Durante años, “IA en PC” significó sobre todo pequeñas comodidades: un mejor desenfoque de la webcam, un cuadro de búsqueda más inteligente o un asistente de escritura dentro de una sola aplicación. Esa era está dando paso a algo más ambicioso: agentes de escritorio capaces de planificar, hacer clic, copiar, resumir, archivar y dar seguimiento mientras tú sigues trabajando.
A comienzos de 2026, el lenguaje de la industria está cambiando en consecuencia. AMD ha empezado a presentar los “Ordenadores Agente” como una nueva categoría de PC diseñada para ejecutar agentes de IA de forma continua, señalando un paso de funciones de IA ocasionales a compañeros siempre activos, ejecutores de tareas, que viven en el escritorio.
De “funciones de IA” a agentes de escritorio siempre activos
El posicionamiento de AMD en marzo de 2026 sobre los “Ordenadores Agente” es notable porque trata al agente como una carga de trabajo de primera clase. En lugar de comercializar un puñado de trucos de IA aislados, sugiere que el propio PC está evolucionando hacia una máquina que puede alojar procesos de agente persistentes, listos para actuar cuando se lo pidas o cuando un flujo de trabajo los active.
Este enfoque importa porque “siempre activo” cambia las expectativas. Un agente de escritorio no se limita a generar texto; puede vigilar eventos, coordinar pasos entre aplicaciones y mantener estado a lo largo del tiempo, más como una capa de operaciones personal que como una sola función en una barra de herramientas.
En la práctica, esto empuja al hardware y al software a converger: inferencia local para mayor capacidad de respuesta, mejor planificación para que el trabajo en segundo plano no arruine la interactividad, y nuevos modelos de permisos a nivel de sistema que decidan qué puede ver y hacer un agente.
El “espacio de trabajo de agente” de Windows 11 como una zona operativa contenida
La documentación de Microsoft de finales de 2025/principios de 2026 introduce el concepto de espacio de trabajo de agente: un “espacio separado y contenido en Windows” donde los usuarios pueden conceder a los agentes acceso a aplicaciones y archivos para que las tareas se ejecuten en segundo plano mientras el usuario sigue trabajando. La idea clave es el aislamiento: los agentes operan en un entorno acotado en lugar de hacerlo por defecto en toda la sesión.
Esto refleja una narrativa más amplia (también recogida en coberturas como el enfoque de Forbes de un “SO para agentes de IA”) de que Windows se está volviendo más capaz para agentes sin convertirse en un sistema puramente “agent-first”. El objetivo es habilitar la automatización manteniendo en primer plano la gobernanza, la auditabilidad y la intención del usuario.
Si el modelo es correcto, el espacio de trabajo de agente se convierte en el análogo de escritorio de un contenedor de aplicaciones aislado: lo bastante potente como para interactuar con herramientas cotidianas, pero lo bastante restringido como para reducir el alcance accidental o malicioso.
Acceso al escritorio, por defecto: lo que los agentes pueden solicitar en Windows
Los permisos son el punto de apoyo para que los agentes de escritorio sean útiles. La documentación de Microsoft dice que las aplicaciones agenticas (como Copilot) pueden solicitar o obtener acceso a carpetas comunes específicas mientras se ejecutan en el espacio de trabajo de agente, nombrando explícitamente Documentos, Descargas, Escritorio, Música, Imágenes, Vídeos.
Ese alcance explica por qué estos agentes pueden ser realmente útiles: pueden encontrar tu borrador en Documentos, extraer un adjunto de Descargas o recopilar imágenes de Imágenes sin que tú tengas que buscar manualmente entre carpetas.
También aclara por qué los agentes de escritorio se sienten distintos de las experiencias de chatbot en un navegador. Una vez que autorizas el acceso a archivos, el agente ya no opera solo con fragmentos pegados; puede actuar sobre el sustrato real de tu trabajo: archivos, nombres de archivo y la estructura de tu información personal.
Seguridad de un SO agente: inyección cruzada de prompts y superficie de ataque ampliada
Microsoft señala explícitamente una nueva clase de riesgo para los agentes de escritorio: la inyección cruzada de prompts (XPIA). En su guía, Microsoft advierte que contenido malicioso incrustado en elementos de la interfaz o documentos podría anular las instrucciones del agente, potencialmente desencadenando acciones no deseadas como la exfiltración de datos o incluso la instalación de malware.
Los medios destacaron la seriedad de esto. Windows Central señaló que un flujo de trabajo agentico en Windows puede ampliar la superficie de ataque, particularmente si los atacantes pueden abusar de los permisos de carpeta concedidos. Tom’s Hardware resumió de forma similar el reconocimiento de Microsoft de que las funciones agenticas introducen riesgos tipo inyección de prompts y habló de conceptos de contención como espacios de trabajo limitados o límites al estilo de perfiles.
El problema central es que los agentes de escritorio no solo “leen”; hacen. Cuando un agente puede pulsar botones, ejecutar instaladores o enviar mensajes, manipular sus instrucciones mediante contenido hostil se vuelve materialmente peligroso. Por eso la contención, las aprobaciones explícitas, el registro y el acceso de mínimo privilegio se convierten en requisitos de diseño, no en complementos opcionales.
Agentes en la capa de UI: OpenAI y Anthropic llevan el “uso del ordenador” al escritorio
Un gran impulso detrás de los agentes de escritorio es la idea de que una IA pueda operar en la capa de interfaz de usuario, no solo a través de APIs. La descripción de OpenAI de 2025 de su Computer-Using Agent (CUA) lo posiciona como un enfoque universal a nivel de UI: el agente puede interactuar con “cualquier entorno informático disponible”, apuntando a la larga cola de tareas que carecen de integraciones especializadas.
En la documentación de la API de OpenAI (rastreo de 2026), esto aparece como la herramienta de “computer use” impulsada por un modelo llamado computer-use-preview. Esa denominación señala una categoría de capacidad distinta: modelos ajustados no solo para responder en texto, sino para percibir pantallas y realizar acciones.
Anthropic documenta una herramienta similar de “computer use”: la capacidad de ver y controlar entornos de escritorio, distinta de herramientas de bash o editor de texto, normalmente ejecutada mediante un patrón de agent loop (observar → decidir → actuar → observar). En una cita de entrevista de TechCrunch (oct 2024), Anthropic describió esto como una “capa de ejecución de acciones”, subrayando que los humanos siguen teniendo el control mediante prompts que dirigen las acciones.
Benchmarks, “AgentOS” multiagente y el problema de la fiabilidad
Una razón por la que los “agentes que usan el ordenador” están ganando credibilidad es que el rendimiento se está discutiendo en términos de benchmarks. WIRED (oct 2024) informó que Anthropic afirmaba resultados sólidos frente a otros agentes en benchmarks que incluyen OSWorld (la capacidad de un agente para usar un sistema operativo) y SWE-bench (tareas de ingeniería de software). Aunque los benchmarks sean imperfectos, crean una vara de medir compartida de la capacidad más allá de las demos.
La academia también está empujando hacia una automatización de escritorio más sistemática. El artículo UFO2 (2025) propone un “AgentOS multiagente para escritorios Windows”, con el objetivo de hacer más prácticos a nivel de sistema a los agentes que usan el ordenador coordinando roles (por ejemplo: planificador, ejecutor, verificador) en lugar de depender de un único bucle monolítico.
La fiabilidad sigue siendo el obstáculo central porque las GUIs son frágiles: los botones se mueven, los diálogos cambian y los tiempos varían. Investigaciones como ComputerRL (2025) proponen un “paradigma API-GUI” que unifica llamadas programáticas a APIs con interacción GUI, tendiendo un puente sobre el desajuste entre agentes máquina e interfaces diseñadas para humanos. Mientras tanto, CUA-Skill (2026) introduce una biblioteca a gran escala de habilidades diseñadas para aplicaciones comunes de Windows con el fin de mejorar la consistencia y la escalabilidad, insinuando un futuro en el que los agentes dependan de “habilidades” curadas en lugar de improvisar cada clic.
Los archivos se vuelven aptos para agentes: “.agent files” de OneDrive y copilotos de escritorio competidores
A medida que los agentes se trasladan al escritorio, los proveedores también están replanteándose qué es un “archivo”. TechRadar (feb 2026) informó que OneDrive introdujo “agent files” (con extensión .agent) que transportan contexto a través de múltiples documentos de OneDrive, habilitando resumen, preguntas y respuestas y detección de fechas límite a través de conjuntos de archivos, ofrecido mediante la experiencia web bajo licencias de Microsoft 365 Copilot.
Al mismo tiempo, la competencia se está intensificando en torno a agentes que operan directamente dentro de tu conjunto de trabajo. VentureBeat (ene 2026) describió “Cowork” de Anthropic como un agente de escritorio de Claude destinado a trabajar en tus archivos, posicionándolo como parte de una carrera principal por agentes de productividad con IA que hacen más que chatear.
La presión del ecosistema es clara: una vez que una plataforma demuestre que puede “hacer el trabajo” de forma fiable a través de documentos, correo electrónico, navegadores y herramientas internas, los usuarios esperarán ese comportamiento en todas partes. Esa expectativa retroalimenta el trabajo de espacios de trabajo de agentes a nivel de SO, mejores permisos y trazas de auditoría más ricas, porque el agente ahora está operando sobre los mismos activos que más te importan.
Empaquetado open-source y el camino hacia agentes personales autoalojados
No todos los agentes de escritorio vendrán de grandes proveedores. También están surgiendo aplicaciones de escritorio de “control del ordenador” de código abierto y autoalojadas, incluidos proyectos de GitHub que empaquetan una app local “impulsada por la capacidad de uso del ordenador de Claude para controlar tu ordenador”. Incluso cuando estas herramientas dependen de modelos alojados, la tendencia de empaquetado muestra lo rápido que pueden productizarse las experiencias de agentes.
Esto importa para la experimentación y la personalización. Los envoltorios autoalojados pueden integrarse con flujos de trabajo de nicho, sistemas internos o entornos sensibles a la privacidad donde las organizaciones prefieren un control más estricto sobre el registro, el acceso a la red y las rutas de datos.
También eleva el listón de la alfabetización en seguridad. Cuando cualquiera puede poner en marcha un agente que puede ver pantallas y hacer clic a través de diálogos, las mejores prácticas, el mínimo privilegio, el sandboxing, las confirmaciones explícitas para acciones arriesgadas y el manejo cuidadoso de la inyección de prompts se vuelven esenciales tanto para aficionados como para equipos de TI.
Los ordenadores agente llevan la IA al escritorio al hacer de la acción, no solo del insight, el centro de la experiencia. La trayectoria combinada, desde el marco de “Ordenadores Agente” de AMD hasta el espacio de trabajo de agentes de Windows 11 de Microsoft, sugiere que los PCs están siendo re-arquitectados para la ejecución persistente de tareas en segundo plano con límites y permisos más claros.
La oportunidad es enorme, pero también lo es la responsabilidad. Las advertencias explícitas de Microsoft sobre la inyección cruzada de prompts (XPIA) y las discusiones más amplias sobre la superficie de ataque de un “SO agente” muestran que la próxima generación de productividad de escritorio depende tanto de la contención, la gobernanza y el control del usuario como de modelos más inteligentes y chips más rápidos.
