Más allá del desplazamiento a la izquierda: cómo el desplazamiento a todas partes con agentes de IA puede mejorar los procesos DevOps

Imagine pedir comida para una cena, pero el robot de reparto que transporta su comida se queda varado porque no puede moverse por las aceras irregulares de su vecindario. O porque su sistema GPS no está equipado para encontrar desvíos alrededor de una carretera cortada cercana.   

O peor aún, el robot llega pero falta su comida: los ciberdelincuentes han hackeado los protocolos de autenticación del servicio de entrega y se han llevado su comida (y sus datos personales).

Sin pruebas avanzadas y prácticas de seguridad que coincidan con los entornos de software y las amenazas de ciberseguridad actuales, los equipos de DevOps y los usuarios finales que confían en sus productos podrían encontrarse con este tipo de problemas con mayor frecuencia. Muchos clientes se frustrarían y se pasarían a otro servicio de entrega (a nadie le gusta pasar hambre inesperadamente), y la empresa sentiría el impacto de esa frustración en sus cuenta de resultados.

Las herramientas de IA agéntica pueden ayudar al equipo de desarrollo del servicio de entrega a evitar estos problemas. Por ejemplo, el equipo podría utilizar agentes para crear un conjunto de pruebas completo que identifique los defectos y las vulnerabilidades de seguridad durante la fase de codificación, mucho antes de que los robots de reparto reciban su primer pedido.

De hecho, las herramientas de IA agéntica pueden utilizar equipos con varios agentes para crear gemelos digitales de alta fidelidad que simulen los retos del mundo real a los que pueden enfrentarse los robots, lo que permite a los desarrolladores probar el comportamiento del código y las interacciones de dependencia antes de que empiecen la codificación. Esto constituye un “desplazamiento a la izquierda”, que traslada las prácticas de pruebas y control de calidad a una etapa más temprana del ciclo de vida del desarrollo de software .

Con la complejidad de los sistemas de software modernos y la demanda de una mayor agilidad y colaboración, ese enfoque en la detección temprana se ha convertido en la práctica más completa de DevSecOps de "desplazarse a todas partes". Un enfoque de desplazamiento a todas partes tiene como objetivo "automatizar la integración de la seguridad y las prácticas de seguridad en cada fase del ciclo de vida del desarrollo de software".

Se trata de una gran tarea (práctica y culturalmente) que ha llevado a muchas empresas a explorar más a fondo cómo pueden aprovechar las capacidades de la IA en las prácticas de DevOps. Entre las más recientes de esas tecnologías se encuentra la IA agéntica, que puede:

• Ejecutar tareas de varios pasos. Los agentes de IA pueden dividir los objetivos de alto nivel en subtareas más pequeñas y llevar las tareas a través de múltiples etapas hasta su finalización.

• Adaptarse en tiempo real. Los agentes de IA pueden ajustar su comportamiento y sus planes en función de la nueva información o de las condiciones cambiantes.

• Colaborar en la orquestación de tareas y flujos de trabajo. Los sistemas de IA agéntica pueden coordinarse y comunicarse con otros agentes de IA para lograr objetivos compartidos.

• Mejorarse con el tiempo. Con características como el aprendizaje por refuerzo, los agentes de IA pueden aprender de las experiencias, mejorando su toma de decisiones y ajustando las estrategias con el tiempo.

Las herramientas de IA agéntica también tienen capacidades de toma de decisiones autónomas y las empresas están entusiasmadas con las posibilidades.

Según el IBM Institute for Business Value (IBM IBV), "el 86 % de los ejecutivos afirman que para 2027, los agentes de IA harán que la automatización de procesos y la reinvención del flujo de trabajo sean más eficaces". Casi el 80 % de los altos ejecutivos ya han adoptado alguna forma de IA agéntica en sus empresas, y el 19 % de las empresas están implementando la IA agéntica a escala.

Los agentes de IA pueden ahora orquestar el desarrollo de software, la implementación, la monitorización y las actualizaciones. Pueden hacer que las prácticas de desplazamiento a la izquierda y a todas partes sean más manejables para los desarrolladores sobrecargados, que no siempre disponen del ancho de banda necesario para probar a fondo y asegurar el software antes de implementarlo.

El "desplazamiento a la izquierda" es la práctica estratégica de trasladar tareas, como pruebas, identificación y resolución de problemas y seguridad, a etapas anteriores del ciclo de vida de desarrollo de software. Permite a los equipos descubrir problemas (idealmente) durante la codificación, en lugar de la implementación. El término proviene de visualizar el proceso de desarrollo de izquierda (codificación) a derecha (implementación), por lo que entretejer actividades críticas en la fase de codificación es equivalente a desplazarlas hacia la izquierda en el ciclo de vida.

Sin embargo, los enfoques de desplazamiento a la izquierda pueden ser difíciles de implementar y mantener, ya que transfieren responsabilidades adicionales a los desarrolladores que normalmente podrían ser realizadas por especialistas y expertos en la materia.

En este desplazamiento, los desarrolladores y otros miembros del equipo deben adoptar las tareas de prueba, seguridad, gestión de problemas y colaboración entre equipos como parte regular de su carga de trabajo. Añadir tales responsabilidades sin reducir la carga de trabajo puede reducir la cantidad de tiempo que los desarrolladores dedican a escribir código de alta calidad y resolver problemas de programación.

Aunque la IA agéntica sigue siendo una tecnología nueva (con sus propios retos en materia de adopción), puede ayudar a los equipos a abordar las dificultades asociadas con las implementaciones de desplazamiento a la izquierda, especialmente aquellas que afectan a la productividad de los desarrolladores.

Además, los agentes pueden ser especialmente útiles para las empresas que están en transición hacia un enfoque de “desplazamiento a todas partes”. Mientras que el desplazamiento a la izquierda se centra en integrar la seguridad y las pruebas en las primeras etapas del ciclo de vida del desarrollo, el desplazamiento a todas partes significa incorporar la seguridad, la monitorización y las pruebas en cada fase, incluida la codificación, la creación, la implementación y el tiempo de ejecución. El objetivo es proteger cada aplicación, cada tecnología y cada implementación durante todo el ciclo de vida.

"El desplazamiento a todas partes resuena más con la complejidad de los sistemas de software modernos y la necesidad de una responsabilidad compartida entre equipos y etapas", afirma el desarrollador de software y DevOps de IBM Billy O'Connell. "Pero lo que realmente estamos viendo es un modelo híbrido emergente, uno que toma prestados los mejores elementos de cada enfoque. Se trata de utilizar las herramientas y la mentalidad adecuadas para el contexto adecuado".

La IA agéntica es "un sistema de inteligencia artificial que puede lograr un objetivo específico con una supervisión limitada". Los agentes de IA utilizan modelos de lenguaje de gran tamaño (LLM), el procesamiento del lenguaje natural (PLN) y el machine learning (ML) para diseñar sus propios flujos de trabajo, realizar tareas y ejecutar procesos en nombre de los usuarios y otros sistemas.

En un sistema de IA agéntica, varios agentes de IA coordinan sus esfuerzos para orquestar o realizar tareas complejas y asumir objetivos más grandes de los que cualquier agente de IA podría gestionar.

Los agentes de IA extienden la automatización mucho más allá de los scripts predefinidos. A diferencia de los chatbots y otros modelos de IA, que operan dentro de restricciones predefinidas y requieren intervención humana, los agentes de IA y la IA agéntica son autónomos, están impulsados por el contexto y los objetivos, y se adaptan a las circunstancias cambiantes. No solo completan tareas, sino que también aprenden del pasado, se adaptan al presente y predicen el futuro.

El uso de la IA agéntica requiere que los líderes empresariales, los equipos de productos y los ingenieros establezcan de forma colaborativa objetivos de alto nivel y establezcan parámetros, por lo que los agentes de IA no pueden (y no deben) operar sin ninguna participación humana. Más bien, los agentes de IA permiten prácticas de desarrollo co supervisión humana, en las que los agentes trabajan junto con los ingenieros y equipos de DevOps para ayudar a los seres humanos a alcanzar los objetivos con mayor rapidez.

En esencia, los humanos definen el qué y los agentes el cómo planificando y ejecutando las acciones necesarias para alcanzar esos objetivos dentro de los parámetros proporcionados.  

Las empresas recurren cada vez más a los sistemas de IA agéntica para gestionar, optimizar y acelerar los procesos de DevOps y mejorar los pipelines de integración continua/entrega continua (CI/CD).

Los agentes pueden, por ejemplo, revisar los cambios de código en busca de errores de sintaxis, hacer sugerencias de refactorización y verificar las correcciones antes de que los cambios se integren con la base de código. También pueden acelerar la innovación. "[Los agentes] permiten la creación rápida de prototipos de ideas que he querido implementar durante mucho tiempo. Ya sea para la productividad personal o la eficiencia del equipo, la IA agéntica ayuda a convertir los conceptos en herramientas utilizables, reduciendo la carga de las tareas mundanas", afirma O'Connell.

La IA agéntica es útil para una variedad de casos de uso, pero analicemos cuatro procesos principales con más detalle.

Las herramientas de IA agéntica escanean continuamente los datos de observabilidad (como métricas, registros y seguimientos) y otros flujos de datos (como señales de feedback) de diversas fuentes en tiempo real.

Este proceso incluye consultar bases de datos, registros de procesos, datos históricos y dependencias de código abierto, y conectarse a interfaces de programación de aplicaciones (API) para identificar y llenar las lagunas de datos. En el supuesto de que los datos externos estén dentro de sus parámetros, los agentes también incorporan datos del mercado y del sector para enriquecer su conocimiento del contexto antes de formar hipótesis o enviar notificaciones a los equipos de TI.

Mediante las capacidades de ML, los agentes identifican patrones de datos y estructuras de enlaces, aprendiendo lo que constituye el comportamiento normal del sistema, ajustándose de forma dinámica a lo largo del tiempo y rastreando las desviaciones de las líneas de base establecidas.

Las herramientas de IA agéntica están equipadas para detectar varios tipos de anomalías, ya sean puntos de datos irregulares individuales, clústeres de datos anormales o anomalías contextuales (disminuciones repentinas en el tráfico del sitio de comercio electrónico el Black Friday, por ejemplo). También pueden ajustar las líneas de base de forma autónoma a medida que cambian las condiciones e identificar relaciones ocultas y multidimensionales que podrían requerir una mayor investigación.

Para completar el mismo proceso con un modelo de IA tradicional y estático, los desarrolladores tendrían que volver a entrenar manualmente la herramienta de IA a medida que cambian las líneas de base, lo que aumenta la probabilidad de que se produzcan falsos positivos o negativos.

De hecho, los modelos estáticos tienden a requerir más entrada humana y ajustes en todas las funciones.

Se basan en reglas predeterminadas y controles estadísticos más simples que pueden ocultar relaciones complejas entre variables. Esta ambigüedad obliga a los desarrolladores a correlacionar manualmente los datos y definir relaciones. Y debido a que los modelos de IA estáticos a menudo carecen de la sensibilidad al contexto de los modelos de IA agéntica, tienden a tratar todas las anomalías por igual, dejando a los desarrolladores la tarea de clasificar los problemas.

Las herramientas de pruebas de IA agéntica pueden generar casos de prueba más inteligentes y personalizados, ampliando la cobertura de las pruebas en todo el entorno.

La IA agéntica analiza el código fuente de la aplicación, la estructura de la IU (interfaz de usuario), los requisitos de software, los flujos de usuario, las respuestas de la API, el historial de defectos y los artefactos de prueba existentes para comprender y decidir qué pruebas ejecutar. Los desarrolladores también pueden crear escenarios ("el cliente añade artículos de comida al carrito y paga", por ejemplo) y hacer que los agentes de IA los conviertan en scripts de prueba que se pueden ejecutar para identificar cualquier problema que pueda surgir en el proceso de ejecución de un conjunto específico de acciones.

Las herramientas de IA agéntica adaptan continuamente las pruebas de software en tiempo real, aprendiendo de las pruebas anteriores e implementando protocolos de prueba basados en los resultados anteriores y la criticidad de la misión. Estas características ayudan a garantizar que las pruebas sean oportunas y que la cobertura sea específica (pero completa).

Cuando los desarrolladores cambian la lógica del código o actualizan la interfaz de usuario, por ejemplo, los agentes pueden detectar los cambios durante las ejecuciones de prueba y actualizar automáticamente las pruebas relevantes. Si un fragmento de código tiene una vulnerabilidad de seguridad o utiliza un patrón de código o una construcción de lenguaje inusuales, las herramientas de IA agéntica pueden recomendarlo para pruebas locales o unitarias, aislando el código y probándolo más a fondo para identificar el problema. 

De hecho, una vez que los agentes de IA comprenden lo que debe hacer una aplicación, pueden generar scripts de prueba y casos antes de que los desarrolladores escriban el código, de modo que los equipos de desarrollo puedan centrarse en la calidad del mismo.

Las características de correlación asistidas por IA agéntica vinculan las alertas relacionadas entre los usuarios, los entornos y los endpoints, analizando las alertas significativas a partir de señales superfluas, reduciendo el volumen de alertas y la fatiga por alertas para los equipos de desarrollo y operaciones.

Un componente clave del desplazamiento a la izquierda en la correlación de alertas es incrustar inteligencia en la fuente, es decir, utilizar agentes para analizar datos sin procesar a medida que llegan los datos. Este enfoque permite la correlación en tiempo real y ayuda a los equipos a pasar de una posición reactiva a una estrategia proactiva de correlación y corrección.

Los sistemas de IA agéntica utilizan algoritmos de ML para analizar los datos de alerta históricos y en tiempo real, correlacionando los puntos de datos en función del momento, la fuente, el tipo de evento, los sistemas afectados y los patrones de comportamiento, entre otros atributos.

Los agentes recopilan de forma dinámica el contexto, incluidas las direcciones IP, los ID de usuario y el estado del dispositivo, en torno a cada alerta. Con los datos enriquecidos, los agentes pueden mapear incidentes e identificar puntos en común. Por ejemplo, si el agente detecta un intento fallido de inicio de sesión a una hora inusual y un acceso irregular a los archivos desde la misma cuenta, puede correlacionar los puntos de datos e indicar un posible intento de vulneración.

Una vez agrupado un conjunto de alertas, el agente las presenta como una unidad. Un evento que podría haber generado dos alertas separadas (una para el intento de inicio de sesión y otra para el acceso al archivo) solo creará y enviará una alerta (por la infracción) al desarrollador. Y en lugar de procesar y clasificar notificaciones exhaustivas de eventos individuales, los equipos de TI pueden activar acciones y flujos de trabajo de corrección contra todo el grupo de señales.

Además, los agentes de IA pueden crear historias completas de incidentes. Si una característica falla, los agentes pueden rastrear las causas raíz y el rendimiento de la característica a lo largo del tiempo, creando un informe completo que el personal de TI puede utilizar para abordar el problema. Los agentes también pueden "recordar" los detalles del fallo, lo que permite a los desarrolladores simular las condiciones en futuras rondas de pruebas y encontrar defectos de código en nuevas iteraciones o aplicaciones.

Los sistemas de IA agéntica ayudan a automatizar la detección de vulnerabilidades, las pruebas de explotabilidad, el análisis de causa raíz y la resolución de amenazas durante el proceso de codificación, de modo que los desarrolladores pueden preocuparse menos por las revisiones manuales del código.

Los agentes de IA no esperan alertas de seguridad. Más bien, buscan continuamente comportamientos sospechosos analizando los registros de seguridad, el tráfico de red, el código fuente y las fuentes de inteligencia de amenazas en tiempo real. A continuación, pueden generar hipótesis sobre amenazas potenciales, probar las hipótesis con los registros y escalar solo las amenazas creíbles, refinando su comprensión con el tiempo.

A diferencia de los modelos de IA que marcan los problemas basándose únicamente en reglas preestablecidas, los agentes de IA evalúan la gravedad y la explotabilidad de las vulnerabilidades de seguridad observando el contexto (valor del activo, exposición de la red, patrones de ataque conocidos, posibles vectores de ataque, entre otras métricas).

Cuando se detecta una vulnerabilidad, los agentes pueden priorizarla automáticamente en función del tiempo de ejecución, el impacto en la empresa y el contexto de cumplimiento, e iniciar de forma autónoma las guías de estrategias para solucionar el problema.

Mediante el análisis predictivo y el aprendizaje supervisado, las herramientas de IA agéntica pueden simular ataques en entornos de espacio aislado para comprobar si las vulnerabilidades son explotables.

Los sistemas multiagente pueden analizar las descripciones de vulnerabilidades y el código fuente correspondiente para generar ataques de prueba de concepto que demuestren el riesgo real de explotación. Cuando localizan un fragmento de código problemático, los agentes pueden crear un ataque que desencadene la vulnerabilidad, lo que permite a los desarrolladores ver exactamente dónde se produjo el problema, por qué se produjo y cómo afecta al rendimiento del software.

Tomemos el ejemplo del robot de entrega de comida. Un enfoque de IA agéntica permitiría a los desarrolladores simular un ciberataque durante la codificación, o incluso antes, descubrir que un fragmento de código en particular es vulnerable a ataques de autenticación de intermediario (man-in-the-middle) y corregir el código antes de que el robot sea liberado en un entorno real. 

La IA agéntica se está convirtiendo en una herramienta transformadora para muchas empresas y equipos de DevOps, pero sigue siendo una tecnología nueva que presenta desafíos nuevos y en evolución. Aunque muchos líderes empresariales siguen siendo optimistas, Gartner prevé que el aumento de los costes, una gestión de riesgos insuficiente y un ROI poco claro harán que las empresas cancelen más del 40 % de todos los proyectos de IA agéntica para 2027.

Gran parte de la preocupación gira en torno a cuestiones de seguridad y confianza de los agentes. Es cierto que la IA agéntica puede optimizar y mejorar la seguridad del software y la red, pero también plantea importantes riesgos de seguridad.

La IA agéntica permite a los desarrolladores crear e implementar agentes personalizados autónomos que operan de forma independiente en todos los sistemas y procesos. Muchos de estos agentes se crean y ejecutan sin visibilidad formal de TI, seguridad o gobierno. Esta proliferación descentralizada y descontrolada de agentes puede crear "IA en la sombra" dentro de las organizaciones y las pipelines de DevSecOps.

Cuando los agentes actúan de manera autónoma, las empresas también pueden tener dificultades para mantener controles con supervisión humana. Si se permite que los agentes de IA operen sin una responsabilidad clara, puede resultar extremadamente difícil evaluar sus intenciones, validar sus acciones o aplicar políticas de seguridad de manera efectiva, especialmente a medida que los entornos se expanden. Después de todo, ¿quién es responsable cuando una herramienta autónoma comete un error o viola sus parámetros?

Algunos argumentan que los creadores, y las organizaciones que los capacitan, tienen la culpa de los datos de entrenamiento deficientes, las pruebas insuficientes o la falta de salvaguardas. Pero siendo realistas, el panorama puede ser mucho más turbio.

Las herramientas de IA agéntica también dependen en gran medida de las API para acceder a los datos, implementar flujos de trabajo y conectarse con servicios externos, y cada integración de API es un punto de entrada potencial para los atacantes. Dado que los agentes no siempre siguen patrones predecibles de uso de la API (después de todo, son autónomos), pueden exponer inadvertidamente datos confidenciales o de propiedad exclusiva a través de operaciones legítimas (incluida la información personal en archivos de registro, por ejemplo) y ampliar significativamente la superficie de ataque.

Un único endpoint de API comprometido o mal configurado puede conceder acceso a múltiples sistemas backend y conjuntos de datos confidenciales, lo que permite a los ciberdelincuentes moverse lateralmente dentro de la arquitectura y escalar sus privilegios. 

Además, la mayoría de los agentes de IA se ejecutan mediante LLM, por lo que pueden heredar vulnerabilidades del modelo subyacente. Si un atacante incrusta instrucciones maliciosas en instrucciones o fuentes de datos de confianza (como archivos de configuración, documentación o tiques de soporte), el agente podría ejecutar sin saberlo acciones dañinas cuando procesa la instrucción.

Las empresas también podrían considerar los retos de la IA agéntica que no están relacionados con la seguridad. Por ejemplo, los agentes autónomos pueden a veces alucinar con los pasos de creación o los detalles de configuración, inventando parámetros que desencadenan acciones accidentales o maliciosas.

Las alucinaciones se producen cuando un modelo de lenguaje (a menudo un chatbot de IA generativa o una herramienta de visión artificial) genera información incorrecta (o totalmente inventada) que parece plausible. Durante la presentación del chatbot Bard de Google, Bard afirmó que el telescopio espacial James Webb tomó las primeras imágenes de un exoplaneta. En realidad, esto era inexacto: la primera imagen del exoplaneta fue tomada años antes por un telescopio diferente. Este es un ejemplo relativamente benigno.

Cuando los agentes utilizan detalles alucinados en los flujos de trabajo de DevOps, pueden propagar los errores de forma silenciosa a través de la base de código y los procesos de automatización, donde se agravan y provocan fallos en cascada.

Las herramientas de IA agéntica también tienen un rendimiento inferior en lo que respecta al desarrollo de código. Un estudio demostró que los desarrolladores tardan casi un 20 % más en resolver problemas de código cuando utilizan la IA. Y el informe State of Software Delivery 2025 reveló que los desarrolladores dedican un 67 % más de tiempo a depurar el código generado por las herramientas de IA. Muchos equipos de desarrollo no pueden seguir el ritmo de la escala de defectos de código generados por IA, lo que significa que los agentes de IA a veces crean más deuda técnica de la que borran.

Aunque los retos asociados al uso de herramientas de IA agéntica son considerables, las puertas de enlace de IA pueden ayudar a mitigar algunos de los riesgos.

Las puertas de enlace de IA actúan como una capa unificada y ligera entre las aplicaciones de IA agéntica y los modelos, API y herramientas que utilizan. Las puertas de enlace aplican las políticas de gobierno y cumplimiento de forma coherente en todos los agentes de IA y herramientas DevOps del ecosistema, eliminando la aplicación fragmentada e incoherente de parámetros.

La centralización optimiza el proceso de implementación de protocolos de seguridad, restricciones de privacidad de datos y cumplimiento normativo en implementaciones complejas y distribuidas. También ayuda a los agentes a controlar mejor el acceso a la API, los procesos de autenticación y autorización.

Además, las puertas de enlace pueden ayudar a los agentes a descubrir antes las amenazas y los problemas de código al mejorar la visibilidad de la actividad de los agentes. Proporcionan un aparato cohesivo de monitorización, auditoría, detección de anomalías y trazabilidad para que se pueda rastrear el comportamiento de los agentes a lo largo de todo el ciclo de vida. Dado que las puertas de enlace de IA hacen que la IA agéntica sea más observable, también ayudan a las empresas a controlar los problemas de la IA en la sombra y los costes desbocados que puede crear la implementación de la IA agéntica.

Cuando se le pregunta si los beneficios de utilizar la IA agéntica superan los riesgos, O'Connell responde: "Al 100 %. A medida que las empresas comiencen a integrar la IA agéntica, las barreras de seguridad serán esenciales, no solo técnicas, sino también culturales y éticas. Pero solo estamos a las puertas de lo que es posible".

Aunque siguen existiendo retos en torno a al gobierno, la confianza y la integración, la trayectoria es clara: los agentes de IA no son solo un complemento de los pipelines de CI/CD y DevOps, sino que están dando forma a su futuro. El resultado no es solo una toma de decisiones más inteligente, sino un cambio cultural hacia una entrega de software más eficiente y adaptable.