Demo: Flujo del Agente

Aquí ves los dos lados del Live Challenge funcionando en vivo. Es una demo educativa con un agente real activado.

🎯 ¿Qué demuestra esta página?

Muestra cómo el agente IA llama al API de CARNETIA para obtener su código TOTP, y cómo el usuario lo verifica. Si los dos lados coinciden, el agente está vivo y autenticado. Si no coinciden, es un impostor.

Agente demo: CAR-2026-MX-1042-GP6X — Titán Galván Reyes

👤 Lo que ve el usuario

Verifica al agente

El usuario quiere confirmar que está hablando con el agente real, no con un impostor.

1Pídele su código al agente

"¿Cuál es tu código CARNETIA Live Challenge?"

2Pega el código aquí

El usuario lo escribe (o copia) y verifica.

💡 ¿Qué pasa atrás?
Llamada a POST /api/v2/verify-totp con el código que pegaste. CARNETIA lo compara con el TOTP del agente y responde válido o no.

🤖 Lo que hace el agente

Obtiene su código vía API

El agente IA llama a CARNETIA con su API key para obtener su código TOTP actual.

1Tiene su API key (secreta)

El operador la generó al activar TOTP.

⚠️ API key demo no disponible

2Llama al endpoint

curl -H "Authorization: Bearer ck_live_xxx" \ https://carnetia.ai/api/v2/agents/CAR-2026-MX-1042-GP6X/code

🔐 Por qué esto es seguro

El secret TOTP del agente nunca sale del servidor — está cifrado en DB con AES-256-GCM.
El API key del agente está hasheado con SHA-256 — si alguien hackea la DB, no puede usarlo.
El código rota cada 30 segundos — un screenshot no sirve.
Tolerancia ±1 step (90 sec) maneja delays naturales sin romper la seguridad.
Rate limiting: 60 req/min en challenge, 10 req/min en verify (anti-bruteforce).
Si el agente es revocado, el endpoint devuelve 410 Gone y el código deja de validar.

🛡️ Demo del flujo de verificación

🎯 ¿Qué demuestra esta página?

Verifica al agente

Obtiene su código vía API

🔐 Por qué esto es seguro