SKILL.md: Cómo los agentes de IA aprenden — y se mantienen seguros.
El estándar abierto detrás de los agentes de IA modernos: Progressive Disclosure, el error más común — y por qué los Agent Skills son una nueva superficie de ataque. De los fundamentos a la gobernanza según ISO 42001 y el EU AI Act.
Fuentes: Anthropic — «Agent Skills» como estándar abierto (18 dic. 2025) · B. Poudel — «The SKILL.md Pattern» (Medium, feb. 2026) · OWASP — Agentic Skills Top 10 (v1.0, 2026)
¿Qué es un Agent Skill?
No es un plugin. No es un script de API. Un skill es como una guía de onboarding para nuevos compañeros — se empaqueta una vez y se usa automáticamente.
En esencia, un skill es solo una carpeta. El único archivo obligatorio es SKILL.md — el resto es opcional y crece con la complejidad.
MCP vs. Skills — el modelo mental
La fontanería
Define cómo el agente se conecta con herramientas, APIs y datos — qué recursos y acciones están siquiera disponibles.
El manual
Define cómo el agente usa esas herramientas paso a paso para lograr un objetivo concreto — el conocimiento procedimental.
Para recordar: MCP = cómo habla el modelo con las herramientas. Skills = qué hacen realmente esas herramientas.
Progressive Disclosure
Los contenidos se cargan solo cuando se necesitan — como un manual: primero el índice, luego el capítulo, después el anexo.
Nivel 1 · Metadatos
name + descriptionsiempre cargado · ~decenas de tokens por skillNivel 2 · Instrucciones
cuerpo completo de SKILL.mdal activarse · < 5.000 tokensNivel 3 · Referencias y scripts
archivos + código ejecutablebajo demanda · prácticamente ilimitadoCoste en reposo: prácticamente cero. Los scripts se ejecutan sin cargarse nunca en el contexto — sin importar cuánto agrupe un skill.
El error más común: la descripción
La description no está pensada para humanos. Es la condición de activación con la que el agente decide si llega a activar el skill.
[ Qué hace el skill ] + [ Cuándo — con frases de activación concretas ]
«Helps with documents.»Describe el qué — pero nunca el cuándo.
«Genera README.md. Usar cuando el usuario diga “escribe un README” o “documenta el proyecto”.»Qué + cuándo, con frases de activación concretas.
Un estándar abierto — respaldado por todos
Publicado por Anthropic como estándar abierto el 18 de diciembre de 2025. En cuestión de semanas lo adoptaron:
«El archivo es el contrato. La plataforma implementa la interfaz.»
Un skill que usted escribe hoy es portable entre todas las plataformas. < 50 → 500+ skills nuevos al día (ene → feb 2026).
Un skill es código + instrucciones que su agente ejecuta. Con ello, cada skill se convierte a la vez en una nueva superficie de ataque — y en un nuevo objeto de gobernanza.
La brecha de consentimiento
Una vez aprobado, un skill hereda silenciosamente permisos permanentes — sin más consultas: leer y escribir archivos, cargar código adicional, abrir conexiones de red.
«De SKILL.md a la shell en tres líneas de Markdown.» — Snyk
Persistencia: Los skills pueden envenenar AGENTS.md / MEMORY.md / SOUL.md — y dejar así puertas traseras que persisten entre sesiones.
La «Lethal Trifecta»
- Datos privados — claves SSH, credenciales de API, wallets, datos del navegador
- Contenido de terceros — instrucciones de skills, archivos de memoria, correos entrantes
- Comunicación externa — egress de red, webhooks, llamadas curl
Cuando los tres convergen en un skill, basta una instrucción oculta para una fuga de datos silenciosa. La mayoría de los despliegues productivos cumplen hoy los tres. (Simon Willison / Palo Alto Networks, 2026)
La amenaza es real — Q1 2026
Los Agent Skills son una cadena de suministro de software — y ya está bajo ataque activo.
> 25 % de los más de 30.000 skills analizados contienen al menos una vulnerabilidad. Se requiere la misma diligencia que con npm, PyPI y los registros de contenedores.
OWASP Agentic Skills Top 10
Los diez riesgos más críticos de la «Behavior Layer» — proyecto incubador de OWASP, versión 1.0 (2026).
Malicious Skills
críticoSupply Chain Compromise
críticoOver-Privileged Skills
altoInsecure Metadata
altoUnsafe Deserialization
altoWeak Isolation
altoUpdate Drift
medioPoor Scanning
medioNo Governance
medioCross-Platform Reuse
medioLos skills afectan a su gobernanza
OWASP menciona expresamente a GRC y Compliance como público objetivo — con la tarea central de mapear los riesgos de los skills a marcos establecidos.
NIST AI RMF
govern · map · measure · manage
ISO/IEC 42001
Sistema de gestión de IA
EU AI Act
Documentación · control de cambios · evidencias
OWASP AIVSS
Top 10 de LLM y Agentic
Los skills pasan a formar parte de su inventario de IA, de su evaluación de riesgos y de su gestión de evidencias.
Del riesgo al control
Procedencia y firma
ed25519 · content_hash · verificación Merkle
Least Privilege
Allowlist en lugar de «network: true» — proteger los archivos de identidad
Aislamiento
sandbox/contenedor por defecto, modo host solo opt-in
Escaneo
semántico + basado en comportamiento, no solo pattern matching
Pinning
hashes inmutables en lugar de rangos de versiones
Metadatos honestos
risk_tier L0 (seguro) a L3 (destructivo)
El ciclo de vida de la gobernanza de skills
Seis pasos que convierten skills individuales en un inventario auditable.
- 1
Inventariar
Registrar todos los skills en todas las plataformas.
- 2
Revisar
Leer y escanear código e instrucciones.
- 3
Aprobar
Flujo de aprobación, fuentes de confianza.
- 4
Restringir
Imponer un manifiesto de mínimo privilegio.
- 5
Supervisar
Auditar la actividad de archivos, red y memoria.
- 6
Auditar
Evidencias para ISO 42001 / EU AI Act.
Primeros pasos para su equipo
Para Security y GRC
- Crear un inventario de skills en todas las plataformas de agentes
- Establecer un flujo de aprobación y una política de autorización
- Activar el registro de auditoría para todas las acciones de los skills
- Gobernar las identidades y los permisos agénticos
- Suscribirse a los avisos de seguridad (plataformas y registros)
Para autores de skills
- Manifiesto de permisos mínimo (Least Privilege)
- Firmar los skills (ed25519) + indicar content_hash
- Fijar las dependencias a hashes inmutables (pinning)
- Proteger los archivos de identidad — sin acceso de escritura
- Declarar honestamente risk_tier y alcance
Preguntas frecuentes
¿Qué es un Agent Skill — y qué es SKILL.md?
Un Agent Skill es una carpeta con conocimiento procedimental para agentes de IA — como una guía de onboarding para nuevos compañeros: se empaqueta una vez y se usa automáticamente. El único archivo obligatorio es SKILL.md (instrucciones + metadatos); scripts/, references/ y assets/ son opcionales y crecen con la complejidad.
¿En qué se diferencian los Skills de MCP?
MCP es la fontanería: define cómo el agente se conecta con herramientas, APIs y datos. Los Skills son el manual: definen cómo el agente usa esas herramientas paso a paso para lograr un objetivo concreto. Para recordar: MCP = cómo habla el modelo con las herramientas. Skills = qué hacen realmente esas herramientas.
¿Por qué no se activa mi skill?
El error más común está en la description: no está pensada para humanos, sino que es la condición de activación con la que el agente decide si activa el skill. Una descripción fuerte indica el qué y el cuándo — con frases de activación concretas. «Helps with documents» solo describe el qué y, por tanto, se activa de forma poco fiable.
¿Son los Agent Skills un estándar abierto?
Sí. Anthropic publicó Agent Skills como estándar abierto el 18 de diciembre de 2025. En cuestión de semanas lo adoptaron, entre otros, OpenAI (Codex y ChatGPT), Google (Gemini CLI), GitHub Copilot, Cursor y el Microsoft Agent Framework. Un skill que usted escribe hoy es portable entre todas las plataformas.
¿Qué riesgos de seguridad conllevan los Agent Skills?
Un skill es código más instrucciones que su agente ejecuta — es decir, una nueva superficie de ataque y una cadena de suministro de software. Snyk detectó deficiencias de seguridad en el 36 % de 3.984 skills auditados (13,4 % críticos). El OWASP Agentic Skills Top 10 sistematiza los riesgos, desde Malicious Skills (AST01) hasta Cross-Platform Reuse (AST10). El peligro surge cuando datos privados, contenido de terceros y comunicación externa convergen en un mismo skill — la «Lethal Trifecta».
¿Cómo se hacen los skills aptos para la empresa?
Con un ciclo de vida de gobernanza: inventariar, revisar, aprobar, restringir, supervisar y auditar — más controles técnicos como firmas (ed25519), manifiestos de mínimo privilegio, aislamiento en sandbox y pinning de hashes. Los riesgos de los skills pueden mapearse a ISO/IEC 42001, el EU AI Act, el NIST AI RMF y OWASP, y pasan así a formar parte de su inventario de IA y de su gestión de evidencias.
Hacer que la IA agéntica sea segura y auditable.
Valeri Milke — CEO | ISO 27001 & ISO 42001 LA | IEC 62443 & SAE 21434 & CRA | AI Officer (AI Act) | Experto en NIS2 & DORA | BSI IT-Grundschutz Praktiker | Delegado de Protección de Datos (IHK)
AI-Driven IT-Security and Compliance Experts