs. Diseñe agentes para interactuar a través de APIs oficiales, integraciones MCP (Model Context Protocol) y puntos de conexión autorizados por la plataforma. El UCP de Google y el ACP de OpenAI proporcionan estándares emergentes.

Documente las cadenas de autorización. Mantenga registros claros de qué plataformas han autorizado el acceso de su agente, a través de qué mecanismos y bajo qué limitaciones.

Observe la ventaja de la Web3. Las interacciones con contratos inteligentes sin permiso (permissionless) no enfrentan la misma exposición a la CFAA que el acceso basado en credenciales a plataformas centralizadas. Los protocolos creados sobre blockchains públicas operan con un modelo de autorización fundamentalmente diferente: las transacciones válidas son autorizadas por las propias reglas del protocolo, no por los términos de servicio.

Monitoree el Noveno Circuito. El fallo de la apelación probablemente llegará en el tercer o cuarto trimestre de 2026 y consolidará o revertirá el precedente actual.

El panorama general: ¿Quién controla la capa de los agentes?

El caso Amazon v. Perplexity plantea, en última instancia, una pregunta que definirá la próxima década de la informática: ¿quién controla la capa entre los usuarios y las plataformas?

En la web anterior a la IA, la respuesta era clara — el navegador. Los usuarios elegían Chrome, Firefox o Safari, y esos navegadores renderizaban fielmente lo que la plataforma servía. El navegador era un intermediario neutral.

Los agentes de IA cambian fundamentalmente esta dinámica. Un agente de IA no se limita a renderizar la interfaz de una plataforma — la interpreta, navega, compara y actúa dentro de ella. Reduce flujos de trabajo de compra completos a comandos únicos. Puede agregar datos de plataformas competidoras de formas que esas plataformas nunca previeron.

El fallo de Perplexity se pone del lado de las plataformas en esta lucha de poder. Pero la trayectoria tecnológica — protocolos de comercio agéntico, interacciones de blockchain sin permisos y la demanda de los usuarios por una autonomía impulsada por IA — apunta hacia un futuro en el que los agentes operan como intermediarios autorizados en lugar de intrusos no autorizados.

La pregunta es si ese futuro llega a través de asociaciones (protocolos abiertos y estándares de API) o mediante batallas legales. El fallo de 2026 sugiere que tendremos ambos.

Para los desarrolladores que crean agentes de IA que interactúan con la infraestructura de blockchain, las arquitecturas sin permisos ofrecen una ventaja natural. BlockEden.xyz proporciona puntos finales (endpoints) RPC y API para más de 30 redes de blockchain, lo que permite a los agentes interactuar con protocolos on-chain a través de interfaces abiertas y autorizadas — sin necesidad de suplantación de credenciales.