¿Esto se aplica también a la Formación y a la Auditoría, o solo a los desarrollos?

La disciplina se aplica a las tres ofertas: encuadrar antes de actuar, priorizar la prueba, y dejarte como dueño de los artefactos. Las cuatro fases de esta página son el método detallado del Build & Run en particular, cuando el trabajo consiste en entregar y operar IA en producción. La Formación y la Auditoría & Consultoría son proyectos más cortos que comparten los mismos hábitos pero producen entregables distintos (un equipo formado, una hoja de ruta secuenciada).

Al final, ¿poseemos la IA: los prompts, los modelos y las evaluaciones?

Sí. El código está en tus repositorios desde el primer commit, la transferencia de propiedad intelectual está inscrita en el contrato, y el traspaso incluye los prompts, la suite de evaluaciones y los guardarraíles, no solo un endpoint funcional. El objetivo es que tu equipo pueda modificar el sistema de forma segura tras nuestra retirada, incluido integrar un modelo mejor o más barato, sin depender de nosotros.

¿Trabajáis a precio fijo o por tiempo y materiales?

Ambos, según la forma del proyecto. Los entregables calibrados (una auditoría, una entrega de alcance definido) funcionan a precio fijo contra un enunciado de trabajo escrito. Los proyectos abiertos (una entrega a largo plazo con una hoja de ruta evolutiva, o un contrato de soporte) funcionan por tiempo y materiales con un tope mensual documentado. Somos explícitos sobre el modelo que conviene a tu proyecto desde la primera fase.

¿Cómo es la composición del equipo durante un proyecto típico?

De dos a cuatro ingenieros con experiencia a tiempo completo en el proyecto, salidos de los responsables de disciplina que puedes conocer en la página Sobre. No hay banco de juniors, ni desbordamiento deslocalizado ni un jefe de proyecto aparte: el ingeniero principal del proyecto es tu punto de contacto único y sigue siendo responsable desde el encuadre hasta la entrega.

¿Firmáis acuerdos de confidencialidad y acuerdos de tratamiento de datos?

Sí. Los acuerdos de confidencialidad mutuos son la norma antes del inicio de la primera fase. Para los proyectos que tocan datos personales, un acuerdo de tratamiento de datos (DPA) se firma antes de que se toque ningún dato de producción, y nuestra postura de tratamiento está documentada en la página de ingeniería de la seguridad.

¿Qué pasa si el alcance cambia a mitad de proyecto?

El cambio de alcance es un evento estructurado, no una sorpresa. Las solicitudes de cambio pasan por un proceso escrito de orden de cambio que evalúa el impacto técnico y el impacto en el calendario, y firmamos sobre el cambio antes de entregar en función de él. No absorbemos en silencio la desviación de alcance, y no fingimos que el cambio siempre formó parte del alcance.

¿Ofrecéis contratos de soporte tras el lanzamiento?

Sí. Tras la ventana de soporte definida, ofrecemos contratos de ingeniería continua a los clientes cuyo producto hemos construido, normalmente dos días por semana calibrados al mantenimiento, la seguridad y el trabajo incremental de funcionalidades, con un tope mensual documentado. No damos soporte a productos que no hemos construido, porque no podemos responder de la ingeniería subyacente.

¿Garantizáis los plazos?

Nos comprometemos a hitos acompañados de criterios de aceptación escritos; no garantizamos una fecha contra un alcance ambiguo. La respuesta honesta es que cualquier proveedor que garantiza una fecha contra un alcance vago o está mintiendo o está planeando recortar esquinas, y ninguna de las dos cosas es la ingeniería que queremos entregar. Una vez definido el alcance, nuestras fechas de entrega son fiables porque decimos no a los cambios de alcance que el calendario no puede absorber.

¿Podemos auditar el código mientras se escribe?

Sí, deberíais. El código está en tus repositorios desde el primer commit, tus ingenieros tienen acceso de lectura, y esperamos que el CTO o el patrocinador técnico responsable de tu lado revise puntualmente las pull requests durante el proyecto. La visibilidad es el objetivo.

Cómo trabajamos

Cómo trabajamos,
para cada oferta.

Por cualquier oferta que empieces (Formación, Auditoría & Consultoría o Build & Run), el proyecto se apoya en una sola disciplina y termina de la misma forma: tu equipo posee la IA y la opera sin nosotros. Aquí está cómo se desarrolla, del método común a las cuatro fases deliberadas de un desarrollo en producción.

Un camino

Un camino hacia
la autonomía en IA.

Las tres ofertas son los peldaños de una misma escalera. Puedes subir a cualquier peldaño; la disciplina detrás de cada uno es la misma, y el destino nunca cambia: tu equipo domina la IA en autonomía.

La Formación vuelve competente a tu gente (Entender). La Auditoría & Consultoría te dice dónde merece la pena la IA y dónde no (Decidir). Build & Run diseña, entrega y opera la IA misma (Implementar → Operar). Sea cual sea el peldaño, tres hábitos atraviesan cada proyecto: encuadramos antes de actuar, priorizamos la prueba sobre la opinión, y dejamos artefactos que posees, transferibles, sin dependencia de SDEN inscrita en el siguiente paso.

Eso es lo que significa «autonomía» aquí. No optimizamos para un contrato largo; optimizamos para el día en que ya no nos necesites. Cuanto más trabajamos juntos, menos dependes de nosotros, y cada entregable, de una grabación de formación a una base de código en producción, está escrito para que tu equipo lo retome sin nosotros en la sala.

01
Entender
Tus equipos se vuelven competentes en IA, sus riesgos y sus límites.
02
Decidir
Aprendes dónde merece la pena la IA, dónde es arriesgada y por dónde empezar.
03
Implementar
Diseñamos, construimos y entregamos la IA en producción.
04
Operar
La operamos contigo, y luego te la entregamos. Es tuya.

El método, en detalle

El método Build & Run,
fase por fase.

Cuando el trabajo consiste en construir y operar IA en producción, así es exactamente cómo se desarrolla: cuatro fases deliberadas, cada una terminando con artefactos que posees, además de las disciplinas de ingeniería que mantienen el sistema honesto y libre de deuda.

Fase 01

Encuadre y arquitectura

La primera fase produce una decisión concreta: construir, comprar o no empezar. SDEN entrega la arquitectura, el registro de riesgos y una recomendación de seguir / no seguir (incluida la pregunta de si la IA es siquiera la herramienta adecuada) antes de que se escriba una sola línea de código de producción.

El encuadre en SDEN no es una llamada de descubrimiento. Es una investigación estructurada que produce un enunciado de problema escrito que nombra la verdadera tarea que el software debe cumplir, una arquitectura y un registro de decisiones que explica las opciones técnicas que recomendamos (y las alternativas que consideramos), y un registro de riesgos que clasifica lo que podría salir mal según la explotabilidad y el impacto de negocio. Para el trabajo de IA va más lejos: una lectura honesta de la viabilidad (¿es un problema que un modelo puede resolver de forma fiable, o un motor de reglas disfrazado de IA?), una decisión de construir-o-comprar frente a las soluciones de catálogo, y un examen de si tus datos están realmente listos para alimentar un modelo. La fase termina con una recomendación de seguir / no seguir que estamos dispuestos a defender ante tu consejo.

Hacemos las preguntas que otros proveedores se saltan. ¿Quién es el decisor responsable de tu lado? ¿Cómo es el trabajo para el usuario el día después del lanzamiento, y no durante la demo? ¿Qué datos crea el producto, dónde residen y quién tiene derecho a verlos, y dónde se sitúan en los niveles de riesgo del Reglamento Europeo de IA? Sobre todo: ¿qué significa «bueno», medido? Definimos los criterios de evaluación aquí, en la primera fase, para que «funciona» sea una cifra acordada en lugar de una impresión en la demo. La fase es pagada, acotada en el tiempo y corta, normalmente de una a tres semanas según el alcance.

Qué produce esta fase

Enunciado de problema escrito con criterios de éxito y de evaluación medibles
Diagrama de arquitectura + registro de decisiones (ADR), incluida la decisión de construir-o-comprar y la elección «IA o no»
Registro de riesgos clasificado por explotabilidad e impacto de negocio, con clasificación al Reglamento Europeo de IA donde aplica
Lectura del estado de preparación de los datos para todo caso de uso de IA (fuentes, calidad, acceso, retención)
Recomendación de seguir / no seguir, con el alcance que nos comprometeríamos a entregar

Los rituales que mantenemos

Una entrevista con cada decisor responsable de tu lado
Revisión de arquitectura con los ingenieros que construirían el proyecto
Punto de control a mitad de fase con un borrador de los artefactos
Revisión final de fase donde presentamos la recomendación de seguir / no seguir

Qué rechazamos en esta fase

No nos saltaremos el encuadre con la excusa de que «ya sabemos lo que queremos». Hemos salvado suficientes proyectos para saber que esa afirmación rara vez es cierta.
No recomendaremos IA donde una herramienta más simple gane. Si un script, una regla o un producto de catálogo resuelve el problema, eso es lo que dirá la recomendación de seguir / no seguir.
No escribiremos código de producción en esta fase. Todo lo que entregamos aquí es un prototipo de reflexión, claramente marcado como desechable.

Fase 02

Diseño y prototipado

La segunda fase convierte la decisión de encuadre en algo que puedes validar antes de comprometerte: un prototipo real puesto a prueba contra datos reales, con las opciones de modelo y de arquitectura puestas por escrito.

Una demo es un vídeo. Un prototipo es algo que el usuario puede usar de verdad, sobre la forma real de los datos, sobre el stack exacto que entregaremos en producción. La segunda fase entrega lo segundo. El equipo diseña los recorridos esenciales, construye un prototipo interactivo para los caminos de mayor riesgo (los que determinan si el producto es usable, no los que determinan si es bonito), y los valida sobre datos reales y con usuarios reales antes de que se ponga una sola línea de código de producción.

Para la IA, aquí es donde se toman y se documentan las decisiones de mayor peso: qué modelo, y por qué; la recuperación aumentada (RAG) frente al fine-tuning frente a un simple prompt; una sola llamada frente a un agente; y el presupuesto de coste y latencia en el que cada enfoque debe encajar. Nos inclinamos hacia la tecnología aburrida bajo la IA (frameworks, bases de datos y alojamiento que la comunidad ya ha depurado a gran escala) y nombramos la razón de cada elección. La fase también diseña el banco de evaluación: el conjunto de tests puntuado que nos dirá, de forma automática y en cada cambio, si la IA mejora o se degrada. Produce el prototipo, un sistema de diseño (tokens, componentes, línea base de accesibilidad) y ese plan de evaluación y de tests para la fase de producción.

Qué produce esta fase

Prototipo interactivo de los recorridos de mayor riesgo, funcionando sobre datos reales
Decisión de modelo y de arquitectura (elección del modelo, RAG / fine-tuning / agente) con justificación escrita (ADR)
Un banco de evaluación: un conjunto de tests puntuado y las métricas que la producción medirá en cada cambio
Presupuesto de coste y latencia por enfoque de IA, nombrado de entrada
Sistema de diseño (tokens, componentes, línea base de accesibilidad)

Los rituales que mantenemos

Dos sesiones de test con usuarios sobre el prototipo antes de empezar la tercera fase
Revisión de diseño semanal con la ingeniería en la sala
Demo para stakeholders a mitad de fase del prototipo en vivo
Presentación detallada del plan de tests al final de la fase

Qué rechazamos en esta fase

No presentaremos un prototipo que simule los caminos de fallo. Si la demo se rompe cuando el usuario comete un error, el prototipo está incompleto.
No elegiremos el modelo más grande por reflejo. El valor por defecto es el modelo más pequeño que pasa las evaluaciones dentro del presupuesto de coste y latencia.
No elegiremos un stack porque esté de moda. La respuesta por defecto es el stack aburrido que el equipo aún podrá mantener dentro de tres años.

Fase 03

Desarrollo y endurecimiento

La tercera fase convierte el prototipo validado en software de calidad de producción, en iteraciones cortas, con una revisión de código en cada cambio, la seguridad integrada desde la fase de diseño, y sin deuda técnica dejada atrás.

El desarrollo en SDEN se desarrolla en iteraciones de dos semanas, con una versión funcional al final de cada una. Cada pull request es revisada por un segundo ingeniero antes del merge; la barrera de merge ejecuta la suite de tests, la suite de evaluaciones de la segunda fase, los analizadores de seguridad (SCA, SAST, detección de secretos) y el verificador de tipos. La protección de ramas está activada, los commits firmados están activados, y ningún ingeniero, ni el más experimentado, puede saltarse las comprobaciones. El resultado es una base de código donde el segundo ingeniero que lee un archivo ya lo entiende, y donde un cambio que degrada en silencio la IA hace fallar la integración continua en lugar de llegar a producción.

El endurecimiento es la parte que la mayoría de proveedores se saltan. Es el trabajo que convierte «funciona» en «funciona en producción durante los próximos tres años». Para la IA, eso significa guardarraíles en las entradas y las salidas, topes de coste para que un bucle desbocado no pueda arruinar la funcionalidad, y una revisión de seguridad contra la inyección de prompt y el OWASP LLM Top 10, además del OWASP Top 10 y el nivel ASVS pertinente. También incluye los tests de carga contra los perfiles de tráfico esperados, los tests de caos sobre los modos de fallo que el registro de riesgos señaló en la primera fase, y la cláusula de ausencia de deuda técnica: no entregaremos código por el que no estaríamos dispuestos a recibir una alerta a las 3 de la madrugada. Si un plazo fuerza un atajo, el atajo aterriza en el seguimiento de incidencias como un P0, y se devuelve antes de que llegue la próxima funcionalidad. Documentamos explícitamente esta disciplina en nuestra postura de ingeniería de la seguridad.

Qué produce esta fase

Aplicación de calidad de producción en tus repositorios, desplegada en preproducción
Suites de tests y de evaluaciones que cubren los caminos de éxito, de error, los casos límite y la calidad de la IA
Guardarraíles y topes de coste cableados (comprobaciones de entradas/salidas, límites de gasto)
Revisión de seguridad contra el OWASP Top 10, el OWASP LLM Top 10 y el nivel ASVS pertinente
Resultados de los tests de carga y de caos contra los perfiles de tráfico documentados

Los rituales que mantenemos

Cadencia de iteración de dos semanas con una versión funcional al final de cada una
Demo semanal al stakeholder cliente, en vivo en preproducción
Revisión de código en cada pull request, sin excepción
Retrospectiva de fin de iteración con el equipo de ingeniería

Qué rechazamos en esta fase

No nos saltaremos las comprobaciones de merge bajo la presión de un plazo. Si la comprobación se equivoca, es la comprobación la que es el bug.
No entregaremos una funcionalidad de IA que falle sus propias evaluaciones, ni una funcionalidad sin guardarraíl ni tope de coste. «Quedaba bien en la demo» no es un criterio de puesta en vivo.
No entregaremos código con una vulnerabilidad de gravedad alta conocida y no mitigada. La vulnerabilidad se corrige; el plazo se renegocia honestamente.

Fase 04

Entrega y soporte

La cuarta fase es una puesta en producción controlada, acompañada de los artefactos operativos que un equipo necesita para operar el software (y la IA que contiene) una vez el papel de SDEN se difumina: runbook, supervisión, SLO, plan de guardia.

La entrega es escalonada. La primera puesta en producción aterriza tras un feature flag, para un solo inquilino o una pequeña cohorte de usuarios. Supervisamos los SLO (y, para la IA, las cifras de calidad y de coste) contra tráfico de producción real durante una ventana de observación definida, y luego ampliamos a la audiencia completa una vez los datos confirman que el sistema se comporta como se esperaba. La puesta en producción no es un evento de calendario: es un cambio de estado medible.

Lo que entregamos con la versión es lo que hace el proyecto duradero: un runbook para cada tarea operativa, un panel de supervisión que expone los SLO que nos comprometimos a respetar así como el comportamiento de la IA en producción (calidad, deriva, tasa de alucinación y gasto, no solo la disponibilidad), un plan de guardia para los incidentes que el registro de riesgos anticipó, una plantilla de respuesta a incidentes, y documentación escrita para el siguiente ingeniero que se incorpore a tu equipo. Crucialmente, el traspaso transfiere la IA misma: los prompts, la suite de evaluaciones y los guardarraíles, para que tu equipo pueda modificar el sistema de forma segura, y no solo mantenerlo en marcha. Los proyectos de SDEN no terminan en la puesta en producción: se difuminan. Nos comprometemos a una ventana de soporte definida tras el lanzamiento (normalmente de tres a seis meses, calibrada al proyecto) durante la cual operamos el sistema conjuntamente con tu equipo, y durante la cual se transfiere el conocimiento operativo, no solo el código.

Qué produce esta fase

Puesta en producción escalonada con despliegue por feature flag
Runbook para cada tarea de producción habitual
Supervisión de los SLO y del comportamiento de la IA: calidad, deriva, tasa de alucinación y coste
Plan de guardia para los incidentes que el registro de riesgos anticipó
Traspaso de los prompts, las evaluaciones y los guardarraíles, con documentación para el siguiente ingeniero

Los rituales que mantenemos

Revisión de preparación antes de la puesta en producción contra la lista de control publicada
Despliegue escalonado con criterios de ampliación documentados
Rotación de guardia conjunta durante la ventana de soporte
Revisión mensual de los datos de SLO durante la ventana de soporte

Qué rechazamos en esta fase

No declararemos una versión «en vivo» antes de que los SLO se hayan observado contra tráfico real.
No abandonaremos al equipo en el traspaso. El traspaso es un proceso definido, no un correo con un ZIP adjunto.

FAQ

Enfoque:
preguntas sobre la colaboración.

Respuestas directas a las preguntas que más nos hacen. Si la tuya no está, escribe al equipo.

Contacta con el equipo

Un camino haciala autonomía en IA.

Entender

Decidir

Implementar

Operar

El método Build & Run,fase por fase.

Encuadre y arquitectura

Diseño y prototipado

Desarrollo y endurecimiento

Entrega y soporte

Enfoque:preguntas sobre la colaboración.

¿Esto se aplica también a la Formación y a la Auditoría, o solo a los desarrollos?

Al final, ¿poseemos la IA: los prompts, los modelos y las evaluaciones?

¿Trabajáis a precio fijo o por tiempo y materiales?

¿Cómo es la composición del equipo durante un proyecto típico?

¿Firmáis acuerdos de confidencialidad y acuerdos de tratamiento de datos?

¿Qué pasa si el alcance cambia a mitad de proyecto?

¿Ofrecéis contratos de soporte tras el lanzamiento?

¿Garantizáis los plazos?

¿Podemos auditar el código mientras se escribe?

Un camino hacia
la autonomía en IA.

El método Build & Run,
fase por fase.

Enfoque:
preguntas sobre la colaboración.