Una Trinqute es un dispositivo físico que solo puede avanzar. La palanca le impide girar en sentido antihorario; por lo tanto, el movimiento siempre es en sentido horario. La analogía del trinquete tecnológico incorpora tanto la perspectiva histórica («ya hemos visto esto antes») como la imposibilidad de detener el movimiento..
A principios de la década de 2000, se advirtió a la industria que el diseño de internet no favorecía la seguridad del software. La prisa por conectar todo crearía vulnerabilidades a gran escala. La mayor parte de la industria hizo caso omiso y continuó lanzando productos. ¡Hasta que sucedió! El ejemplo más claro para mí —ya que trabajaba con tecnologías de Microsoft— fue el memorándum sobre Computación Confiable de Bill Gates. ¿Cuál fue el costo de esa decisión? Miles de ingenieros de software detuvieron el desarrollo de nuevas funciones para corregir fallos de seguridad. Fue algo sin precedentes, costoso y necesario.
Veinte años después: Log4j expone millones de sistemas. SolarWinds se convierte en un vector de ataque para estados-nación. La actualización de CrowdStrike provoca la caída de infraestructuras críticas en todo el mundo. Volvemos a acelerar el ritmo. Los asistentes de código con IA generan código más rápido de lo que los humanos pueden revisarlo. Las prácticas DevOps prometen despliegue continuo. «Muévete rápido y rompe cosas» sigue siendo el mantra, solo que ahora romper cosas implica multas por el RGPD, fallos en las inspecciones SOC2 y una supervisión regulatoria que puede llevarte al cierre.
Estamos a punto de recibir otra llamada de atención en materia de seguridad. Y, una vez más, llegamos 20 años tarde.
Giro del Trinqute en el sentido de las agujas del reloj…
La presión por realizar envíos rápidos no ha cambiado. Lo que ha cambiado es el coste de equivocarse.
El RGPD convierte las filtraciones de datos en multas millonarias. El cumplimiento de la norma SOC2 es imprescindible para el software como servicio (SaaS) B2B. La normativa europea se está endureciendo en materia de IA y responsabilidad del software. Los sectores sanitario y fintech se enfrentan a una supervisión regulatoria que convierte la estrategia de “arreglar las cosas en producción” en una medida que puede acabar con la carrera profesional.
Mientras tanto, las prácticas de DevOps —integración continua, despliegue rápido, infraestructura como código— están optimizadas para la velocidad. Despliega a producción varias veces al día. Automatiza todo. Aprende rápido de los errores.
Estas prácticas son poderosas. Sin embargo, también amplifican los defectos cuando la seguridad y la calidad no se integran desde el principio. Si se realizan diez despliegues diarios con pruebas deficientes, se distribuyen vulnerabilidades a gran escala. Si se utiliza IA para generar código sin procesos de revisión, se automatiza la creación de patrones explotables.
La colisión es inevitable. No se puede lanzar un producto rápidamente y corregirlo después, cuando “después” implica sanciones regulatorias, pérdida de confianza del cliente y responsabilidad legal. La cuestión no es si priorizarás la seguridad y la calidad, sino si lo harás de forma proactiva o después del incidente que acaparará los titulares.
…Acelerado por las herramientas de Gen AI…
Esto es lo que me preocupa: estamos a punto de amplificar todo esto.
La generación de código mediante IA es extraordinaria. Puede crear la estructura de las aplicaciones, sugerir implementaciones y acelerar el desarrollo exponencialmente. Además, genera código más rápido de lo que la mayoría de los equipos pueden revisarlo con detenimiento. ¡Revisar código supone un gran esfuerzo cognitivo para los humanos!
Las malas prácticas de DevOps —pruebas deficientes, análisis de seguridad inadecuado, cultura de “lanzar ahora, arreglar después”— ya amplifican los defectos. Si a esto le sumamos la IA que genera código a la velocidad de la máquina, creamos un motor de multiplicación de defectos. La velocidad parece increíble hasta que descubrimos la vulnerabilidad que se ha replicado en todo el código porque nadie la detectó en la plantilla generada por la IA.
Estamos creando sistemas a un ritmo que supera nuestra capacidad para protegerlos. Las herramientas son más potentes. La velocidad es mayor. La superficie de ataque es más grande. Y el entorno regulatorio es menos indulgente.
…un ajuste de cuentas que ya hemos visto antes…
Sabemos lo que sucederá después. Habrá incidentes. Filtraciones de datos importantes. Acciones regulatorias. Las empresas que actuaron con rapidez y cometieron errores descubrirán que esos “errores” incluyen la confianza del cliente, el cumplimiento normativo y, en ocasiones, el propio negocio.
Algunas organizaciones reaccionarán con pánico: paralizarán las implementaciones, auditarán todo y ralentizarán drásticamente su ritmo de trabajo. Esto no es sostenible. No se puede competir siendo lento y paranoico.
¡Otros quebrarán antes de poder responder!
Lidiar con la palanca en el Trinquete
Prevenir el ajuste de cuentas requiere inversión antes de la crisis, para que la misma sea invisible eninvisible. Esta intervención debe incorporar una visión sistémica de tus procesos de negocio y desarrollo. Programas de capacitación. Herramientas. Evolución de procesos. Compromiso cultural con la calidad por encima de las métricas de velocidad a corto plazo. No es dramático. No será noticia. ¡Y no te llevará a la crisis!
Estas prácticas funcionan. La cuestión es si las adoptarás antes o después de la crisis que las vuelva imprescindibles.
Si bien los principios aquí expuestos son sencillos, su implementación efectiva suele requerir una comprensión profunda del contexto y el entorno normativo específicos de su equipo. Ahí es donde el coaching basado en evidencia marca la diferencia, ayudándole a integrar seguridad y calidad en la velocidad sin sacrificar la competitividad. Exploremos cómo el coaching personalizado puede ayudarle a avanzar con rapidez Y seguridad, preparando a su organización para el creciente escrutinio normativo antes de que surja la necesidad. Contáctenos hoy mismo y comencemos a integrar una velocidad sostenible y segura en sus prácticas de desarrollo.
Discover more from The Software Coach
Subscribe to get the latest posts sent to your email.
