Saltar al contenido
Todos los escritos
Seguridad de agentes · 2026 · 04 · 6 min

AgentPay: lo que construimos en el hackathon de Anthropic × Kaszek

El equipo Octopus ganó el hackathon de Anthropic × Kaszek × Digital House con AgentPay, un prototipo que pone chequeos de seguridad determinísticos delante de los pagos que un agente de IA intenta ejecutar.

GA
Gus Aragón
Fundador, Oktsec
Puntos clave
  • El equipo Octopus ganó el hackathon de Anthropic × Kaszek × Digital House con AgentPay, un prototipo funcional hecho durante el evento. El premio fueron USD 150.000 en créditos de Anthropic más USD 2.000 en efectivo, un premio del evento, no una inversión.
  • AgentPay pone un pipeline de seguridad determinístico delante de los pagos que ejecuta un agente de IA, revisando límites de monto, cambios de destinatario, credenciales expuestas y señales de manipulación antes de que una acción avance.
  • Las decisiones de seguridad no dependen de preguntarle a otro modelo. Usan reglas auditables y dejan un registro encadenado por hashes de qué se intentó y por qué se permitió, bloqueó o mandó a aprobación.

Nuestro equipo, Octopus, ganó el premio principal del hackathon de Anthropic × Kaszek × Digital House. Entre cinco construimos un prototipo llamado AgentPay durante el evento: Ignacio Aracena, Nicolás Spagnuolo, Mauro Proto Cassina, Sebastián Buffo Sempe y yo.

El hackathon tuvo más de 200 participantes. AgentPay se llevó el premio principal: USD 150.000 en créditos de API de Anthropic para el equipo, unos USD 30.000 por integrante, más USD 2.000 en efectivo de Kaszek. Vale aclararlo: fue un premio del evento, no una inversión ni una ronda de capital.

Fue un equipo mixto. Tres éramos estudiantes de UdeSA: Ignacio, Nicolás y Mauro. Los otros dos, perfiles senior, Sebastián con experiencia en negocios, fintech y startups, y yo con experiencia en tecnología, producto, fintech y ciberseguridad. Los tres estudiantes cargaron con buena parte del peso. Llegaron muy preparados a una dinámica exigente, con poco tiempo para probar caminos largos, y aportaron tanto en la construcción como en la forma de plantear el problema. Para aprovechar el tiempo, nos dividimos por frentes: Ignacio, Nicolás y Sebastián en negocio, propuesta de valor y presentación, Mauro y yo en el prototipo técnico.

Qué es AgentPay

AgentPay es un prototipo funcional que hicimos durante el evento. Muestra cómo sumar una capa de seguridad sobre los agentes de IA cuando intervienen en acciones sensibles: pagos, credenciales, archivos, conexiones con servicios externos.

La idea salió de un problema que vengo trabajando desde febrero, cuando empecé a desarrollar Oktsec. Los agentes ya no solo responden preguntas. Leen archivos, ejecutan comandos, usan APIs, se conectan a herramientas internas, instalan dependencias y operan con credenciales. Ese cambio abre una pregunta concreta para empresas y equipos técnicos: cómo controlás lo que hace un agente antes de que ejecute una acción riesgosa.

No es un riesgo del futuro

Ya está pasando. Entre fines de abril y mayo de 2026 se publicaron varios casos que muestran hacia dónde va el problema. En Cursor, unos investigadores mostraron cómo un repositorio que parecía normal escondía instrucciones dentro del README, de modo que el agente terminaba leyendo y enviando claves privadas del entorno local con solo abrir el proyecto. Google avisó que ya encuentra páginas web con instrucciones ocultas pensadas para manipular a los agentes que navegan o procesan contenido externo. Y Microsoft publicó vulnerabilidades en frameworks de agentes donde una prompt injection pasaba de una respuesta manipulada a ejecución remota de código en el host. En los tres el punto es el mismo. Cuando el modelo está conectado a herramientas, archivos o comandos, una instrucción maliciosa deja de ser texto y se convierte en una acción concreta.

Ese es el cambio de fondo. Antes el mayor riesgo de la IA era que diera una respuesta equivocada. Ahora que los agentes pueden leer archivos, usar herramientas, acceder a datos o ejecutar comandos, un ataque puede causar daños reales: robar información sensible, ejecutar órdenes, comprometer sistemas. Muchas compañías van a tener que tratar a estos agentes como identidades con acceso privilegiado. Limitar lo que pueden hacer, revisar sus acciones, guardar evidencia y no dejarlos operar con permisos completos sin supervisión.

Cómo funcionaba

AgentPay llevó ese problema a un caso concreto: los pagos que ejecuta un agente de IA. Construimos un plugin de Claude Code que corría dentro del flujo del agente y revisaba cada acción que el agente intentaba ejecutar antes de dejarla avanzar. No partimos de cero. Retomamos parte de mi trabajo open source en Oktsec sobre detección de riesgos, análisis de entornos de agentes y control de acciones sensibles.

El prototipo aplicaba un pipeline de seguridad antes de ejecutar una operación sensible. Revisaba credenciales expuestas, límites de monto, frecuencia, cambios de destinatario, alteración de parámetros y señales de manipulación externa. Si el agente quería pagar USD 50 a una persona pero un MCP server comprometido cambiaba el destinatario o inflaba el monto antes de ejecutar la operación, AgentPay podía detectar el cambio, bloquear la acción o pedir aprobación humana.

Hubo una decisión que pesó más que el resto. No basamos la seguridad en preguntarle a otro modelo si algo era seguro. AgentPay usaba reglas determinísticas, más predecibles y auditables, para decidir si una acción podía avanzar, bloquearse o quedar marcada como riesgosa. En flujos financieros eso es todo el punto. No querés que una alucinación o una instrucción maliciosa sea lo que habilite una transacción. Además dejaba evidencia auditable. Cada decisión quedaba registrada con una cadena de hashes, para poder revisar después qué se intentó hacer, qué regla se aplicó y por qué se permitió, bloqueó o pidió aprobación.

El patrón detrás

Lo relevante de AgentPay no es solo el caso de pagos. Es el patrón que hay debajo. A medida que los agentes empiezan a operar sobre herramientas reales, las empresas necesitan una capa de control antes, durante y después de cada acción sensible. Cada vez más equipos exploran agentes de IA, pero para usarlos en entornos sensibles necesitan visibilidad sobre lo que hacen, reglas claras, trazabilidad y evidencia para revisar después qué ocurrió.

Esa línea de trabajo sigue después del hackathon. AgentPay fue un prototipo aplicado a pagos, pero el problema es más amplio: cómo dejás que los agentes ayuden a escalar operaciones sin perder control, trazabilidad ni seguridad. Ahí se ubica Oktsec, el proyecto que estoy construyendo ahora. La idea no es reemplazar a los modelos ni competir con las herramientas de IA. Es sumar una capa de seguridad alrededor de los agentes: qué pueden hacer, bajo qué reglas, con qué permisos y qué evidencia dejan sus acciones.

El enfoque es local-first, así que los datos y las acciones sensibles quedan en el entorno de la empresa o del desarrollador, y la capa de seguridad agrega visibilidad, reglas, control y evidencia que tecnología, seguridad, compliance o dirección pueden revisar. En pocas palabras, Oktsec busca que una empresa pueda adoptar agentes de IA con más confianza y escalar más rápido, sin resignar control, trazabilidad ni seguridad.

La relación entre los dos es simple. AgentPay fue el prototipo funcional del hackathon, aplicado a los pagos que ejecutan los agentes. Oktsec es la continuidad de esa línea, como capa de seguridad para agentes de IA en entornos reales.

Preguntas frecuentes
¿Qué es AgentPay?
Un prototipo funcional hecho en el hackathon de Anthropic × Kaszek × Digital House que suma una capa de seguridad sobre los agentes de IA cuando ejecutan pagos, revisando cada acción con reglas determinísticas antes de que corra.
¿Qué relación hay entre AgentPay y Oktsec?
AgentPay fue el prototipo del hackathon aplicado a los pagos de los agentes. Oktsec es la continuidad de ese trabajo: una capa de seguridad local-first para agentes de IA en entornos reales, sobre qué pueden hacer, bajo qué reglas y qué evidencia queda.