Durante los últimos dos años, la industria tecnológica ha avanzado rápidamente para dotar a los agentes de inteligencia artificial (IA) de mayores capacidades, enseñándoles a escribir código, navegar por interfaces de software, gestionar archivos y ejecutar flujos de trabajo complejos de manera autónoma. Sin embargo, una cuestión crítica se ha mantenido sin respuesta clara: ¿qué sucede si un agente actúa de forma indebida o peligrosa?
Este martes, durante la conferencia anual para desarrolladores Build 2026, Microsoft presentó su posible solución definitiva. La compañía ha dado a conocer Microsoft Execution Containers (MXC), una capa de ejecución basada en políticas integrada directamente en el sistema operativo Windows. Esta permite a desarrolladores y administradores de TI definir con precisión qué puede y qué no puede hacer un agente de IA, con las restricciones aplicadas en tiempo real por el núcleo del sistema operativo.
Aunque este anuncio se produjo entre una serie de actualizaciones dirigidas a desarrolladores, MXC puede ser considerado el movimiento más significativo de Microsoft en la conferencia. Tiene el potencial de transformar la forma en que las empresas implementan software autónomo basado en IA de forma segura. 
MXC no es un producto comercial sino un kit de desarrollo (SDK) con un modelo de políticas que Microsoft incorpora en Windows y en el Subsistema de Windows para Linux. Proporciona un «espectro de sandbox composable» que abarca desde un aislamiento ligero a nivel de proceso, ya adoptado por la interfaz de línea de comandos de GitHub Copilot, hasta micro máquinas virtuales, contenedores Linux y hasta instancias completas en la nube ejecutadas en Windows 365.
El sistema separa la ejecución del agente del escritorio del usuario, el portapapeles, la interfaz gráfica y los dispositivos de entrada. Cada agente se asocia a una identidad sólida, ya sea local o provisionada en la nube mediante Microsoft Entra, asegurando que todas sus acciones puedan ser atribuidas, auditadas y gobernadas.
El reto de la seguridad con agentes autónomos de IA
Un agente de IA opera de forma muy diferente a una aplicación tradicional. Recibe una meta en lenguaje natural, decide cómo cumplirla y ejecuta acciones como abrir archivos, ejecutar código, llamar a APIs o interactuar con otros programas. Estas interacciones amplían la superficie de ataque, aumentando el riesgo para las redes corporativas.
Microsoft ha señalado que, aunque los agentes autónomos aportan notables mejoras de productividad, también introducen nuevos riesgos que afectan a todo el sistema, no solo al agente. Cada contacto entre agentes, humanos u otros sistemas genera vulnerabilidades y potenciales fallos.
Investigadores en seguridad han demostrado en los meses previos a Build múltiples formas en que se podrían explotar agentes de IA, desde la inyección maliciosa de comandos hasta el robo de datos disfrazado como una operación habitual. Para empresas con datos sensibles y regulados, la falta de un entorno de ejecución fiable ha frenado la adopción generalizada de estos agentes en entornos productivos.
Un sandbox que se adapta al riesgo y necesidades
MXC funciona bajo un principio simple pero potente: especificar previamente qué recursos puede usar un agente y que el sistema operativo aplique esas reglas durante la ejecución. El desarrollador o responsable de TI define políticas que controlan el acceso a archivos, directorios o recursos de red. MXC crea un entorno protegido que impide cualquier acción fuera de esos límites.
La fuerza de MXC radica en su flexibilidad para escalar el aislamiento. Un asistente de codificación que solo necesita acceso limitado puede ejecutarse en un proceso aislado ligero, mientras que agentes que ejecutan código arbitrario descargado requieren micro máquinas virtuales completas. Este aislamiento se ajusta dinámicamente según la intención y el riesgo.
Una característica clave es el aislamiento entre sesiones. MXC separa la ejecución del agente del entorno del usuario, evitando ataques como la suplantación de interfaz (UI spoofing), la inyección de entradas (como pulsaciones de teclado) y la filtración de datos entre sesiones.
Demostración práctica: un agente incapacitado para borrar archivos protegidos
En una pre- presentación para medios, un desarrollador mostró cómo el agente OpenClaw, ejecutándose dentro de MXC en su ordenador, intentó eliminar todos los ficheros del escritorio. A pesar del mandato, el sandbox bloqueó la operación, protegiendo los archivos. «Parece que mi escritorio está vacío, pero es una ilusión», señaló, confirmando que el entorno contenía al agente sin que los datos se vieran comprometidos.
La demostración también ilustró la granularidad del control: usuarios pueden asignar permisos de solo lectura, restringir acceso al navegador o a la captura de pantalla, controlar la ubicación y gestionar dichos permisos centralizadamente a través de políticas de Intune.
Pavan Davuluri, vicepresidente ejecutivo de Windows y dispositivos en Microsoft, destacó que las funciones de seguridad, contención, aislamiento y control de usuario son esenciales para que los agentes de IA tengan viabilidad comercial y sean seguros para empresas y consumidores.
Integración con Defender, Entra, Intune y Purview para gestión empresarial avanzada
Además del SDK, el anuncio incluyó la integración de MXC con la pila de seguridad empresarial de Microsoft mediante «Agent 365», que llegará en versión preliminar en julio. Esta solución combina servicios como Entra para identidad, Intune para administración de dispositivos, Defender para protección en tiempo real y Purview para gobernanza y cumplimiento de datos, creando un centro de control centralizado para gestionar agentes de IA de manera segura en redes corporativas.
Esta arquitectura permite a las empresas permitir agentes autónomos con capacidades avanzadas, manteniendo visibilidad y control similar al que tienen actualmente con aplicaciones tradicionales, algo crucial en sectores regulados como finanzas o salud.
Colaboraciones estratégicas que impulsan MXC
Microsoft ya ha contado con el apoyo de cinco socios tecnológicos destacados que están incorporando MXC en sus desarrollos: OpenAI, Nvidia, Manus, Nous Research y el proyecto open source OpenClaw.
La participación de OpenAI es especialmente relevante. Según David Wiesen, colaborador técnico de OpenAI, esta alianza permite explorar nuevos métodos para que agentes de IA generen y ejecuten código con seguridad y eficacia, mejorando el paso de la intención a la ejecución fiable, algo fundamental para desarrolladores y empresas.
Nvidia está integrando su framework OpenShell en Windows sobre MXC, facilitando la implementación de agentes autónomos siempre activos con seguridad. Manus, startup especializada en agentes IA, resalta que MXC brinda a los desarrolladores un mecanismo para definir y hacer cumplir límites durante la ejecución en entornos empresariales. Nous Research, creadores del agente Hermes, subrayan que los agentes locales que funcionan continuamente requieren aislamiento intencionado y confianza en los controles.
OpenClaw, un laboratorio para la seguridad de agentes en Windows
Un caso destacable es el de OpenClaw. El desarrollo colaborativo con Microsoft fue iniciado a partir de un contacto directo y ha evolucionado hasta convertirse en una aplicación de referencia para probar la robustez de MXC. Si OpenClaw, que ofrece amplia autonomía a agentes para realizar tareas, puede funcionar con seguridad dentro de MXC, ello valida la capacidad del sistema para otros agentes más complejos.
La app de OpenClaw explora todas las opciones de control empresarial: permisos de archivo, acceso a red, restricciones de captura de pantalla y datos de localización, gestionables globalmente desde Intune. Microsoft ha donado el proyecto a OpenClaw y continuará apoyándolo como open source, reafirmando la filosofía de apertura y compatibilidad para cualquier agente en Windows.
Una ventaja estratégica frente a los modelos de Apple y Google
MXC llega en un momento en que las grandes tecnológicas buscan dominar esta nueva categoría de software que suponen los agentes autónomos. La diferencia de Microsoft es que coloca la capa de confianza directamente en el nivel del sistema operativo, no en los frameworks de agentes, proveedores de modelos o soluciones de terceros.
Esto garantiza que las garantías de seguridad se mantengan sin importar qué agente o modelo se utilice. También permite aprovechar la enorme base instalada de dispositivos Windows gestionados por Intune y protegidos por Defender, habilitándolos para agentes mediante actualizaciones de software sin necesidad de reemplazos masivos.
Mientras Apple recurre a la seguridad restringiendo su entorno cerrado y Google se basa en la centralización en la nube, Microsoft ofrece seguridad mediante políticas declarativas y aplicación en el propio sistema, lo que puede resultar más práctico para empresas heterogéneas con diversas herramientas y proveedores.
El desafío ahora es definir políticas efectivas de uso
MXC ya está disponible en versión preliminar para que desarrolladores creen y prueben políticas de contención. Agent 365 llegará en preview en julio, con una ingeniería casi completa pero abierta a ajustes basados en la experiencia de usuarios.
No obstante, el verdadero reto será cuando las empresas desplieguen agentes a gran escala en entornos productivos. La contención solo es efectiva si las políticas están bien diseñadas, y desarrollar dicha gobernanza para ambientes complejos es un nuevo campo que exige formación y experiencia aún por consolidar.
A pesar de ello, la iniciativa de Microsoft marca un antes y un después: por primera vez un proveedor importante de sistemas operativos propone una solución integral a nivel de kernel para contener, identificar y gobernar agentes autónomos de IA en los dispositivos donde la mayoría del trabajo empresarial realmente ocurre. Tras años enseñando a los agentes a actuar, Microsoft apuesta ahora por enseñar al sistema operativo a vigilarlos de forma segura.
