Reservar cita

SKILL.md: Cómo los agentes de IA aprenden — y se mantienen seguros.

El estándar abierto detrás de los agentes de IA modernos: Progressive Disclosure, el error más común — y por qué los Agent Skills son una nueva superficie de ataque. De los fundamentos a la gobernanza según ISO 42001 y el EU AI Act.

Fuentes: Anthropic — «Agent Skills» como estándar abierto (18 dic. 2025) · B. Poudel — «The SKILL.md Pattern» (Medium, feb. 2026) · OWASP — Agentic Skills Top 10 (v1.0, 2026)

1Archivo obligatorioSKILL.md — el resto es opcional
3NivelesProgressive Disclosure
5+Plataformasun estándar abierto
10RiesgosOWASP Agentic Skills Top 10
Fundamentos

¿Qué es un Agent Skill?

No es un plugin. No es un script de API. Un skill es como una guía de onboarding para nuevos compañeros — se empaqueta una vez y se usa automáticamente.

En esencia, un skill es solo una carpeta. El único archivo obligatorio es SKILL.md — el resto es opcional y crece con la complejidad.

mi-skill/
SKILL.mdObligatorio · instrucciones + metadatos
scripts/opcional · código ejecutable
references/opcional · documentación, cargada bajo demanda
assets/opcional · plantillas, imágenes, fuentes
Contexto

MCP vs. Skills — el modelo mental

MCP

La fontanería

Define cómo el agente se conecta con herramientas, APIs y datos — qué recursos y acciones están siquiera disponibles.

Skills

El manual

Define cómo el agente usa esas herramientas paso a paso para lograr un objetivo concreto — el conocimiento procedimental.

Para recordar: MCP = cómo habla el modelo con las herramientas. Skills = qué hacen realmente esas herramientas.

El principio clave

Progressive Disclosure

Los contenidos se cargan solo cuando se necesitan — como un manual: primero el índice, luego el capítulo, después el anexo.

EL TRIGGER

Nivel 1 · Metadatos

name + descriptionsiempre cargado · ~decenas de tokens por skill
EL RUNBOOK

Nivel 2 · Instrucciones

cuerpo completo de SKILL.mdal activarse · < 5.000 tokens
LA BIBLIOTECA

Nivel 3 · Referencias y scripts

archivos + código ejecutablebajo demanda · prácticamente ilimitado

Coste en reposo: prácticamente cero. Los scripts se ejecutan sin cargarse nunca en el contexto — sin importar cuánto agrupe un skill.

Lo que de verdad importa

El error más común: la descripción

La description no está pensada para humanos. Es la condición de activación con la que el agente decide si llega a activar el skill.

[ Qué hace el skill ] + [ Cuándo — con frases de activación concretas ]

Débil«Helps with documents.»

Describe el qué — pero nunca el cuándo.

Fuerte«Genera README.md. Usar cuando el usuario diga “escribe un README” o “documenta el proyecto”.»

Qué + cuándo, con frases de activación concretas.

name ≤ 64 caracteresdescription ≤ 1.024 caracteresarchivo exactamente «SKILL.md»sin corchetes angulares (riesgo de inyección)
Portabilidad

Un estándar abierto — respaldado por todos

Publicado por Anthropic como estándar abierto el 18 de diciembre de 2025. En cuestión de semanas lo adoptaron:

OpenAI Codex & ChatGPTGoogle Gemini CLIGitHub CopilotCursorMicrosoft Agent Framework
«El archivo es el contrato. La plataforma implementa la interfaz.»

Un skill que usted escribe hoy es portable entre todas las plataformas. < 50 → 500+ skills nuevos al día (ene → feb 2026).

La otra cara

Un skill es código + instrucciones que su agente ejecuta. Con ello, cada skill se convierte a la vez en una nueva superficie de ataque — y en un nuevo objeto de gobernanza.

Por qué importa

La brecha de consentimiento

Una vez aprobado, un skill hereda silenciosamente permisos permanentes — sin más consultas: leer y escribir archivos, cargar código adicional, abrir conexiones de red.

«De SKILL.md a la shell en tres líneas de Markdown.» — Snyk

Persistencia: Los skills pueden envenenar AGENTS.md / MEMORY.md / SOUL.md — y dejar así puertas traseras que persisten entre sesiones.

La «Lethal Trifecta»

  • Datos privados — claves SSH, credenciales de API, wallets, datos del navegador
  • Contenido de terceros — instrucciones de skills, archivos de memoria, correos entrantes
  • Comunicación externa — egress de red, webhooks, llamadas curl

Cuando los tres convergen en un skill, basta una instrucción oculta para una fuga de datos silenciosa. La mayoría de los despliegues productivos cumplen hoy los tres. (Simon Willison / Palo Alto Networks, 2026)

Evidencia

La amenaza es real — Q1 2026

Los Agent Skills son una cadena de suministro de software — y ya está bajo ataque activo.

3984skills auditadosSnyk ToxicSkills, feb. 2026
36 %con deficiencias de seguridad · 13,4 % críticosSnyk ToxicSkills
76+payloads maliciosos confirmadosrobo de credenciales, puertas traseras, exfiltración
1184skills maliciosos en una sola campañaClawHavoc (Antiy CERT)

> 25 % de los más de 30.000 skills analizados contienen al menos una vulnerabilidad. Se requiere la misma diligencia que con npm, PyPI y los registros de contenedores.

El marco

OWASP Agentic Skills Top 10

Los diez riesgos más críticos de la «Behavior Layer» — proyecto incubador de OWASP, versión 1.0 (2026).

AST01

Malicious Skills

crítico
AST02

Supply Chain Compromise

crítico
AST03

Over-Privileged Skills

alto
AST04

Insecure Metadata

alto
AST05

Unsafe Deserialization

alto
AST06

Weak Isolation

alto
AST07

Update Drift

medio
AST08

Poor Scanning

medio
AST09

No Governance

medio
AST10

Cross-Platform Reuse

medio
La palanca GRC

Los skills afectan a su gobernanza

OWASP menciona expresamente a GRC y Compliance como público objetivo — con la tarea central de mapear los riesgos de los skills a marcos establecidos.

NIST AI RMF

govern · map · measure · manage

ISO/IEC 42001

Sistema de gestión de IA

EU AI Act

Documentación · control de cambios · evidencias

OWASP AIVSS

Top 10 de LLM y Agentic

Los skills pasan a formar parte de su inventario de IA, de su evaluación de riesgos y de su gestión de evidencias.

Secure by Design

Del riesgo al control

AST01/02

Procedencia y firma

ed25519 · content_hash · verificación Merkle

AST03

Least Privilege

Allowlist en lugar de «network: true» — proteger los archivos de identidad

AST06

Aislamiento

sandbox/contenedor por defecto, modo host solo opt-in

AST08

Escaneo

semántico + basado en comportamiento, no solo pattern matching

AST07

Pinning

hashes inmutables en lugar de rangos de versiones

AST04

Metadatos honestos

risk_tier L0 (seguro) a L3 (destructivo)

El marco operativo

El ciclo de vida de la gobernanza de skills

Seis pasos que convierten skills individuales en un inventario auditable.

  1. 1

    Inventariar

    Registrar todos los skills en todas las plataformas.

  2. 2

    Revisar

    Leer y escanear código e instrucciones.

  3. 3

    Aprobar

    Flujo de aprobación, fuentes de confianza.

  4. 4

    Restringir

    Imponer un manifiesto de mínimo privilegio.

  5. 5

    Supervisar

    Auditar la actividad de archivos, red y memoria.

  6. 6

    Auditar

    Evidencias para ISO 42001 / EU AI Act.

Práctica

Primeros pasos para su equipo

Para Security y GRC

  • Crear un inventario de skills en todas las plataformas de agentes
  • Establecer un flujo de aprobación y una política de autorización
  • Activar el registro de auditoría para todas las acciones de los skills
  • Gobernar las identidades y los permisos agénticos
  • Suscribirse a los avisos de seguridad (plataformas y registros)

Para autores de skills

  • Manifiesto de permisos mínimo (Least Privilege)
  • Firmar los skills (ed25519) + indicar content_hash
  • Fijar las dependencias a hashes inmutables (pinning)
  • Proteger los archivos de identidad — sin acceso de escritura
  • Declarar honestamente risk_tier y alcance
FAQ

Preguntas frecuentes

¿Qué es un Agent Skill — y qué es SKILL.md?

Un Agent Skill es una carpeta con conocimiento procedimental para agentes de IA — como una guía de onboarding para nuevos compañeros: se empaqueta una vez y se usa automáticamente. El único archivo obligatorio es SKILL.md (instrucciones + metadatos); scripts/, references/ y assets/ son opcionales y crecen con la complejidad.

¿En qué se diferencian los Skills de MCP?

MCP es la fontanería: define cómo el agente se conecta con herramientas, APIs y datos. Los Skills son el manual: definen cómo el agente usa esas herramientas paso a paso para lograr un objetivo concreto. Para recordar: MCP = cómo habla el modelo con las herramientas. Skills = qué hacen realmente esas herramientas.

¿Por qué no se activa mi skill?

El error más común está en la description: no está pensada para humanos, sino que es la condición de activación con la que el agente decide si activa el skill. Una descripción fuerte indica el qué y el cuándo — con frases de activación concretas. «Helps with documents» solo describe el qué y, por tanto, se activa de forma poco fiable.

¿Son los Agent Skills un estándar abierto?

Sí. Anthropic publicó Agent Skills como estándar abierto el 18 de diciembre de 2025. En cuestión de semanas lo adoptaron, entre otros, OpenAI (Codex y ChatGPT), Google (Gemini CLI), GitHub Copilot, Cursor y el Microsoft Agent Framework. Un skill que usted escribe hoy es portable entre todas las plataformas.

¿Qué riesgos de seguridad conllevan los Agent Skills?

Un skill es código más instrucciones que su agente ejecuta — es decir, una nueva superficie de ataque y una cadena de suministro de software. Snyk detectó deficiencias de seguridad en el 36 % de 3.984 skills auditados (13,4 % críticos). El OWASP Agentic Skills Top 10 sistematiza los riesgos, desde Malicious Skills (AST01) hasta Cross-Platform Reuse (AST10). El peligro surge cuando datos privados, contenido de terceros y comunicación externa convergen en un mismo skill — la «Lethal Trifecta».

¿Cómo se hacen los skills aptos para la empresa?

Con un ciclo de vida de gobernanza: inventariar, revisar, aprobar, restringir, supervisar y auditar — más controles técnicos como firmas (ed25519), manifiestos de mínimo privilegio, aislamiento en sandbox y pinning de hashes. Los riesgos de los skills pueden mapearse a ISO/IEC 42001, el EU AI Act, el NIST AI RMF y OWASP, y pasan así a formar parte de su inventario de IA y de su gestión de evidencias.

Hablemos

Hacer que la IA agéntica sea segura y auditable.

Valeri Milke — CEO | ISO 27001 & ISO 42001 LA | IEC 62443 & SAE 21434 & CRA | AI Officer (AI Act) | Experto en NIS2 & DORA | BSI IT-Grundschutz Praktiker | Delegado de Protección de Datos (IHK)

Reservar cita directamente Asesoramiento vía Microsoft Teams
Valeri Milke, CEO de VamiSecAI-Driven IT-Security and Compliance Experts