AI News CryptoTRADE THE NEWS
A robot at a control panel with screens

Agentes de IA en cripto: cómo funcionan y sus fallos

By AI News Crypto Editorial Team9 min read

Los agentes de trading de IA en cripto son sistemas autónomos que utilizan herramientas y que toman un objetivo que escribes en inglés sencillo y lo convierten en acciones de múltiples pasos a través de intercambios, billeteras y lugares en la cadena.

La ventaja no se trata tanto de "señales más inteligentes" sino de controlar una capa de ejecución que puede ser engañada por contextos no confiables, intenciones mal especificadas o memoria envenenada.

Puntos Clave

  • Un agente de trading de IA puede interpretar intenciones, planificar pasos y llamar a múltiples herramientas, mientras que un bot de trading típicamente ejecuta reglas fijas de si-entonces que preconfiguras.
  • Las configuraciones modernas de agentes dependen de "habilidades" que mapean instrucciones de chat en acciones específicas de API, lo que convierte los permisos y las puertas de confirmación en la principal superficie de seguridad.
  • Los incidentes reales muestran fallos específicos de los agentes como la inyección de comandos, la inyección de comandos indirecta a través de respuestas sociales y los "recuerdos falsos" persistentes que redirigen las transacciones.
  • Las plataformas están escalando rápidamente, pero las afirmaciones de rendimiento siguen siendo en su mayoría marketing, por lo que la evaluación se parece más a la debida diligencia de infraestructura que a la "compra de alfa".

Cómo los agentes de trading de IA difieren de los bots

La automatización basada en reglas ha existido desde las primeras APIs de intercambio, y la mayoría de los traders minoristas han visto el menú familiar: cuadrícula,DCA, simple arbitraje de bucles y scripts de alerta a orden. Ese es el modelo clásico de bot de trading. El usuario define condiciones y parámetros, el bot observa un feed de precios y ejecuta órdenes cuando se activa la regla.

Es rápido y predecible, pero no puede reinterpretar el plan cuando cambia el régimen del mercado a menos que el usuario cambie las reglas.

Los agentes de trading de IA cambian la interfaz y el límite de responsabilidad. En lugar de configurar un panel de estrategias, el usuario escribe la intención en lenguaje natural y el agente decide qué acciones tomar para satisfacerla.

Eso puede parecerse a “rebalanciar mi libro de spot”, “reducir la exposición si los fondos aumentan” o “coberturar este riesgo de evento”, seguido por el agente que verifica datos, selecciona instrumentos y coloca o modifica órdenes. Por eso es que “los agentes de IA son solobots de trading"con ChatGPT" es un error de categoría. El agente no solo está ejecutando. Está seleccionando y secuenciando acciones.

La consecuencia importante es operativa, no filosófica. Los modos de fallo de un bot de trading se agrupan en torno a parámetros incorrectos, datos erróneos o una conexión de intercambio rota. Los modos de fallo de un agente de trading autónomo incluyen esos, además de la mala interpretación de intenciones y el uso indebido de herramientas.

Si el agente puede navegar, leer feeds sociales y también mover dinero, el modelo de amenaza se expande de "¿funcionó la estrategia?" a "¿puede ser dirigido el agente?". Por eso, la postura ganadora trata a un agente de trading de IA como a un trader junior: útil, rápido y absolutamente no confiable con discreción ilimitada.

El mecanismo detrás del trading agentivo

Tres capas se sitúan entre una instrucción escrita y un pedido completado: interpretación, planificación y llamadas a herramientas. La parte que la mayoría de los usuarios nota es la interfaz de chat. La parte que importa es el límite de la herramienta donde las palabras se convierten en escrituras de API.

Un flujo típico se ve así:

1. El usuario proporciona la intención. Un buen aviso se lee como un ticket de orden: instrumento, lugar, dirección, tamaño, tiempo en vigor, máximo.deslizamientoy condiciones explícitas de "no hacer nada a menos que X". 2. El agente interpreta y planifica. Divide el objetivo en subtareas como "verificar saldos", "obtener precio de mercado", "elegir tipo de orden", "realizar orden" y "verificar posición". 3.

El agente ejecuta a través de herramientas. Estas herramientas suelen estar empaquetadas como "habilidades", lo que significa módulos estandarizados que exponen funciones como realizar orden, cancelar orden, consultar posiciones o mover fondos. 4. Las salvaguardas deciden si la escritura ocurre. Aquí es donde residen las puertas de confirmación, las advertencias de tamaño, los valores predeterminados de testnet y el alcance de permisos.

Dos implementaciones concretas muestran lo que significa “habilidades” en una pantalla. El AI Hub de Bybit se describe como una conexión de asistentes de IA a 274 puntos finales de la API de Bybit y requiere un paso de CONFIRMACIÓN escrito para acciones de escritura, con advertencias adicionales para órdenes grandes.

WEEX describe las “Habilidades del Agente” como una interfaz de capacidad estandarizada donde los desarrolladores empaquetan funciones de herramientas en módulos de habilidad que se pueden llamar a través del lenguaje natural.

Esa capa de “habilidades” es la verdadera superficie del producto. Cada nueva habilidad expande lo que el agente puede hacer, y cada expansión es otro límite de permiso donde la intención puede ser mal especificada o maliciosamente reformulada. El IQ del modelo no soluciona eso. Los controles sí.

Dónde se utilizan los agentes en cripto

Los casos de uso actuales se agrupan en torno a la conveniencia de ejecución y la compresión del flujo de trabajo. Los agentes se están posicionando como una interfaz para el comercio automatizado de criptomonedas: investigación en la misma ventana que la ejecución, menos clics, menos cambio de contexto y la capacidad de ejecutar tareas de múltiples pasos sin que el usuario conecte puntos finales.

En el lado de la plataforma, Bybit enmarca el AI Hub como una capa de habilidades a escala de intercambio que se conecta a asistentes comunes y expone un gran conjunto de puntos finales para datos de mercado y acciones de cuenta, con salvaguardias de confirmación.

En el lado adyacente al intercambio, WEEX destaca las “Habilidades del Agente” como una forma de permitir que los asistentes de IA llamen funciones de intercambio directamente desde el lenguaje natural, y enumera ecosistemas y marcos de agentes que enfatizan el uso de herramientas y la memoria.

Las métricas de adopción se están moviendo más rápido que la base de evidencia sobre el rendimiento. WEEX informa que el Protocolo Virtual alberga más de 15,800 proyectos de IA y genera $477 millones en “GDP Agente (aGDP)” a partir de febrero de 2026. También informa que tokenbot/CLANKER lanzó 21,870 tokens en un día y las tarifas semanales del protocolo alcanzaron los $8 millones, con tarifas utilizadas para recomprar y quemar CLANKER. Esos números señalan escala y experimentación, no ventaja comercial auditada.

Este también es el lugar donde “copy tradingencaja en el mapa.Copy tradinges un modelo de delegación de humano a humano donde el usuario refleja las operaciones de otra cuenta. El comercio agentic es una delegación de humano a agente donde el usuario delega la ejecución y la secuenciación a software. La superposición es que ambos están externalizando partes del flujo de trabajo.

La diferencia es que los agentes introducen un nuevo plano de control: indicaciones, habilidades, memoria e ingesta de contexto externo.

Fallos de seguridad y rutas de ataque reales

Dos incidentes reales y una línea de investigación definen el modelo de amenaza específico de agentes: inyección de indicaciones, inyección de comandos indirectos a través de contenido no confiable, y envenenamiento de memoria que persiste.

Akinciborg describe el incidente de Freysa en noviembre de 2024 donde un agente autónomo transfirió 13.19 ETH (aproximadamente $47,000) después de ser manipulado a través de confusión de función e intención. El ataque reformuló lo que significaba una llamada a la herramienta, dirigiendo al agente a ejecutar una transferencia mientras “creía” que estaba cumpliendo con sus reglas. Ese es el problema central del agente: el modelo razona sobre el lenguaje, y el lenguaje puede ser adversarial.

Akinciborg también describe un incidente de AIXBT en marzo de 2025 que involucró aproximadamente 55 ETH (alrededor de $100,000) perdidos, relacionado con acceso no autorizado al panel de control e inyección de comandos maliciosos impulsados por redes sociales. La respuesta incluyó pausar el panel de control, migrar servidores y rotar claves.

La lección no es “no leas redes sociales.” La lección es que permitir que un agente lea X respuestas y también ejecute acciones de movimiento de fondos crea un camino donde el atacante no necesita violar tu billetera directamente. Pueden dirigir al agente a través de las entradas que ya confía.

La “manipulación de contexto” al estilo de Princeton añade persistencia. Un resumen de Medium sobre la investigación de Princeton describe a atacantes inyectando “recuerdos falsos” en el contexto almacenado de un agente, incluyendo directivas que más tarde influyen en transacciones. Los métodos de ofuscación incluyen caracteres hexadecimales e invisibles de Unicode, y los ataques pueden aprovechar integraciones como X o Discord.

Eso importa porque rompe el modelo de seguridad ingenuo de “la indicación actual se ve bien.” La instrucción maliciosa puede ser almacenada, recuperada más tarde y aplicada durante una solicitud que de otro modo sería normal.

La idea errónea que perjudica a los usuarios es pensar que el principal riesgo son las malas señales. Las malas señales pierden dinero de la manera antigua. Los ataques de indicaciones y memoria pierden dinero mientras el usuario piensa que el sistema se comporta normalmente.

Salvaguardias prácticas antes de conectar fondos

Las barandillas no son una experiencia de usuario “agradable de tener”. Son los interruptores de circuito mínimos viables para la ejecución agentic, porque el trabajo del agente es convertir el lenguaje ambiguo en escrituras irreversibles.

Un lanzamiento más seguro sigue un orden:

1. Comienza en un sandbox. Si la plataforma ofrece un comportamiento de testnet por defecto, trátalo como obligatorio hasta que los registros muestren que las llamadas a las herramientas del agente coinciden con la intención. 2. Define permisos como el tamaño de la posición. Utiliza los alcances y límites de clave API más pequeños que aún permitan las acciones previstas. Expande solo después de revisar lo que realmente hizo el agente. 3.

Requiere confirmaciones explícitas para escrituras. Las confirmaciones escritas y las advertencias de 'orden grande' son fricción que evita que una sola instrucción mal leída se convierta en una orden ejecutada. El diseño del AI Hub de Bybit, con CONFIRM escrito para acciones de escritura y advertencias adicionales para órdenes grandes, es el patrón correcto. 4. Escribe indicaciones como boletos de orden.

Especifica instrumento, lugar, dirección, tamaño, tiempo de validez, deslizamiento máximo y condiciones de 'no hacer nada a menos que'. La ambigüedad es cómo los agentes 'ayudan' a hacer lo incorrecto. 5. Trata la memoria como un pasivo. Si el agente almacena notas, resúmenes o preferencias, rota o borra estos datos en un horario y nunca permitas que la memoria se convierta en una fuente de verdad no revisada para transferencias o aprobaciones.

Este también es el lugar donde las 'Habilidades del Agente' merecen escepticismo. Las habilidades son poderosas porque eliminan la codificación, pero también multiplican las formas en que la intención puede ser mal especificada. Cada nuevo módulo de habilidad es otro límite donde una solicitud que suena inofensiva puede ser mapeada a una función peligrosa.

El punto más amplio es que el trading agente es una capa de ejecución. Los traders deben evaluarlo de la misma manera que evalúan la infraestructura: permisos, registros, puertas de confirmación y contención de fallos. Esa mentalidad se ajusta a la categoría más amplia del trading automatizado de criptomonedas, donde la parte difícil rara vez es la entrada y casi siempre es el plano de control.

Conceptos erróneos comunes sobre los agentes de trading de IA

‘Los agentes de IA son solo bots de trading con ChatGPT’ falla porque ignora la planificación y la orquestación de herramientas. Los bots ejecutan lógica predefinida. Los agentes interpretan la intención, razonan con el contexto y secuencian acciones a través de herramientas, razón por la cual pueden hacer más que un solo bucle de estrategia.

‘El principal riesgo son las malas señales’ pasa por alto la nueva clase de fallos. La inyección de indicaciones y la inyección de comandos indirectos pueden redirigir solicitudes que de otro modo serían normales hacia acciones que mueven fondos, y la manipulación de la memoria puede persistir a través de sesiones. El riesgo no es solo el riesgo de mercado. Es el riesgo de instrucción.

‘Si está en una plataforma de renombre, es seguro’ confunde las barandillas con garantías. Las puertas de confirmación y las advertencias reducen la ejecución accidental, pero incidentes como AIXBT muestran que las pérdidas pueden provenir de entradas no confiables y debilidades en el plano de control como tableros y manejo de claves. La seguridad es una propiedad del sistema, no una propiedad de la marca.

‘Más habilidades significan un mejor agente’ es al revés si los permisos no están diseñados primero. Las habilidades son la superficie de ataque. Más habilidades sin un alcance más ajustado es como agregar nuevos tipos de órdenes sin agregar límites.

La Conclusión

He visto a los traders obsesionarse con si un agente 'encuentra mejores entradas' mientras ignoran la parte que realmente cambia el juego: la ejecución a través de muchas herramientas. Una vez que un agente de trading de IA puede leer X respuestas o mensajes de Discord y también llamar a funciones de billetera o intercambio, se debe asumir que eventualmente será engañado. La única pregunta es si las barandillas limitan el daño.

He visto el mismo patrón en cada ola de automatización en los escritorios institucionales: los errores costosos provienen de la negligencia en el plano de control, no de que el modelo sea tonto. El camino al estilo AIXBT, donde las entradas sociales y el acceso al panel se convierten en una pérdida de seis cifras, es el recordatorio claro. Las confirmaciones tipadas, los permisos delimitados y una higiene de memoria agresiva no son 'paranoicos'. Son el precio de usar ejecución agente dentro del trading automatizado de criptomonedas.

Fuentes

Frequently Asked Questions

¿Qué es un agente de trading de IA en cripto?

Un agente de trading de IA es un sistema autónomo que toma un objetivo en lenguaje natural, razona sobre qué hacer y luego utiliza herramientas conectadas como APIs de intercambio o billeteras para ejecutar acciones. A diferencia de un bot de trading que solo sigue reglas, puede planificar flujos de trabajo de múltiples pasos y adaptar la secuencia de acciones según el contexto.

¿En qué se diferencia un agente de trading de IA de un bot de trading?

Un bot de trading normalmente ejecuta reglas if-then predefinidas que configuras, como parámetros de grid o DCA. Un agente de IA interpreta la intención, planifica pasos y llama a múltiples herramientas para llevar a cabo una tarea, lo que aumenta la flexibilidad pero también amplía las formas en que puede fallar o ser manipulado.

¿Qué son las “Habilidades de Agente” en el trading de agentes de IA?

Las Habilidades de Agente son capacidades de herramientas empaquetadas que permiten a un asistente de IA llamar a funciones específicas, como realizar o cancelar órdenes, a través del lenguaje natural. WEEX las describe como una interfaz de capacidad estandarizada donde los desarrolladores encapsulan funciones de herramientas en módulos de habilidades que pueden ser llamados por asistentes de IA.

¿Son seguros los agentes de trading de IA para conectar a una cuenta de intercambio o billetera?

Pueden ser más seguros cuando los permisos están estrictamente limitados y las acciones de escritura requieren confirmación explícita, pero el modelo de amenaza es mayor que el de los bots clásicos. Incidentes como Freysa (13.19 ETH transferidos después de confusión de función/intención) y AIXBT (~55 ETH de pérdida vinculada al acceso al panel y la inyección de comandos sociales) muestran caminos de fallo creíbles.

¿Qué salvaguardas debo buscar antes de usar un agente de trading autónomo?

Busca puertas de confirmación en acciones de escritura, un fuerte alcance de permisos y registros claros de llamadas a herramientas. El AI Hub de Bybit, por ejemplo, se describe como que requiere CONFIRM escrito para acciones de escritura y añade advertencias adicionales para órdenes grandes, lo que actúa como un interruptor de circuito contra fallos.