La automatización de tareas ha transformado el trabajo diario en áreas técnicas, pero el auge de las plataformas low-code/no-code también está abriendo desafíos complejos que no todos los equipos TI están listos para enfrentar. La promesa de soluciones rápidas y personalizables cautiva hasta al gerente más escéptico, aunque detrás de esa aparente facilidad se esconden riesgos de seguridad y sostenibilidad que rara vez se discuten entre quienes sí hemos tenido la responsabilidad de asegurar la continuidad de aplicaciones críticas en una empresa chilena.
Reinvención rápida, ¿innovación o deuda técnica silenciosa?
Avanzar sin código pesado suena a música para muchas áreas de negocio. Proyectos que antes requerían meses hoy pueden levantarse en semanas, y eso se nota en los resultados, pero también en las grietas de fondo. Cuando un departamento de recursos humanos decide conectarse directo al ERP a través de Zapier, o cuando un equipo de ventas arma flujos de datos sensibles usando herramientas no validadas por TI, lo que se está construyendo es un castillo de naipes: funcional, pero peligrosamente frágil. No es raro toparme con clientes que, atraídos por la promesa de agilidad, relegan la revisión de permisos a “después”, hasta que los datos personales acaban expuestos o simplemente alguien pierde el acceso a una automatización crítica. Esta situación es comparable a lo que ocurre cuando los administradores no revisan logs de acceso en los servidores y luego deben improvisar respuestas ante un incidente de seguridad. Aquí la diferencia es que la vulnerabilidad queda alojada en plataformas externas, cuya gestión está fuera de nuestro alcance directo.
Seguridad y compliance: la pesadilla poco visible del low-code
Las soluciones no-code suelen integrar servicios en la nube, APIs públicas y hasta conexiones a bases de datos corporativas. El problema surge cuando estos enlaces quedan sin auditoría continua. Quienes hemos gestionado Active Directory sabemos lo fácil que es que una “conexión temporal” termine abierta para siempre. Sumado a esto, la presión regulatoria avanza, y aunque en Chile no contamos con una ley tan estricta como la GDPR europea, las tendencias globales y el avance de la Ley 19.628 nos obligan a repensar la gobernanza de estas automatizaciones. ¿Quién se hace cargo si un dato sensible termina filtrado por una automatización hecha por alguien sin formación en seguridad informática?
A esto se suma que los parches y la gestión de versiones resultan caóticas. Mientras un desarrollador tradicional puede aplicar un hotfix en minutos tras una vulnerabilidad crítica, los servicios externos dependen de terceros y de ventanas de mantenimiento poco alineadas a la realidad local, lo que puede traducirse en horas de exposición sin control real desde área TI interna.
Hoja de ruta para un entorno low-code/no-code seguro y sostenible
La recomendación práctica es nunca ceder el control absoluto de la automatización a usuarios finales sin pasar por una supervisión TI robusta. Una política realista parte por sensibilizar a los equipos respecto a los riesgos y luego establecer una ventana de mantenimiento programada solo para automatizaciones críticas, idealmente fuera del horario laboral más intenso. El monitoreo debe ser continuo: no basta con revisar la configuración inicial, sino que urge auditar accesos y cambios al menos una vez al mes, incluso si la automatización “ha estado funcionando bien hasta ahora”.
En cuanto a compliance, lo recomendable es documentar cada integración, idealmente con responsables definidos y respaldo de todos los flujos de datos. Y cuando el proveedor libere un parche importante, la peor decisión es esperar: aplicar la actualización antes de que el exploit se masifique en foros abiertos y llegue a potenciales atacantes.
Mirando adelante: automatización sí, pero no a cualquier costo
La incorporación de herramientas low-code/no-code seguirá creciendo en Chile y en toda Latinoamérica. Sin embargo, el verdadero desafío no está en la adopción, sino en definir protocolos técnicos y de seguridad claros, que permitan conciliar rapidez de negocio con controles robustos. Habrá que repensar roles, crear procesos de revisión continua y, sobre todo, mantener la atención sobre esos pequeños detalles que, al dejarse pasar, pueden volverse la peor pesadilla de cualquier área TI.
