El superpoder de ser invisible… y el caos que provoca
Hablemos del ‘Hombre Invisible’. Ese personaje de H.G. Wells que logra el superpoder de ser indetectable. Al principio, es una ventaja increíble. Puede moverse sin restricciones, acceder a cualquier lugar. ¿Te suena familiar? Como Arquitecta de Automatización, veo cómo los líderes de e-commerce y logística buscan exactamente eso: crear un ‘ejército’ de ayudantes invisibles.
Estás hasta el cuello apagando incendios. El inventario no cuadra, las guías de despacho hay que cargarlas a mano, y soporte no da abasto. Entonces, implementas tu primer ‘Hombre Invisible’: un bot (RPA) que sincroniza el inventario. Luego otro: un Agente IA que responde el 80% de las consultas de clientes. Y finalmente, una decena de llaves API que conectan tu plataforma con el courier, el ERP y la pasarela de pagos. ¡Magia! El caos operativo disminuye.
Pero aquí viene el giro de la película: El ‘Hombre Invisible’ original se vuelve loco porque, aunque tiene un poder inmenso, nadie lo ve, nadie lo gestiona y nadie lo audita. Y tú, sin saberlo, acabas de llenar tu empresa de ellos.
¿Qué es exactamente un ‘Empleado Fantasma’ (NHI)?
En el mundo técnico, los llamamos Identidades No Humanas (NHIs). Pero seamos prácticos: son tus ‘Empleados Fantasma’.
Un NHI no es una persona. Es una identidad digital que actúa en tu nombre. Es esa llave API de WooCommerce, ese usuario de servicio llamado bot_inventario@tuempresa.cl, ese token de acceso que usa tu Agente IA para leer tu base de datos de productos. Son, sin duda, tus empleados más eficientes: trabajan 24/7, no se quejan, no duermen y jamás piden un aumento. El problema es que también son tu mayor riesgo de seguridad.
El Lado Oscuro del ‘Hombre Invisible’
Los hackers ya no gastan meses intentando derribar tu firewall. Es mucho más fácil buscar la llave que alguien dejó pegada en la puerta. Y tus ‘Empleados Fantasma’ están cubiertos de llaves. Como no los ves, no los auditas. Crees que ese bot que creaste hace dos años para un proceso simple sigue haciendo solo eso, pero la realidad es aterradora.
Te cuento una historia (real, pero con nombres genéricos): Un e-commerce de moda en Chile implementó un pequeño script de RPA para actualizar precios en su sitio durante eventos de alta demanda. Para que funcionara ‘rápido’, le dieron permisos de ‘Administrador’ a la llave API que usaba el bot. El bot hacía su trabajo perfecto. El problema es que esa ‘llave’ con poder absoluto quedó olvidada en un script, dentro de un repositorio de código que accidentalmente se hizo público. Un hacker la encontró.
No robaron datos de clientes. No robaron dinero (CLP) directamente. Hicieron algo peor: usaron esa llave ‘Admin’ para cambiar el precio de todos los productos estrella a $1 CLP. El caos fue total. Las pérdidas, millonarias. El ‘Empleado Fantasma’ se salió de control.
¿Quién Audita al Fantasma?
Este es el punto central. ¿Cuándo fue la última vez que ‘Recursos Humanos’ le hizo una evaluación de desempeño a tu bot de logística? ¿Cuándo revisaste si la llave API de tu courier (ej. Blue Express, Starken) tiene permiso solo para ‘crear guías’ o si también puede ‘eliminar pedidos’?
Creamos estas identidades, les damos las llaves del reino y luego nos olvidamos de su ciclo de vida. Se crean, se usan… ¿y se revocan? Casi nunca. Esto no es solo una mala práctica; es un fallo garrafal de gobernanza y fiabilidad. El primer paso para evitar el desastre es dejar de ignorar a tus ‘fantasmas’ y hacer un inventario.
Tu Herramienta Práctica: El ‘Cazafantasmas’ de NHIs (Plantilla de Inventario Rápido)
No puedes gestionar lo que no ves. Antes de que necesites llamar a los verdaderos ‘Cazafantasmas’, necesitas tu propia ‘Unidad Contenedora’. La buena noticia es que el primer paso no es técnico, es estratégico: Crear un inventario de NHIs.
Aquí tienes una plantilla simple (llévala a un Notion, un Excel o tu herramienta de gestión) para tu primera auditoría de ‘Empleados Fantasma’.
Nombre del Agente/Bot (Alias) ¿Qué Hace? (Proceso) Sistema(s) a los que accede Tipo de Identidad (API Key, Usuario, Token) Nivel de Permiso (Admin, Lectura, Escritura) Responsable Humano (El ‘Dueño’) Fecha de Creación Fecha de Próxima Auditoría Bot-Logística-Courier Sincroniza pedidos con Courier X WooCommerce (API), Sistema Courier (API) API Key (WC), Token (Courier) Lectura/Escritura (Pedidos) Gerente de Logística 2024-01-10 2025-01-10 Agente-IA-Soporte Responde consultas en Chatbot Base de Conocimiento (Notion), Chatbot (Plataforma) API Key (Notion) Lectura (KB) Gerente de Soporte 2024-06-05 2024-12-05 RPA-Inventario-ERP Actualiza stock B2B Servidor (Usuario Servicio), ERP (Acceso DB) Usuario de Servicio Windows Admin (¡RIESGO!) Gerente de Operaciones 2023-03-15 ¡HOY!
Cómo usar este inventario HOY
- Llama a tu equipo: Junta a la gente de Sistemas, Operaciones y Marketing. Empiecen a llenar esta tabla. Te sorprenderás de la cantidad de ‘fantasmas’ que aparecerán y de los que nadie se acordaba.
- Audita los permisos: Enfóquense de inmediato en la columna ‘Nivel de Permiso’. ¿En serio tu bot de inventario necesita ser ‘Administrador’ de todo el servidor? (Esto se llama ‘Principio de Mínimo Privilegio’. Dale solo la llave de la pieza que necesita, no la llave maestra del edificio).
- Asigna un ‘Dueño’ humano: Esta es la columna más importante. Cada bot, cada IA, cada API key debe tener un responsable humano. Si el bot falla o se sale de control a las 3 AM, ¿a quién van a llamar? Ese es el dueño. Esa persona es responsable de auditar sus accesos cada 6 meses.
Tu turno: Haz visible lo invisible
La automatización y la IA son el futuro. Son el superpoder que, bien usado, nos permite dejar de apagar incendios y volver a ser los estrategas que debemos ser. Pero el poder del ‘Hombre Invisible’ requiere un nuevo tipo de gobernanza. No dejes que tu mayor aliado tecnológico se convierta, por negligencia, en tu ‘Empleado Fantasma’ más peligroso.
Me encantaría saber de ti. ¿Sospechabas de estos ‘fantasmas’ en tu operación? ¿Cuál es esa primera API key o ese viejo bot que vas a ir a auditar justo después de leer esto? Cuéntame tu experiencia en los comentarios.
