Configuraste tu agente de IA — un programa autónomo que actúa en tu nombre — con una lista prolija de herramientas. Buscar en la web. Leer un archivo. Crear un ticket en Jira. Cada una es una función predecible: entra un input, sale un output, como una máquina expendedora. Sabes cuánto cuesta, cuánto tarda y qué no puede hacer. Todo bajo control.

Pero, ¿y si algunas de esas "herramientas" no son funciones en absoluto? ¿Y si detrás de la misma interfaz invocable se esconde otra IA autónoma — con sus propias herramientas, su propia cadena de razonamiento y su propia capacidad de reventar tu factura? Tu agente orquestador no tiene forma de distinguirlas.

Google borró la línea

El 22 de abril, en Cloud Next en Las Vegas, Google lanzó ADK (Agent Development Kit) 1.0 — versiones estables en Python, Go, Java y TypeScript. La función estrella: ADK soporta nativamente tanto herramientas MCP (Model Context Protocol — un estándar universal de conexión para vincular IA con servicios externos, como USB pero para datos) como agentes A2A (Agent-to-Agent protocol — una forma en que los agentes de IA se comunican entre sí como pares). Ambos se pueden invocar desde el mismo agente orquestador. Thomas Kurian, CEO de Google Cloud, declaró que "la era del piloto terminó" — 150 organizaciones ya usan A2A en producción.

Mismo menú, cocinas muy diferentes

En el código, hay una distinción técnica. Las herramientas locales van en el parámetro tools=. Los agentes remotos A2A van en sub_agents=. Separación limpia en el papel. Pero el LLM — el modelo de lenguaje grande, el cerebro detrás de Gemini, ChatGPT, Claude — ve ambos como opciones invocables en el mismo menú. Elige "search_web" o "ask_finance_agent" sin ningún metadato sobre qué hay del otro lado de la llamada.

Una herramienta MCP es sin estado: entrada, salida, determinista, rápida. Un agente A2A es un razonador no determinista que puede invocar sus propias herramientas, tomar decisiones en múltiples pasos, correr durante minutos y construir su propia ventana de contexto — la cantidad de texto que la IA mantiene en su memoria de trabajo. La AgentCard de A2A — el archivo de autodescripción del agente — lleva esquemas de autenticación y descripciones de habilidades. Lo que no lleva: un flag de estado, un estimado de costo ni una declaración de idempotencia (si llamarlo dos veces produce el mismo resultado o crea una acción duplicada).

Tres cosas se rompen al mismo tiempo

Alcance de permisos. Una "herramienta" que en secreto es un agente puede escalar privilegios a través de sus propias llamadas a herramientas — llamadas que tu orquestador nunca autorizó y nunca ve.

Presupuestos de costo. Un agente puede quemar tokens impredecibles — fragmentos de palabras que la IA procesa, aproximadamente ¾ de una palabra en inglés — en razonamiento interno que nunca aparece en tus logs. Tu llamada de $0.002 se convierte silenciosamente en una sesión de agente de $0.50.

Lógica de reintentos. Volver a llamar una función fallida es seguro. Volver a llamar un agente fallido puede crear órdenes duplicadas, enviar correos duplicados o iniciar una segunda negociación con otra IA. Idempotente vs. no idempotente — y nada en el protocolo te dice cuál es cuál.

Investigadores de seguridad ya hicieron las cuentas: desplegar solo diez plugins MCP genera una probabilidad del 92% de al menos una vulnerabilidad explotable. Un análisis académico encontró que los tokens OAuth 2.0 de A2A carecen de requisitos estrictos de expiración — los tokens filtrados siguen válidos por horas o días. Y las agent cards son autorreportadas: los agentes declaran sus propias capacidades sin verificación independiente. Confía en mí, soy un agente.

La señal de confianza que falta

Ni MCP ni A2A tienen un campo que diga "soy una función tonta" vs. "soy un razonador autónomo con tarjeta de crédito." Ambos protocolos ahora viven bajo la Agentic AI Foundation de la Linux Foundation (cofundada en diciembre de 2025 por OpenAI, Anthropic, Google, Microsoft y AWS), pero un estándar unificado de declaración de capacidades aún no existe. Los desarrolladores deben auditar manualmente cada punto de integración — el tipo de trabajo que no escala y que nadie hace hasta que algo explota en producción.

Qué deberías hacer ahora mismo

Hasta que ese estándar llegue, el único enfoque sensato: tratar cada llamada a herramienta como una potencial delegación a un agente. Límites de gasto por sesión. Cero reintentos automáticos. Permisos por llamada individual. No importa si el endpoint parece una simple función de búsqueda — asume que tiene opiniones propias.

La frontera entre herramienta y agente siempre fue una ficción conveniente. Google simplemente la hizo visible en infraestructura de producción usada por 150 organizaciones en toda la industria. Cada modelo de seguridad construido sobre la premisa "las herramientas son seguras, los agentes son peligrosos" necesita reconstruirse desde cero. Tu máquina expendedora podría ser sintiente ahora — y definitivamente tiene sus propias API keys.