Del Chaos Engineering al Modelo Adversarial Organizacional | Guido E. Rosales Uriona

Documento de Trabajo · 2026

Del Chaos Engineering al Modelo Adversarial Organizacional:

Una Propuesta para la Resiliencia Sistémica basada en Experimentación Controlada

Chaos Engineering Resiliencia organizacional Sistemas socio-técnicos Epistemología del dato Innovación adversarial Complejidad

Guido E. Rosales Uriona (Doctorante) Línea: Transformación Digital y nuevos Modelos de Negocio

Resumen

El Chaos Engineering, popularizado por Netflix a través de su "ejército de simios", ha emergido como un enfoque innovador para fortalecer la resiliencia en sistemas tecnológicos complejos mediante la introducción controlada de fallas. Este trabajo propone una ampliación conceptual del modelo hacia el contexto organizacional entendido como sistema socio-técnico, integrando dimensiones tecnológicas, operativas, humanas, normativas y cognitivas. Se argumenta que la experimentación adversarial no solo permite anticipar fallas, sino identificar su cadena causal y evaluar la capacidad de respuesta del sistema en todas sus dimensiones. La tesis central: transitar desde una resiliencia pasiva basada en cumplimiento hacia una resiliencia proactiva sustentada en aprendizaje continuo.

Contenido

01 Introducción
02 Fundamentos Teóricos
03 El Modelo de Netflix: Anticipación, Causalidad y Respuesta
04 Limitaciones del Enfoque Exclusivamente Tecnológico
05 Modelo Adversarial Organizacional: Las Cinco Capas
06 De la Resiliencia Pasiva a la Resiliencia Proactiva
07 La Dimensión Epistemológica del Modelo
08 Conclusiones
— Referencias
— Glosario de Términos

SECCIÓN 01

Introducción

Las organizaciones contemporáneas operan en entornos caracterizados por alta complejidad, interdependencia y dinamismo. En este contexto, los enfoques tradicionales de seguridad y gestión del riesgo —basados en controles estáticos y cumplimiento normativo— resultan insuficientes para anticipar y gestionar fallas emergentes. La estabilidad no puede garantizarse a través de la ausencia de pruebas; solo puede validarse a través de la evidencia.

Netflix introdujo una lógica alternativa con su modelo de Chaos Engineering: provocar fallas de manera controlada en sistemas productivos con el objetivo de comprender su comportamiento bajo condiciones adversas. Este enfoque rompe con la noción clásica de estabilidad como ausencia de error, proponiendo en su lugar la validación continua de la resiliencia mediante experimentación deliberada.

«En lugar de evitar el caos, Netflix aprendió a diseñarlo. En lugar de temer la falla, la instrumentalizó como herramienta de conocimiento.»

No obstante, la adopción de este modelo ha estado predominantemente limitada a entornos tecnológicos. Este trabajo sostiene que dicha restricción reduce significativamente su potencial: las fallas en organizaciones reales no son exclusivamente técnicas, sino el resultado de interacciones complejas entre tecnología, procesos, personas, estructuras normativas y sesgos cognitivos.

SECCIÓN 02

Fundamentos Teóricos

El análisis se sustenta en tres marcos conceptuales que, en conjunto, permiten comprender la necesidad de un enfoque que aborde la organización como un sistema dinámico, adaptativo y cognitivamente mediado.

MARCO 01Teoría de Sistemas Complejos

Los sistemas altamente interconectados presentan comportamientos no lineales donde pequeñas perturbaciones pueden generar efectos desproporcionados. Charles Perrow (1984) argumenta que en estos sistemas los fallos no son anomalías sino fenómenos inherentes a su naturaleza: el resultado inevitable de la interacción entre componentes estrechamente acoplados. La pregunta deja de ser «¿cómo evitamos el fallo?» y se convierte en «¿cómo nos preparamos para cuando ocurra?»

MARCO 02Organizaciones de Alta Confiabilidad (HRO)

Las organizaciones de alta confiabilidad han demostrado que la resiliencia no se basa en la ausencia de fallos, sino en la capacidad de detectarlos, contenerlos y aprender de ellos de forma continua (Weick & Sutcliffe, 2007). Presentes en sectores como la aviación, la energía nuclear o la medicina de emergencias, mantienen vigilancia constante sobre señales débiles, promueven cultura de cuestionamiento activo y desarrollan rutinas de respuesta que se activan antes de que los incidentes escalen.

MARCO 03Epistemología del Dato

Los datos generados por sistemas de monitoreo o experimentos adversariales no son reflejos neutros de la realidad, sino construcciones influenciadas por procesos, incentivos y sesgos. Esta perspectiva es central para evaluar la calidad del conocimiento generado por la experimentación adversarial y para diseñar mecanismos que garanticen su integridad como base de decisiones.

SECCIÓN 03

El Modelo de Netflix: Anticipación, Causalidad y Respuesta

El "ejército de simios" de Netflix —con herramientas como Chaos Monkey, Latency Monkey o Chaos Gorilla— fue diseñado para introducir perturbaciones controladas dentro del sistema productivo. A primera vista parecen herramientas de interrupción técnica. Sin embargo, el modelo subyacente es considerablemente más profundo y presenta tres características fundamentales:

PILAR 01

Carácter Anticipatorio

Netflix asume que el fallo es inevitable en sistemas complejos y decide adelantarse mediante experimentación. Se alinea con el principio de falsación de Popper (1959): el conocimiento se construye intentando refutar hipótesis, no confirmándolas.

PILAR 02

Revelación de Cadenas Causales

Las perturbaciones permiten observar cómo se propagan los efectos, revelando dependencias ocultas y puntos de acoplamiento crítico invisibles en condiciones normales. El fallo deja de ser un evento aislado.

PILAR 03

Énfasis en la Respuesta

El objetivo no es evitar la falla sino evaluar cómo reacciona el sistema. ¿Se degrada elegantemente? ¿Se recupera automáticamente? El foco se desplaza de la prevención absoluta a la resiliencia operativa.

«El Chaos Engineering no es un test de que el sistema funciona. Es un método para descubrir cómo y cuándo deja de funcionar, antes de que el entorno real lo decida.»

SECCIÓN 04

Limitaciones del Enfoque Exclusivamente Tecnológico

A pesar de su potencial, la aplicación del Chaos Engineering ha estado históricamente centrada en la infraestructura tecnológica, lo que introduce limitaciones significativas como herramienta de resiliencia organizacional.

La primera limitación es conceptual: reduce el fenómeno del fallo a su manifestación tecnológica, ignorando que las fallas en organizaciones reales emergen de la interacción entre múltiples dimensiones. La tecnología actúa frecuentemente como el punto visible de una cadena de eventos más compleja que tiene origen en procesos, decisiones o sesgos organizacionales.

La segunda limitación es epistemológica: si las perturbaciones se introducen únicamente a nivel técnico, el conocimiento generado también será parcial. No se capturan dinámicas como la toma de decisiones bajo incertidumbre, la gestión de ambigüedad, los conflictos entre cumplimiento y operación, o la influencia de sesgos cognitivos en la interpretación de eventos.

«El verdadero desafío no es replicar las herramientas de Netflix, sino comprender la lógica que las sustenta y explorar su aplicabilidad en un contexto organizacional más amplio.»

SECCIÓN 05

Modelo Adversarial Organizacional: Las Cinco Capas

Se propone un modelo de experimentación adversarial que extiende la lógica del Chaos Engineering a todas las dimensiones de la organización. Los "simios" dejan de ser exclusivamente tecnológicos y pasan a representar mecanismos de perturbación controlada en distintas capas del sistema socio-técnico:

Capa	Tipo de perturbación	Ejemplos de experimentos	¿Qué se aprende?
Tecnológica	Infraestructura y aplicaciones	Apagado de instancias, latencia artificial, fallo de zona	Dependencias ocultas, degradación elegante, tiempo de recuperación
Operativa	Procesos críticos de negocio	Interrupción de flujos, restricción de recursos, retrasos en cadena de valor	Continuidad, adaptabilidad, cuellos de botella no evidentes
Humana	Comportamiento bajo presión	Ambigüedad en roles, ausencia de personal clave, carga cognitiva elevada	Comportamiento real bajo estrés, dependencia de personas críticas
Normativa	Tensión regulatoria	Conflictos entre cumplimiento y operación, aplicación estricta de políticas	Rigideces normativas, vacíos regulatorios, impacto en resiliencia
Cognitiva	Calidad del conocimiento	Evaluación del dato, detección de sesgo, integridad del registro	Distorsiones epistemológicas, fiabilidad del dato para decisiones

Ninguna capa opera de forma aislada. Los experimentos más ricos son aquellos que revelan cómo una perturbación en una capa desencadena efectos en otras, revelando el verdadero grado de acoplamiento sistémico de la organización.

SECCIÓN 06

De la Resiliencia Pasiva a la Resiliencia Proactiva

El enfoque tradicional de resiliencia es inherentemente reactivo: depende de la materialización del incidente para activar los mecanismos de respuesta. Su limitación fundamental es que el aprendizaje siempre llega tarde — después del daño, después del impacto.

La propuesta adversarial introduce una resiliencia proactiva: la organización diseña y ejecuta escenarios de falla controlada como parte de su operación regular. No espera el evento adverso; lo simula, lo diseña y lo utiliza como herramienta de aprendizaje.

Dimensión	Resiliencia pasiva	Resiliencia proactiva
Origen del aprendizaje	Incidente real	Experimento diseñado
Activación	Reactiva al evento	Proactiva y planificada
Visibilidad del riesgo	Post-incidente	Pre-incidente
Cobertura	Dimensión afectada	Todas las capas del sistema
Frecuencia	Ocasional (cuando falla)	Continua (operación regular)
Resultado	Recuperación	Aprendizaje + mejora anticipada

Este enfoque se alinea con prácticas observadas en sectores de alta criticidad —aviación, medicina de emergencias, respuesta ante desastres— donde los simulacros permiten entrenar la respuesta antes de enfrentar situaciones reales. La diferencia es que el modelo adversarial organizacional institucionaliza la perturbación como mecanismo permanente de aprendizaje, no como ejercicio ocasional.

SECCIÓN 07

La Dimensión Epistemológica del Modelo

Un aporte central de esta propuesta es la incorporación explícita de la dimensión epistemológica como capa constitutiva del modelo, no como un añadido conceptual.

La experimentación adversarial genera valor solo si el conocimiento que produce es confiable. Si los eventos no se registran adecuadamente, si los datos están sesgados por incentivos organizacionales, o si los resultados se interpretan bajo marcos cognitivos distorsionados, las conclusiones del experimento serán incorrectas. La organización habrá introducido el caos sin aprender de él.

Esto conecta con la problemática del sesgo algorítmico y la gobernanza del dato: el sesgo no se origina únicamente en los modelos de inteligencia artificial, sino en la construcción misma del dato. Un experimento adversarial mal registrado alimentará modelos que aprenderán patrones incorrectos sobre el comportamiento del sistema. Por ello, la capa cognitiva del modelo requiere mecanismos específicos:

Integridad del registro: los eventos deben documentarse completamente, incluyendo los que revelan vulnerabilidades incómodas para la organización.
Trazabilidad de eventos: debe ser posible reconstruir la cadena causal del experimento con precisión suficiente para derivar aprendizajes válidos.
Reducción de sesgos en la interpretación: los resultados deben analizarse con marcos que cuestionen activamente las narrativas organizacionales dominantes.
Transparencia interna: los hallazgos deben circular dentro de la organización sin que los incentivos de reputación o desempeño los filtren o distorsionen.

«La resiliencia organizacional no solo requiere robustez técnica. Requiere claridad epistemológica: saber que lo que creemos saber sobre el sistema corresponde a lo que el sistema realmente es.»

SECCIÓN 08

Conclusiones

El Chaos Engineering representa un avance significativo en la gestión de resiliencia en sistemas tecnológicos complejos. Sin embargo, su verdadero potencial emerge al trasladar su lógica al ámbito organizacional completo.

La propuesta de un modelo adversarial organizacional de cinco capas permite abordar la resiliencia desde una perspectiva sistémica, integrando dimensiones tecnológicas, operativas, humanas, normativas y cognitivas. Este enfoque redefine la resiliencia como una capacidad proactiva, construida a través de ciclos continuos de experimentación, observación y ajuste, y no como un estado que se alcanza mediante el cumplimiento de controles predefinidos.

La incorporación de la dimensión epistemológica distingue este modelo de las aproximaciones puramente técnicas: la calidad del conocimiento generado por la experimentación adversarial es tan importante como la sofisticación de los experimentos mismos.

«En un entorno caracterizado por la incertidumbre, la complejidad y la adversidad creciente, la capacidad de diseñar y utilizar el caos de manera controlada puede convertirse en una de las competencias estratégicas más relevantes para las organizaciones del futuro.»

El desarrollo metodológico de este modelo —incluyendo protocolos de experimentación para cada capa, métricas de resiliencia sistémica y mecanismos de gobernanza del conocimiento generado— será abordado en publicaciones posteriores de esta línea de investigación.

REFERENCIAS

Referencias

Basiri, A., Behnam, N., de Rooij, R., Hochstein, L., Kosewski, L., Reynolds, J., & Rosenthal, C. (2016). Chaos Engineering. IEEE Software, 33(3), 35–41.

Nygard, M. T. (2018). Release It! Design and Deploy Production-Ready Software (2nd ed.). Pragmatic Bookshelf.

Perrow, C. (1984). Normal Accidents: Living with High-Risk Technologies. Basic Books.

Popper, K. (1959). The Logic of Scientific Discovery. Hutchinson.

Rosenthal, C., & Jones, N. (2020). Chaos Engineering: System Resiliency in Practice. O'Reilly Media.

Weick, K. E., & Sutcliffe, K. M. (2007). Managing the Unexpected: Resilient Performance in an Age of Uncertainty (2nd ed.). Jossey-Bass.

GLOSARIO

Glosario de Términos

Los siguientes términos constituyen el marco conceptual del presente trabajo, presentados en orden temático para facilitar su comprensión progresiva.

Chaos EngineeringDisciplina de ingeniería de resiliencia que consiste en introducir perturbaciones deliberadas y controladas en sistemas productivos para observar su comportamiento ante condiciones adversas, identificar vulnerabilidades y fortalecer la capacidad de respuesta antes de que ocurran fallos reales.

Ejército de Simios (Simian Army)Conjunto de herramientas desarrolladas por Netflix para implementar Chaos Engineering a escala, incluyendo Chaos Monkey (apaga instancias aleatoriamente), Latency Monkey (introduce latencia artificial) y Chaos Gorilla (simula fallos de zona completa).

Chaos MonkeyPrimera y más conocida herramienta del Simian Army de Netflix. Termina instancias de servidores de forma aleatoria en entornos productivos, forzando al sistema a demostrar que puede tolerar fallos individuales sin impacto al usuario final.

Sistema Socio-TécnicoConcepto que describe las organizaciones como sistemas donde los componentes tecnológicos y humanos están profundamente interconectados, y donde las fallas emergen de la interacción entre ambas dimensiones, no solo de una de ellas.

Modelo Adversarial OrganizacionalAmpliación conceptual del Chaos Engineering propuesta en este trabajo, que extiende la lógica de experimentación adversarial controlada hacia todas las dimensiones de la organización: tecnológica, operativa, humana, normativa y cognitiva.

Resiliencia ProactivaCapacidad organizacional de anticipar, diseñar y ejecutar escenarios de falla controlada como parte de la operación regular, en contraste con la resiliencia pasiva que solo se activa ante la ocurrencia de un evento adverso real.

Resiliencia PasivaEnfoque tradicional de resiliencia basado en la capacidad de resistir y recuperarse ante eventos adversos una vez que estos ocurren. Depende de la materialización del evento para activar mecanismos de respuesta.

Organizaciones de Alta Confiabilidad (HRO)Organizaciones que operan en entornos de alta complejidad y riesgo y han desarrollado capacidades para detectar, contener y aprender de fallos de forma continua, manteniendo vigilancia constante sobre señales débiles (Weick & Sutcliffe, 2007).

Teoría de Sistemas ComplejosMarco teórico que estudia sistemas altamente interconectados donde pequeñas perturbaciones pueden generar efectos desproporcionados. Perrow (1984) argumenta que en estos sistemas los fallos son fenómenos inherentes, no anomalías.

Fallo Normal (Normal Accident)Concepto de Perrow (1984) que describe los accidentes en sistemas complejos estrechamente acoplados como fenómenos inevitables, producto de la interacción entre componentes, no de errores individuales aislados.

Falsación (Principio de)Criterio epistemológico de Popper (1959) según el cual el conocimiento se construye intentando refutar hipótesis, no confirmándolas. El Chaos Engineering adopta esta lógica: busca las condiciones bajo las cuales el sistema falla, no las que demuestran que funciona.

Perturbación ControladaIntervención deliberada sobre un sistema con el propósito de observar su comportamiento bajo condiciones adversas, manteniendo mecanismos para contener el impacto y revertir el experimento si es necesario.

Degradación EleganteCapacidad de un sistema de reducir su funcionalidad de forma progresiva y controlada ante fallos, en lugar de colapsar abruptamente, manteniendo las funciones críticas activas mientras se recuperan las secundarias.

Cadena Causal de FalloSecuencia de eventos interrelacionados que conduce a un incidente. El Chaos Engineering permite revelar estas cadenas al introducir perturbaciones y observar cómo se propagan los efectos a través del sistema.

Capa TecnológicaPrimera dimensión del modelo adversarial organizacional, donde se aplican perturbaciones sobre infraestructura, aplicaciones y componentes digitales, siguiendo la lógica original del Chaos Engineering.

Capa OperativaSegunda dimensión del modelo, donde las perturbaciones se introducen en procesos críticos de negocio para evaluar continuidad y adaptabilidad ante restricciones o interrupciones.

Capa HumanaTercera dimensión del modelo, donde los escenarios adversariales incluyen ambigüedad en roles, ausencia de personal clave o incremento de carga cognitiva, revelando comportamientos reales bajo presión.

Capa NormativaCuarta dimensión del modelo, donde se analizan las tensiones entre cumplimiento regulatorio y operación, identificando si los marcos normativos facilitan o dificultan la resiliencia ante condiciones adversas.

Capa CognitivaQuinta dimensión del modelo, donde se evalúa la calidad del dato, la completitud del registro de incidentes y la presencia de sesgos en la interpretación de la realidad organizacional.

Señal DébilIndicador temprano, difuso o ambiguo de una falla o riesgo emergente. Las organizaciones de alta confiabilidad desarrollan capacidades específicas para detectar y amplificar estas señales antes de que se conviertan en incidentes.

Innovación Adversarial ContinuaProceso organizacional que institucionaliza la experimentación adversarial como parte del ciclo regular de operaciones, convirtiendo la generación de caos controlado en una competencia estratégica y fuente sistemática de aprendizaje.

Acoplamiento CríticoGrado de interdependencia entre componentes de un sistema tal que el fallo de uno afecta directamente a otros. Los sistemas altamente acoplados son más vulnerables a la propagación de fallos en cadena.

Epistemología del Dato (en resiliencia)Aplicación de la perspectiva epistemológica al análisis de los datos generados por experimentos adversariales, cuestionando si los registros reflejan fielmente los eventos ocurridos o están distorsionados por sesgos organizacionales o técnicos.

Aprendizaje Organizacional AdversarialProceso de construcción de conocimiento institucional derivado de la experimentación adversarial controlada, que permite actualizar la comprensión del riesgo a partir de evidencia generada intencionalmente, no solo de incidentes reales.

Autor / Redactor / Director

Guido Rosales

Apasionado por la Seguridad!!

See author's posts

Tags: adversarial, ciberseguridad, doctorado, innovacion

Del Chaos Engineering al Modelo Adversarial Organizacional