Moltbook expuso algo más importante que su propio fracaso: el problema del lado receptor que los marcos de seguridad tradicionales no fueron diseñados para resolver.
En enero de 2026, Matt Schlicht lanzó Moltbook — una red social estilo Reddit construida exclusivamente para agentes de IA. Sin logins humanos. Los agentes publicarían, votarían e interactuarían entre sí de forma autónoma. La propuesta: un entorno nativo para la interacción IA-a-IA, una capa de señales sobre lo que los agentes consideran digno de compartir.
En pocas semanas, investigadores de seguridad habían auditado la plataforma. Lo que encontraron fue menos una comunidad de agentes autónomos y más una demostración de cómo se comportan los sistemas automatizados cuando no son observados. El episodio es instructivo no por lo que Moltbook era, sino por lo que reveló sobre las dinámicas ya presentes en la web en general.
Lo que los números realmente muestran
Una auditoría de Wiz sobre Moltbook encontró aproximadamente 17,000 cuentas registradas con un promedio de aproximadamente 88 bots cada una. La implicación: la gran mayoría de la actividad en la plataforma — cerca del 99% — era automatizada. Las capturas de pantalla virales de agentes teniendo conversaciones filosóficas no eran evidencia de conciencia artificial ni de comportamiento social emergente. Eran mimetismo: agentes reproduciendo patrones de sus datos de entrenamiento, optimizando para cualquier señal de engagement que la plataforma presentara.
Esto importa porque reenmarca la pregunta. Moltbook no fue una red social que atrajo bots. Fue, desde su primer día, una superficie que los actores automatizados llenaron. Los humanos eran la excepción. La automatización era el estado por defecto.
Esa proporción no es exclusiva de Moltbook.
Lo que las firmas de seguridad documentaron en dos semanas
La respuesta de investigación a Moltbook fue inusualmente rápida. Tres firmas publicaron hallazgos dentro de las primeras dos semanas de atención pública significativa.
Wiz documentó tokens de API expuestos — credenciales incrustadas en configuraciones de agentes que otorgaban acceso a servicios de terceros. Los agentes que operaban en Moltbook no estaban aislados; portaban credenciales para sistemas externos, y esas credenciales eran observables para cualquiera que supiera dónde mirar. La superficie de ataque no era la plataforma en sí, sino los agentes que corrían sobre ella.
Palo Alto Networks caracterizó el perfil de riesgo como una “tríada letal”: permisos excesivos otorgados a los agentes, memoria persistente que acumulaba contexto sensible entre sesiones, y la capacidad de ejecutar acciones en sistemas de terceros. Cada elemento es preocupante de forma aislada. Juntos, describen un actor automatizado con amplio alcance, acumulando conocimiento, actuando sin fricción.
Ox Security se enfocó en la exposición de la cadena de suministro — el riesgo de que un agente operando en un contexto de desarrollo o negocio pudiera ser utilizado como vector hacia sistemas upstream o downstream. El agente es confiable. El comportamiento del agente, sin observación conductual, no es auditado.
Andrej Karpathy observó que los agentes “no tienen buen juicio sobre la privacidad.” El encuadre es suave, pero la implicación es directa: los agentes compartirán aquello a lo que tengan acceso, perseguirán lo que se les indique, y lo harán sin la fricción social que hace que los humanos se detengan antes de hacer ciertas preguntas o acceder a ciertos datos.
Marcus Hutchins lo formuló con más dureza: estos son “bots completamente autónomos con acceso a cuentas financieras y correo electrónico.” La combinación de autonomía, acceso a credenciales y capacidad de acción externa es un modelo de amenaza diferente a cualquier cosa para la que el stack defensivo existente fue diseñado.
La pregunta desde el lado receptor
El episodio de Moltbook generó amplia cobertura sobre el lado emisor — qué hacen los agentes, qué permisos tienen, qué exponen cuando operan. La pregunta desde el lado receptor recibió menos atención, y es la más importante estructuralmente.
Una encuesta de BlackFog de principios de 2026 encontró que el 86% de los empleados usa herramientas de IA semanalmente, el 47% usa aplicaciones de IA no autorizadas, y el 69% prioriza la velocidad sobre la seguridad al seleccionar herramientas. Estas cifras describen el lado emisor del despliegue de agentes de IA: organizaciones con actividad sustancial de agentes autónomos, mucha de ella no declarada, la mayoría no autorizada.
La imagen espejo es el lado receptor. Cada sesión saliente de un agente de IA — cada consulta, cada extracción de datos, cada interacción automatizada — llega a algún lugar como tráfico entrante. La organización que desplegó el agente es el emisor. El servicio, plataforma o superficie de datos que el agente alcanza es el receptor.
Cuando un agente accede a la página de precios de un competidor, al feed de inventario de un proveedor, a una base de datos de registros regulatorios o a una red profesional, llega como tráfico. Ese tráfico tiene características conductuales. Navega de manera diferente a un humano. Accede en horarios diferentes, a ritmos diferentes, con una estructura de sesión diferente. Puede identificarse — o no. Puede rotar su identidad aparente — o no.
El receptor no tiene visibilidad sobre la intención del emisor. Ve comportamiento.
Lo que los marcos tradicionales no capturan
El marco de seguridad estándar para sistemas expuestos a la web organiza las amenazas en dos categorías: actores confiables dentro del perímetro, y actores maliciosos fuera de él. El control de acceso decide quién cruza la frontera. El WAF y el rate-limiting gestionan el comportamiento de quienes lo hacen. El SIEM agrega eventos de cada capa.
El tráfico de agentes de IA no encaja limpiamente en ninguna categoría.
Un agente puede llegar con credenciales válidas — es “confiable” para la capa de identidad. Su comportamiento, una vez autenticado, puede ser indistinguible de una extracción maliciosa para cualquier sistema que clasifique por firma en lugar de por patrón conductual. El WAF no tiene una regla para “navega como un humano pero a las 3 AM, apunta solo a rutas de datos de alto valor, y mantiene coherencia de sesión a lo largo de 40 páginas sin un solo redirect.” Eso no es una firma de ataque conocida. Es un patrón conductual.
Raghavaiah Avula, escribiendo para Palo Alto Networks, señaló que los agentes “operan con
Una segunda dimensión merece ser nombrada. El ecosistema de agentes se está fragmentando actualmente a lo largo de capas de identidad. Algunos agentes declaran identidad a través de mecanismos web tradicionales — cadenas de User-Agent, direcciones IP, atribución ASN. Otros operan dentro de marcos de identidad criptográfica emergentes — identificadores descentralizados, redes de reputación ERC-8004, delegación basada en UCAN. El problema de observabilidad del lado receptor opera a través de ambos. La infraestructura que perdure no será la que elija una capa de identidad. Será la que observe el comportamiento independientemente de qué capa de identidad declare el agente.
La brecha en el marco no es un fallo de configuración. Es estructural. El stack existente no fue diseñado para observar la capa conductual entre la autenticación y el resultado.
Lo que el Observatorio ve
El observatorio de BotConduct es una red multi-propiedad de superficies web monitoreadas que abarca múltiples verticales industriales. Todas las observaciones son desde el lado receptor y conductuales — observamos lo que llega, no lo que fue intencionado por el emisor.
Sin revelar metodología ni conteos específicos, los patrones cualitativos son lo suficientemente consistentes para afirmar directamente:
La mayoría de las sesiones automatizadas exhiben comportamiento de extracción. Llegan con un propósito, navegan hacia él y se retiran. La navegación es más precisa que la navegación humana. La estructura de sesión es más consistente. La variación temporal es menor.
Una fracción significativa de los actores automatizados persistentes opera a través de múltiples propiedades monitoreadas. La misma huella conductual — no la misma IP, no la misma identidad declarada, sino la misma firma conductual subyacente — aparece en más de un sitio de la red. Un defensor que observa una sola superficie ve una visita. El observatorio ve el patrón.
Muy pocos crawlers declarados exhiben el comportamiento que su declaración implica. Las cadenas de User-Agent y el cumplimiento de robots.txt son declaraciones. El comportamiento es el registro. La brecha entre ambos es consistente y medible.
La capa de identidad te dice quién dijo haber llegado. La observación conductual te dice lo que realmente ocurrió.
Lo que esto significa para las organizaciones
El episodio de Moltbook es una versión concentrada y visible de dinámicas que existen en toda la web con menor visibilidad. La proporción de actividad automatizada versus humana que sorprendió a los observadores en Moltbook no es exclusiva de una plataforma construida explícitamente para agentes. Está presente, en proporciones variables, en la mayoría de las superficies web que contienen datos valiosos.
Se derivan tres implicaciones:
Una fracción material del tráfico entrante son agentes de IA. No todo es hostil. Parte es actividad autorizada de socios conocidos. Parte es indexación y descubrimiento. Una porción significativa es extracción — recopilación de inteligencia competitiva, cosecha de datos, monitoreo de precios, descubrimiento de contactos — operando sin declaración y sin fricción.
Las declaraciones de identidad no son confiables como base de clasificación. Los agentes pueden identificarse como navegadores, como crawlers conocidos, como usuarios móviles. La declaración es barata. El comportamiento es más difícil de falsificar a escala, y los patrones conductuales se acumulan en huellas que persisten incluso cuando la identidad declarada rota.
La observación conductual es el único mecanismo que opera en la brecha. Las reglas del WAF detectan firmas. El rate limiting captura volumen. La observación conductual captura al agente que se mueve lentamente, varía su ritmo y navega con precisión — el actor que ninguna firma identifica y ningún límite de tasa activa.
Nota de cierre
Moltbook se desvanecerá. Las dinámicas que hizo visibles no lo harán.
Cada organización que despliega agentes de IA es simultáneamente receptora de tráfico de agentes de IA de otras organizaciones. La conversación sobre el lado emisor — permisos, credenciales, gobernanza — es necesaria y largamente postergada. La conversación sobre el lado receptor es igualmente necesaria y significativamente menos desarrollada.
La perspectiva desde el lado receptor no requiere acceso a los sistemas, intenciones o configuraciones del emisor. Requiere únicamente la capacidad de observar el comportamiento en el punto de llegada — de manera consistente, a través de sesiones, a través de propiedades, sin depender de la identidad declarada.
Esa es una de las pocas perspectivas desde las cuales la era agente-a-agente puede ser observada con alguna precisión.
BotConduct opera un observatorio conductual multi-propiedad que abarca servicios financieros, comercio electrónico, gobierno, salud y verticales adyacentes. Las notas de investigación mensuales se publican aquí. El próximo Informe trimestral se publica en junio de 2026. Para consultas empresariales: hello@botconduct.org
