Después de tres años de expansión y de un ecosistema sobreexcitado alrededor del término, platform engineering llega a 2025 en una fase de consolidación. Las plataformas internas que sobreviven son las que entendieron su función real, las que confundieron el nombre con la solución están desmantelando sus equipos o recortándolos drásticamente.
Probar sistemas que incluyen modelos de lenguaje rompe la primera regla del testing: la misma entrada da la misma salida. Analizo las estrategias que han funcionado tras un año largo integrando IA en productos reales, por qué los tests deterministas tradicionales no bastan y cómo plantear un cinturón de pruebas que capture regresiones sin bloquearse en la varianza.
Hace cuatro años era una curiosidad académica. Hoy, planificar cargas por intensidad de carbono de la red eléctrica es una opción integrada de fábrica en Kubernetes, en varios servicios de proveedores cloud y en herramientas de CI. Repasamos qué cambió de verdad y qué sigue siendo más promesa que práctica.
Los equipos de producto están tentados de sustituir entrevistas y tests reales por síntesis de IA. Dos años de experiencia ya permiten separar dónde la IA ayuda de verdad y dónde genera una falsa sensación de entender al usuario.
OpenSSH añadió intercambio de claves híbrido post-cuántico con ML-KEM en la versión 9.9 y lo hizo el algoritmo por defecto en la 10.0. La pregunta ya no es si migrar SSH a post-cuántica, sino cómo hacerlo sin romper clientes antiguos: activar el híbrido, mantener un fallback clásico y verificar con ssh -v que el algoritmo activo es el correcto.
Casi nueve meses después del lanzamiento de Computer Use, algunos equipos lo han llevado a producción para tareas reales. Dónde funciona, dónde todavía no conviene, y qué patrones están emergiendo para que un agente que maneja ratón y teclado no acabe siendo más problema que solución.
Los agentes de IA empiezan a tener un hueco serio en los pipelines de integración continua: revisar diffs, proponer arreglos, generar tests que faltan. Seis meses de uso real para separar los patrones que funcionan de los que acaban costando más tiempo del que ahorran.
El profiling continuo con eBPF toma muestras del stack de cada proceso cada pocos milisegundos sin tocar el código, y guarda el historial para comparar el rendimiento de una semana con otra. El coste medido en producción está entre el 1% y el 3% de CPU, y compensa sobre todo en bases de datos, pasarelas de API y servicios de alta concurrencia.
Han pasado siete años desde que Google publicó el Workbook, y buena parte del libro no ha envejecido. Repaso los patrones que de verdad aplicamos en equipos pequeños y los que resultaron ser cultura de campus.
En sistemas de IA el coste real no está en las instancias EC2, sino en los tokens de entrada de RAG y agentes, las llamadas de herramientas encadenadas y los reindexados frecuentes; esos vectores, sumados a los experimentos sin atribución, concentran la mayor parte de la factura mensual en producción.
Un sistema RAG sin evaluación continua se degrada en silencio. Los índices cambian, los modelos se actualizan, los usuarios preguntan cosas nuevas. Este es un repaso práctico de qué métricas vigilar y cómo montar el cuadro de mando que avisa antes del incidente.
Después de años acumulando SBOMs, el cuello de botella es filtrar qué CVEs afectan de verdad. VEX aparece como la pieza que convierte el ruido en señal, y en 2025 empieza a tener adopción real en pipelines de supply chain.
Los agentes de IA han pasado de ser un tema de laboratorio a tener SDKs serios en tres grandes proveedores. Reflexión sobre cómo pasar de la demo llamativa a un caso de uso interno que mueva una métrica real.
Semgrep ha crecido hasta convertirse en uno de los análisis estáticos más pragmáticos del ecosistema. Reflexión sobre por qué funciona donde otros SAST fracasan y cómo meterlo en un pipeline sin que se convierta en ruido.
Dos años después de que Zero Trust dejase de ser palabra de marketing, toca mirar cómo conecta con el SIEM del día a día. Reflexión sobre señales útiles, ruido evitable y decisiones que de verdad cambian la postura de seguridad.
Con las primeras obligaciones del AI Act europeo ya en vigor, la gobernanza de la IA en empresa deja de ser teórica. Qué comités montar, qué políticas escribir y qué auditar, desde la experiencia de varias implantaciones.
Dependabot y Renovate persiguen lo mismo pero con filosofías distintas. Comparo ambos tras años usándolos en proyectos propios y de cliente, y repaso cuándo uno aprieta mejor y cuándo el otro se adapta más al flujo del equipo.
Hace un año los pesos abiertos eran una apuesta; hoy son una opción de producción real. Repaso lo que ha funcionado, lo que no y cómo están encajando Llama, DeepSeek, Qwen y Mistral en arquitecturas empresariales que antes dependían de APIs cerradas.
Dos años después de convivir con asistentes de IA en el editor, los hábitos se han asentado. Reflexión sobre qué ha cambiado en el día a día de programar, qué se ha aprendido y qué quedaba por descubrir.
Tres años después de que RLHF se hiciera popular, el paisaje del alineamiento de modelos es más rico. Repaso de RLHF, DPO y los métodos más recientes como KTO o ORPO, con criterios para elegir.
SLSA v1.0 divide la seguridad de la cadena de suministro en tres pistas (Build, Source y Dependencies), de las que solo Build está estabilizada, con tres niveles: L1, L2 y L3. Si compilas en GitHub Actions, llegar a L2 con procedencia firmada por Sigstore lleva pocas horas y es el punto de partida que recomiendo a cualquier equipo.
Medir la calidad de un sistema RAG con rigor exige más que revisar unas cuantas respuestas: hacen falta métricas objetivas (fidelidad, relevancia, precisión y cobertura de contexto), un conjunto dorado de cientos de preguntas curadas y validación humana periódica del juez LLM para evitar conclusiones engañosas.
El software no es inmaterial: cada request y cada consulta a base de datos consumen electricidad con huella de carbono. La Green Software Foundation codifica ocho principios prácticos para reducir esa huella sin reescribir sistemas. Resultado: servicios más eficientes, facturas cloud más bajas y preparación para regulación ESG.
Las aplicaciones basadas en LLM necesitan tres planos de observabilidad distintos: trazas de prompt y respuesta para depurar alucinaciones, seguimiento de costes por token y por función, y evaluación de calidad de respuesta. Herramientas como Langfuse, LangSmith y Helicone cubren estos planos con instrumentación específica.
8 min295
Usamos cookies propias y de terceros para analizar el tráfico del sitio. Puedes aceptarlas, rechazarlas o configurar tu elección.
Más información sobre las cookies
Preferencias de cookies
NecesariasImprescindibles para el funcionamiento del sitio. Siempre activas.
AnalíticasNos ayudan a entender cómo se usa el sitio (Google Analytics).