07/04/2026

Del Human-in-the-Loop al Human-out-of-the-Loop: cuestion de sobrevivencia actual

Guido Rosales 07/04/2026

El presente artículo propone una reinterpretación del rol humano en sistemas de ciberseguridad, planteando una transición hacia modelos human-on-the-loop y human-out-of-the-loop en capas operativas específicas. A partir del marco epistemológico GAMO —Gnoseológico, Axiológico, Metodológico y Ontológico— y la teoría de sistemas complejos adaptativos, se argumenta que la defensa efectiva requiere desplazar al humano del ciclo de decisión en tiempo real, reposicionándolo en niveles estratégicos y de diseño. Se propone además una dimensión de evaluación denominada “grado de autonomía operativa de seguridad”, como elemento clave en modelos de madurez contemporáneos.

5 minutos para fallar

Reconfiguración del control en ciberseguridad bajo entornos de alta adversarialidad y sistemas complejos adaptativos
Del Human-in-the-Loop al Human-out-of-the-Loop
Documento de Trabajo · 2026

Del Human-in-the-Loop al Human-out-of-the-Loop: reconfiguración del control en ciberseguridad bajo entornos de alta adversarialidad

Cuando la velocidad del ataque supera el tiempo cognitivo humano, el problema ya no es optimizar la reacción: es rediseñar quién decide, cuándo decide y desde qué capa del sistema.

human-in-the-loop human-out-of-the-loop ciberseguridad GAMO sistemas complejos innovación adversarial
GR
Guido E. Rosales Uriona (Doctorante) Línea: Innovación adversarial en sistemas complejos · UCB San Pablo · 2026
Resumen

La aceleración de los ataques cibernéticos automatizados ha ampliado la brecha entre la velocidad del adversario y la capacidad de respuesta de los equipos humanos de seguridad. En escenarios donde el daño crítico puede ejecutarse en segundos, el paradigma human-in-the-loop deja de operar como garantía de control y empieza a convertirse en una fuente de latencia estructural. El presente artículo propone una reinterpretación del rol humano en la defensa digital, planteando una transición selectiva hacia modelos human-on-the-loop y human-out-of-the-loop en las capas operativas de alta velocidad. A partir del marco GAMO —gnoseológico, axiológico, metodológico y ontológico— y de la teoría de sistemas complejos adaptativos, se argumenta que la defensa contemporánea exige desplazar al humano del instante de decisión táctica, sin expulsarlo del sistema. Su función se reubica en el diseño de reglas, la supervisión del comportamiento automatizado, la gobernanza y la mejora continua. Como aporte, se propone el grado de autonomía operativa de seguridad como una dimensión evaluable dentro de modelos de madurez de ciberseguridad orientados a adversarialidad dinámica.

autonomía operativa latencia defensiva respuesta automatizada gobernanza madurez adaptativa
Contenido
SECCIÓN 01

Introducción

Los modelos tradicionales de ciberseguridad han sido construidos sobre una premisa implícita: la intervención humana dentro del ciclo de decisión aporta control, criterio y contención. Esta premisa ha sido razonable mientras la velocidad del evento ha permanecido dentro de márgenes compatibles con el tiempo cognitivo humano. Sin embargo, la automatización ofensiva, la orquestación algorítmica y la capacidad de explotación en segundos han modificado radicalmente ese equilibrio.

En este nuevo escenario, la defensa enfrenta una contradicción estructural. Cuanto más intenta mantener al humano en el instante operativo, más introduce latencia. La reacción humana, antes signo de prudencia, puede convertirse en un cuello de botella. El problema ya no consiste únicamente en mejorar la detección, sino en rediseñar la arquitectura de decisión.

«En ciberseguridad de alta velocidad, el humano no desaparece del sistema, pero debe salir del momento.»

Este trabajo examina esa transición desde el human-in-the-loop hacia formas selectivas de human-on-the-loop y human-out-of-the-loop. El objetivo no es exaltar la automatización como dogma, sino identificar en qué capas la permanencia del humano deja de ser una garantía y pasa a ser una vulnerabilidad temporal.

SECCIÓN 02

Del control humano directo a la supervisión estratégica

El concepto human-in-the-loop describe sistemas en los cuales la decisión operativa requiere intervención humana antes de ejecutarse. En contextos de baja velocidad o alta irreversibilidad, esta lógica sigue siendo válida. No obstante, en incidentes que evolucionan en segundos —como mitigación de DDoS, bloqueo dinámico, respuesta automática a comportamiento anómalo o contención temprana— esa misma estructura se vuelve insuficiente.

La evolución de otros sectores de alta criticidad ilustra bien esta transición. En aviación, el piloto ya no corrige manualmente cada microvariación del vuelo; diseña, supervisa e interviene cuando el sistema sale de parámetros. En mercados algorítmicos ocurre algo similar: el humano define reglas, límites y prioridades, pero no ejecuta la microdecisión en tiempo real. La ciberseguridad avanza hacia una lógica análoga.

  • El humano en el ciclo es eficaz cuando la velocidad del evento permite deliberación sin degradar la respuesta.
  • El humano sobre el ciclo resulta más adecuado cuando el sistema puede actuar primero y el operador conserva capacidad de supervisión y corrección.
  • El humano fuera del ciclo se vuelve necesario cuando el tiempo de impacto es menor que el tiempo mínimo de intervención humana.

El desplazamiento no implica una sustitución antropológica del decisor, sino una redistribución de funciones. El ser humano deja de ser el ejecutor inmediato y se convierte en arquitecto del comportamiento defensivo.

SECCIÓN 03

Continuo de intervención humana

La transición entre modelos no debe entenderse como una disyuntiva binaria. Entre el control manual total y la autonomía plena existe un continuo de configuraciones posibles. Este continuo permite adaptar el grado de intervención humana a la velocidad del evento, a la reversibilidad de la acción y al impacto sistémico de la decisión.

Modelo Caracterización operativa Ventaja dominante Riesgo principal
Human-in-the-loop La acción requiere autorización humana previa. El sistema detecta o recomienda, pero no ejecuta por sí solo. Mayor control deliberativo y trazabilidad decisional directa. Latencia excesiva frente a eventos de alta velocidad.
Human-on-the-loop El sistema ejecuta dentro de parámetros definidos y el humano supervisa, valida excepciones o redefine reglas. Equilibrio entre velocidad operativa y gobernanza. Dependencia de una buena configuración y supervisión activa.
Human-out-of-the-loop El sistema detecta, decide y responde de forma autónoma en tiempo real, reservando al humano para análisis posterior y rediseño. Máxima velocidad y consistencia táctica en entornos dinámicos. Riesgo de automatizar errores o generar opacidad si la gobernanza es débil.

La decisión sobre dónde ubicar al humano debe obedecer, al menos, a tres criterios. Primero, la velocidad del evento: si el daño se materializa antes de la reacción humana, el ciclo manual carece de sentido operativo. Segundo, la reversibilidad: acciones reversibles toleran mayor automatización que decisiones irreversibles. Tercero, el impacto sistémico: mientras más alto sea el efecto sobre el negocio, mayor debe ser la calidad de la gobernanza humana, aunque no necesariamente en tiempo real.

SECCIÓN 04

Análisis epistemológico GAMO

El desplazamiento del humano fuera del instante operativo no es solo un cambio tecnológico. También es una transformación en la manera de conocer, valorar, estudiar y comprender la defensa digital. El marco GAMO permite integrar estas cuatro dimensiones.

G
DIMENSIÓN GNOSEOLÓGICA
¿Qué conocimiento produce?
La transición cuestiona la idea de que primero se comprende y luego se actúa. En entornos de alta velocidad, la acción automatizada precede al conocimiento completo y obliga a depender de modelos anticipatorios, reglas previas y aprendizaje de patrones.
→ La defensa deja de depender solo de evidencia retrospectiva y pasa a apoyarse en conocimiento preconfigurado y predictivo.
A
DIMENSIÓN AXIOLÓGICA
¿Qué valores compromete?
La automatización introduce tensiones entre control, confianza, responsabilidad y seguridad. Delegar decisiones en sistemas no humanos puede parecer riesgoso, pero mantener intervención humana ineficaz también lo es.
→ El valor ético relevante no es solo que un humano participe, sino que la respuesta sea proporcional, trazable y realmente protectora.
M
DIMENSIÓN METODOLÓGICA
¿Cómo se estudia o aplica?
La metodología defensiva debe desplazarse de esquemas puramente reactivos hacia diseños por capas, reglas automatizadas, simulación, pruebas continuas y monitoreo de efectividad. La pregunta ya no es solo cómo responder, sino cómo preconfigurar la respuesta.
→ El método adecuado es adaptativo, experimental y orientado a reducir latencia sin perder gobierno.
O
DIMENSIÓN ONTOLÓGICA
¿Qué tipo de fenómeno es?
La ciberdefensa ya no puede entenderse como un conjunto estático de controles, sino como un sistema dinámico de agentes, reglas y capacidades acopladas a un adversario igualmente adaptativo. El control no es una acción puntual, sino una propiedad emergente del sistema.
→ Ontológicamente, la defensa es un sistema complejo adaptativo y no un simple procedimiento secuencial de revisión humana.
SECCIÓN 05

Propuesta de grado de autonomía operativa de seguridad

Como aporte conceptual, se propone el grado de autonomía operativa de seguridad como dimensión susceptible de incorporarse a modelos de madurez. Esta dimensión evalúa en qué medida una organización ha logrado desplazar decisiones operativas de alta velocidad hacia sistemas automatizados, manteniendo al humano en funciones de configuración, supervisión, auditoría y mejora.

Nivel Descripción Rol del humano Condición dominante
Nivel 0 Operación manual sin automatización significativa. Decide y ejecuta casi todo. Alta dependencia de reacción humana.
Nivel 1 Automatización asistida con herramientas de apoyo y validación constante. Aprueba decisiones recomendadas por el sistema. Baja velocidad con apoyo instrumental.
Nivel 2 Automatización parcial en tareas específicas y repetitivas. Supervisa ejecución parcial y atiende excepciones. Coexistencia de control humano y respuesta automática.
Nivel 3 Automatización supervisada con intervención humana excepcional. Define umbrales, supervisa y corrige desvíos. Predominio de human-on-the-loop.
Nivel 4 Autonomía adaptativa en tiempo real basada en reglas, contexto y aprendizaje. Arquitecto, auditor y rediseñador del sistema. Predominio de human-out-of-the-loop en capa operativa.

La utilidad de esta dimensión es doble. Por un lado, permite medir la brecha entre la capacidad defensiva y la velocidad del atacante. Por otro, introduce un criterio más realista de madurez: no basta con tener controles; importa si esos controles pueden actuar antes de que el daño entre en fase irreversible. El chiste cruel del atacante es que no te da tiempo ni para el café. Por eso la arquitectura importa más que la heroicidad del analista.

SECCIÓN 06

Discusión

La propuesta no equivale a una defensa ciega de la autonomía algorítmica. Existen riesgos asociados: sesgo de automatización, opacidad de decisiones, dependencia excesiva del proveedor tecnológico y dificultad de explicar acciones autónomas en entornos regulados. Estas limitaciones obligan a que el desplazamiento del humano no se haga de forma ingenua, sino bajo marcos robustos de gobierno, trazabilidad y revisión.

Sin embargo, el problema inverso también debe reconocerse. Mantener intervención humana donde ya es operacionalmente inviable produce una ilusión de control. Ese sesgo organizacional se parece mucho a lo que la teoría de sistemas denomina homeostasis aparente: el sistema parece bajo control, pero solo porque todavía no ha sido sometido a una velocidad para la cual fue mal diseñado.

«No toda automatización es madurez; pero aferrarse al control manual cuando el tiempo ya no alcanza tampoco es prudencia: es rezago estructural.»

En consecuencia, la discusión central no es si la IA o la automatización deben participar, sino dónde, bajo qué límites, con qué gobernanza y con qué capacidad de auditoría. El debate correcto ya no es hombre versus máquina, sino sistema mal diseñado versus sistema capaz de responder a la velocidad del riesgo.

SECCIÓN 07

Conclusiones

01El paradigma human-in-the-loop pierde eficacia en capas operativas donde la velocidad del ataque supera el tiempo cognitivo y decisional humano.
02La transición hacia human-on-the-loop y human-out-of-the-loop no elimina al humano, sino que lo reposiciona en funciones de diseño, supervisión, gobernanza y mejora continua.
03El marco GAMO permite demostrar que este cambio no es solo técnico, sino también gnoseológico, axiológico, metodológico y ontológico.
04El grado de autonomía operativa de seguridad puede incorporarse como dimensión de madurez para evaluar la verdadera capacidad de respuesta frente a adversarialidad dinámica.
05En ciberseguridad contemporánea, el valor del humano ya no reside principalmente en estar dentro del instante operativo, sino en construir sistemas que puedan defender antes de que él llegue.
GLOSARIO

Términos clave del artículo

Human-in-the-loop
Modelo donde la decisión operativa requiere participación humana antes de ejecutarse.
Human-on-the-loop
Modelo donde el sistema actúa y el humano supervisa, corrige excepciones o redefine reglas.
Human-out-of-the-loop
Modelo donde el sistema detecta, decide y responde de forma autónoma en tiempo real.
Latencia defensiva
Tiempo que transcurre entre la detección del evento y la ejecución efectiva de la respuesta.
Autonomía operativa
Capacidad del sistema para ejecutar respuestas defensivas sin intervención humana inmediata.
GAMO
Marco de análisis integrado por dimensiones gnoseológica, axiológica, metodológica y ontológica.
Sistema complejo adaptativo
Sistema compuesto por múltiples agentes interdependientes cuyo comportamiento cambia y emerge dinámicamente.
Sesgo de automatización
Tendencia a confiar excesivamente en la recomendación o acción del sistema automatizado.
REFERENCIAS

Referencias

Holland, J. H. (1992). Adaptation in natural and artificial systems. MIT Press.

Parasuraman, R., Sheridan, T. B., & Wickens, C. D. (2000). A model for types and levels of human interaction with automation. IEEE Transactions on Systems, Man, and Cybernetics - Part A, 30(3), 286–297.

Sheridan, T. B. (2006). Supervisory control and the coming of age of information technology. Annual Reviews in Control, 30(1), 3–18.

Weick, K. E., & Sutcliffe, K. M. (2015). Managing the unexpected: Sustained performance in a complex world. Wiley.

Woods, D. D., & Hollnagel, E. (2006). Joint cognitive systems: Patterns in cognitive systems engineering. CRC Press.

Zuboff, S. (2019). The age of surveillance capitalism. PublicAffairs.

Guido E. Rosales Uriona (Doctorante) · Doctorado en Innovación y Emprendimiento · UCB San Pablo · 2026

Línea de investigación: Innovación adversarial en sistemas complejos

Autor / Redactor / Director

Guido Rosales

Apasionado por la Seguridad!!

See author's posts

Más historias

limitavciones IA

Limitaciones epistemológicas de modelos de inteligencia artificial

Guido Rosales 07/04/2026
organizaciones

Organizaciones como sistemas complejos adversariales

Guido Rosales 07/04/2026
Nodos y fractales

Representación de Sistemas Complejos mediante Grafos y Análisis Fractal

Guido Rosales 07/04/2026