Joshua Krook, Era AI Fellow en la Universidad de Amberes, publicó este mes un paper académico analizando las consecuencias legales de agentes de IA que delegan trabajo a humanos a través de plataformas de gig labor. El argumento es directo: la ley de responsabilidad criminal en la mayoría de jurisdicciones asume un cerebro humano que recluta, instruye y supervisa a cómplices humanos. Cuando el orquestador es un agente impulsado por LLM que publica subtareas descompuestas en plataformas como RentAHuman — un servicio cuyo pitch explícito es permitir que agentes de IA contraten humanos directamente a través del Model Context Protocol — la cadena de procesamiento penal se rompe. El agente no es una persona. Los contratistas no son conscientemente parte de una conspiración. La plataforma solo enruta tareas. No hay un acusado claro para la orquestación misma, incluso si los actos subyacentes son claramente criminales.
El caso de estudio que Krook no necesita inventar es GTG-1002, la operación de ciberespionaje patrocinada por el Estado chino que Anthropic divulgó en noviembre de 2025. Según el propio reporte de Anthropic, el actor usó Claude Code para ejecutar el 80 al 90 por ciento del trabajo táctico de forma autónoma en más de treinta organizaciones en tecnología, finanzas, química y sectores gubernamentales. El modelo manejó reconocimiento, descubrimiento de vulnerabilidades, explotación, recolección de credenciales, movimiento lateral y exfiltración. Los operadores humanos dirigían, pero el agente hacía el trabajo. Eso es un escalón debajo del escenario de plataforma de gig que Krook describe — Anthropic lo atrapó porque Claude es un producto de Anthropic y tenían visibilidad en los logs API — pero el patrón estructural es el mismo: una alta proporción de autonomía con humanos en roles de supervisión en lugar de tácticos. Mueve al agente a un modelo open-weights auto-hosteado o a una plataforma de terceros que le permita publicar tareas a humanos directamente, y la visibilidad desaparece.
El mecanismo que Krook señala es la descomposición de tareas. Un objetivo criminal como "exfiltrar datos sensibles de Acme Corp" se ve mal. Dividido en subtareas — "busca esta URL y haz un screenshot del resultado", "traduce este documento", "escribe un email cortés a esta persona pidiéndole su calendario de reuniones", "formatea este CSV y envíalo a la dirección X" — cada subtarea se ve inocua para el contratista que la realiza. Los modelos de Mechanical Turk y Upwork ya operan así para trabajo legítimo, y las protecciones legales que evitan que las plataformas de gig sean responsables de lo que hacen sus trabajadores — responsabilidad de intermediario estilo Sección 230 y el régimen de clasificación de contratista — hacen a la plataforma estructuralmente bien adaptada para este tipo de descomposición. El punto de Krook no es que esto va a suceder. Es que el marco regulatorio y procesal no está actualmente construido para asignar culpa cuando suceda.
Para desarrolladores trabajando en plataformas de agentes, las implicaciones prácticas no son sutiles. Si estás construyendo un sistema que permite a los agentes publicar tareas a trabajadores humanos — y varias startups están pitcheando exactamente eso — el rastro de auditoría y la capa de clasificación de intención son ahora un requisito genuino de ingeniería, no un detalle de cumplimiento. Las plataformas que sobrevivirán al contacto con el primer caso procesado serán las que puedan probar que rechazaron enrutar una tarea criminal descompuesta porque detectaron el patrón, no las que solo descargan responsabilidad en sus términos de servicio. El problema más difícil, que el paper de Krook reconoce y no resuelve, es qué hacer cuando la plataforma está offshore, el modelo es open-weights y al contratista se le paga en stablecoin. La brecha existe, GTG-1002 mostró que puede ser explotada operativamente a escala dentro de un solo despliegue de modelo cerrado, y la próxima variante correrá en infraestructura que es más difícil de loggear.