30/03/2026

El teatro del cumplimiento y la homeostasis artificial en la ciberseguridad

Guido Rosales 30/03/2026
Cumplimineto o seguridad real

El presente artículo analiza el fenómeno del compliance theater (teatro del cumplimiento) como una distorsión estructural en la gestión de la ciberseguridad organizacional.

El teatro del cumplimiento como impulsor de la homeostasis artificial
Documento de Trabajo · 2026

El teatro del cumplimiento como impulsor de la homeostasis artificial

Una lectura epistemológica y sistémica de la ilusión de seguridad en organizaciones reguladas

Compliance theater Homeostasis artificial Marco GAMO Sistemas complejos Ciberseguridad Regulación
GR
Guido E. Rosales Uriona
Doctorante · Línea: Innovación adversarial en sistemas complejos
Resumen

El presente artículo analiza el fenómeno del compliance theater como una distorsión estructural en la gestión de la ciberseguridad organizacional. Se argumenta que el cumplimiento formal de marcos regulatorios y estándares, lejos de garantizar una postura real de seguridad, puede generar una ilusión de estabilidad denominada homeostasis artificial. A partir del enfoque epistemológico GAMO y sustentado en la teoría de sistemas complejos y en conceptos organizacionales como el desacoplamiento institucional, se propone que las organizaciones optimizan su comportamiento hacia la validación externa antes que hacia la resiliencia interna. Se concluye que esta dinámica no solo oculta la exposición real al riesgo, sino que crea condiciones favorables para la operación adversarial dentro de las reglas del propio sistema.

Contenido
SECCIÓN 01

Introducción: cuando cumplir no es proteger

En la práctica organizacional contemporánea, el cumplimiento normativo se ha consolidado como el principal indicador de madurez en ciberseguridad. Auditorías aprobadas, controles documentados y certificaciones vigentes son frecuentemente interpretados como evidencia suficiente de una postura segura.

Sin embargo, esta interpretación contiene una premisa implícita problemática: que cumplir equivale a estar protegido.

La evidencia empírica sugiere lo contrario. Organizaciones altamente reguladas continúan siendo vulneradas, no por ausencia de controles, sino por la incapacidad de estos para capturar la dinámica real del sistema. En este contexto emerge el fenómeno del compliance theater: una condición en la cual el cumplimiento formal genera una percepción de seguridad que no corresponde con la exposición real al riesgo.

“El problema no es la ausencia de controles, sino la sobreconfianza que emerge cuando el control se convierte en representación.”

Este artículo propone que el compliance theater no es una anomalía, sino una consecuencia estructural de cómo se diseñan y evalúan los sistemas de control en entornos complejos.

SECCIÓN 02

Marco teórico: sistemas complejos, regulación y desacoplamiento

La teoría de sistemas complejos plantea que las organizaciones son sistemas adaptativos donde el comportamiento emerge de la interacción entre múltiples agentes y no de la suma de sus partes. Herbert Simon mostró que estos sistemas operan bajo racionalidad limitada y condiciones de incertidumbre estructural.

En paralelo, desde la teoría organizacional, Meyer y Rowan introducen el concepto de desacoplamiento, que describe la separación entre las estructuras formales y las prácticas reales dentro de una organización.

  • Controles formalmente implementados: pero operativamente irrelevantes frente a la dinámica del negocio.
  • Procesos documentados: que no reflejan la realidad operativa ni las tensiones del entorno.
  • Cumplimiento validado: que no implica efectividad contextual ni reducción real del riesgo.

El compliance theater emerge precisamente en este espacio de desacoplamiento, donde la seguridad formal y la seguridad efectiva dejan de coincidir.

SECCIÓN 03

Compliance theater: de control a representación

El compliance theater puede definirse como el proceso mediante el cual los controles de seguridad dejan de cumplir una función protectora y pasan a cumplir una función representativa. No se diseñan para proteger el sistema, sino para demostrar que el sistema está protegido.

Este cambio de propósito genera una optimización organizacional hacia la auditoría. La organización aprende a responder a lo que se mide, no a lo que la amenaza.

Este fenómeno puede analizarse a la luz de la ley de Goodhart: cuando una medida se convierte en objetivo, deja de ser una buena medida. Así, los indicadores de cumplimiento dejan de ser instrumentos de evaluación y se convierten en objetivos operativos. La seguridad se transforma en una narrativa validada, no en una condición real.

SECCIÓN 04

Homeostasis artificial: la estabilidad que oculta el riesgo

Como consecuencia del compliance theater emerge la homeostasis artificial. A diferencia de la homeostasis natural, propia de sistemas adaptativos que mantienen equilibrio mediante ajuste continuo, la homeostasis artificial es una estabilidad aparente, sostenida por mecanismos de validación formal.

  • Indicadores de normalidad constantes: que sugieren estabilidad sin capturar tensiones internas.
  • Ausencia aparente de incidentes críticos: que puede responder más a la invisibilización que a la resiliencia real.
  • Confianza elevada en controles existentes: que reduce la capacidad de cuestionar la propia exposición.

Sin embargo, esta estabilidad no responde a la dinámica del entorno, sino a la necesidad de mantener coherencia con las expectativas regulatorias. Desde la teoría de sistemas, esto implica un desacople entre percepción y realidad. El sistema no está en equilibrio. Está en simulación de equilibrio.

SECCIÓN 05

El rol del entorno regulatorio: incentivos y distorsión

El entorno regulatorio, aunque diseñado para fortalecer la seguridad, puede contribuir indirectamente al compliance theater. Cuando los sistemas de supervisión premian el cumplimiento formal y castigan la ocurrencia de incidentes, se genera un incentivo estructural para minimizar la visibilidad del riesgo, optimizar la presentación ante auditorías y reducir la exposición narrativa de fallas.

Esto produce una economía de la apariencia, donde la organización invierte más en parecer segura que en serlo. El efecto es una homeostasis artificial que no refleja madurez, sino adaptación al mecanismo de evaluación.

SECCIÓN 06

El adversario dentro del sistema

Uno de los efectos más críticos del compliance theater es la apertura de un espacio operativo para el adversario. En este contexto, el atacante no necesita vulnerar controles técnicos. Puede operar dentro de la lógica del sistema, aprovechando procesos legítimos, accesos válidos y comportamientos esperados.

El sistema, al estar diseñado para validar cumplimiento y no para cuestionar contexto, carece de mecanismos para detectar estas anomalías. Esto conecta con la idea de adversarialidad extendida: el adversario no rompe el sistema; se comporta como parte de él. Y al hacerlo, se vuelve indistinguible del funcionamiento normal.

SECCIÓN 07

Análisis epistemológico desde GAMO

El marco GAMO permite comprender el fenómeno no solo como un problema de gestión, sino como una distorsión del conocimiento, de los valores, de los métodos y de la propia naturaleza atribuida a la seguridad.

G
DIMENSIÓN GNOSEOLÓGICA
Ilusión de conocimiento
El compliance theater genera una ilusión de conocimiento. La organización cree conocer su nivel de seguridad, cuando en realidad solo conoce su nivel de cumplimiento formal.
→ Se confunde evidencia documental con comprensión real de la exposición al riesgo.
A
DIMENSIÓN AXIOLÓGICA
Desplazamiento de valores
Se prioriza el valor de cumplir sobre el valor de proteger. La seguridad pierde densidad ética y se transforma en un requisito administrativo.
→ La organización optimiza apariencia regulatoria antes que capacidad resiliente.
M
DIMENSIÓN METODOLÓGICA
Evaluación sin contexto
Los métodos de evaluación se centran en la existencia de controles y no en su efectividad contextual. Se mide estructura, no comportamiento emergente.
→ El sistema aprende a pasar auditorías, no necesariamente a resistir perturbaciones.
O
DIMENSIÓN ONTOLÓGICA
Seguridad como representación
La seguridad deja de ser una propiedad emergente del sistema y pasa a ser una construcción formal. Se convierte en algo que se declara, no en algo que se experimenta.
→ La estabilidad observable puede ser solo una forma sofisticada de simulación organizacional.
SECCIÓN 08

Discusión: implicaciones para la innovación en ciberseguridad

El compliance theater representa un obstáculo estructural para la innovación en ciberseguridad. No se puede innovar sobre una base que no refleja la realidad. Antes de introducir modelos de innovación adversarial, resiliencia o adaptación continua, es necesario desmantelar la ilusión de seguridad generada por el cumplimiento.

Esto implica replantear los modelos de evaluación, incorporar mecanismos de validación empírica y aceptar la exposición como parte del aprendizaje organizacional. En este contexto, marcos como el DSV adquieren relevancia como mecanismos para reintroducir coherencia entre valores, comportamiento y diseño.

“Una organización no es segura porque cumple. Es segura cuando entiende por qué podría dejar de serlo.”
SECCIÓN 09

Conclusiones

  • Conclusión 1: el compliance theater no es un problema de incumplimiento, sino de sobreconfianza estructurada.
  • Conclusión 2: la homeostasis artificial no estabiliza el sistema, sino que oculta su fragilidad hasta que esta se manifiesta de forma crítica.
  • Conclusión 3: en sistemas complejos y adversariales, la seguridad no puede ser reducida a cumplimiento; debe entenderse como una propiedad emergente, dinámica y profundamente ligada a los valores y comportamientos organizacionales.
REFERENCIAS

Referencias

Goodhart, C. A. E. (1975). Problems of Monetary Management: The U.K. Experience. Reserve Bank of Australia.

Meyer, J. W., & Rowan, B. (1977). Institutionalized Organizations: Formal Structure as Myth and Ceremony. American Journal of Sociology, 83(2), 340–363.

Simon, H. A. (1962). The Architecture of Complexity. Proceedings of the American Philosophical Society, 106(6), 467–482.

Guido E. Rosales Uriona · Documento de Trabajo · 2026

Autor / Redactor / Director

Guido Rosales

Apasionado por la Seguridad!!

See author's posts

Más historias

DSV - incorporación de la seguridad en el ADN organizacional

Diseño Sensible al Valor como método para la incorporación de la seguridad en el ADN organizacional

Guido Rosales 30/03/2026
Diseño Sensible al Valor (DSV) como método fundacional para la incorporación de la seguridad en el ADN organizacional

Ingeniería Social:Un Mecanismo revelador de la Fragilidad Humana en Ciberseguridad

Guido Rosales 30/03/2026
La ciberseguridad empresarial como sistema complejo

La ciberseguridad empresarial como sistema complejo

Guido Rosales 30/03/2026