Le muestro al equipo de un director técnico en una empresa de infraestructura cómo funciona Claude Code. Flujo de trabajo agéntico — el modelo lee código, analiza contexto, propone cambios, ejecuta pruebas. El director asiente y dice: "Interesante. Nosotros podemos hacerlo solos."
Tres meses después me llama alguien de esa misma empresa. No el director — alguien del equipo. Quiere hablar porque "hay un problema de seguridad". Resulta que su equipo interno empezó a "implementar IA" — enviando datos de producción de clientes a modelos externos por API, sin sandboxing, sin clasificación de datos, sin ningún governance. El código que generaban con ayuda de IA entraba en producción sin code review. Sin pruebas. Sin staging.
"Podemos solos" se convirtió en una filtración de datos y código que nadie entiende.
El problema no está en la ambición — está en el proceso
No tengo nada en contra de la ambición. Al contrario, la respeto. El problema es que muchas empresas de TI — especialmente las que se dedican a infraestructura, no a software — no tienen los procesos de desarrollo fundamentales que son condición necesaria para trabajar con IA de forma segura.
Hablo de SDLC — Software Development Life Cycle. De code review. De pruebas automatizadas. De entornos de prueba separados de producción. De clasificación de datos y governance. De que, antes de que cualquier cosa llegue a producción, pase por varios pares de ojos y controles automatizados.
Estos procesos no son una formalidad. Son infraestructura de seguridad. Y un modelo de IA es exactamente tan bueno como el proceso en el que opera.
Lo que no saben las empresas que "pueden solas"
Según mis observaciones, las empresas de infraestructura que declaran estar listas para implementar IA por sí solas, generalmente desconocen varias cosas:
Cómo se entrenan los modelos de IA y en qué pasos del proceso SDLC basan su funcionamiento. Herramientas como Copilot, Claude Code o Cursor no generan código en el vacío. Su eficacia depende del contexto — de la estructura del repositorio, de la calidad del código, de si existe documentación técnica y pruebas. Sin esto, generan basura, y la empresa no tiene herramientas para verificarlo.
Dónde terminan los datos corporativos cuando llegan al modelo. La falta de data governance significa que nadie sabe qué datos son confidenciales, cuáles pueden salir de la organización y cuáles no deberían llegar ni siquiera a un modelo interno. He visto situaciones en las que datos de clientes — sensibles, cubiertos por acuerdos de confidencialidad — se enviaban a APIs públicas sin ningún control.
Que "funciona" no es lo mismo que "es seguro". El código generado por IA puede funcionar. Puede pasar pruebas manuales básicas. Pero sin code review, sin análisis estático, sin pruebas de regresión — es una bomba de tiempo. Hoy funciona. En un mes explota en producción.
"Lo hacemos solos" — la frase más cara del TI
No afirmo que siempre sea necesario un consultor externo. Afirmo que si una empresa no tiene un proceso de desarrollo maduro, implementar IA sin supervisión es un riesgo de negocio, no innovación.
Las empresas que nunca tuvieron disciplina de procesos SDLC de repente reciben herramientas que generan código a una velocidad que ningún programador alcanzaría. Suena como aceleración. En la práctica, es aceleración hacia un muro — porque nadie controla la calidad de lo que se produce.
El mercado dice "democratización de la IA — ¡todos pueden!". Y es verdad — todos pueden empezar. Pero no todos saben hacerlo de forma segura y con sentido. Especialmente las empresas que no distinguen staging de producción.
Qué debería ir primero
Antes de que una empresa empiece a implementar IA en sus productos y servicios, debería responder a varias preguntas:
- ¿Tenemos definido un proceso de desarrollo (SDLC) y lo aplicamos?
- ¿Tenemos clasificación de datos y sabemos qué puede salir de la organización?
- ¿Todo código — independientemente de si lo escribió un humano o lo generó una máquina — pasa por code review y pruebas?
- ¿Tenemos separados los entornos de desarrollo, prueba y producción?
- ¿Alguien en la empresa entiende cómo funcionan los modelos de IA y cuáles son sus limitaciones?
Si a cualquiera de estas preguntas la respuesta es "no" o "no sé" — no es el momento de "hacerlo solos". Es el momento de hacer una auditoría de preparación y enfrentar honestamente lo que falta.
Colaboración, no ego
Las mejores implementaciones de IA que he visto combinaban la ambición de la empresa con supervisión externa del proceso. No porque la empresa fuera incompetente. Sino porque alguien de fuera ve los puntos ciegos que el equipo interno no percibe — porque está demasiado cerca.
La IA no es un espacio en el que convenga demostrar que "podemos solos". Es un espacio en el que conviene demostrar que somos capaces de colaborar — de forma segura, con proceso, con responsabilidad sobre los datos y la calidad.
Estimado lector, estimada lectora. Si reconoce estos patrones en su empresa o en sus proveedores — hablemos. Le invito a ponerse en contacto — Leszek Giza.