El costo oculto de lo 'suficientemente bueno'
Toda página de un proveedor SaaS dice las mismas tres palabras: en la nube, seguro, escalable. Nada de eso le dice qué hay corriendo por debajo. Y esa brecha entre el lenguaje de marketing y la realidad de ingeniería es donde los clientes salen quemados — normalmente 18 meses después de firmar, no antes.
Toda página de un proveedor SaaS dice las mismas tres palabras: en la nube, seguro, escalable. Nada de eso le dice qué hay corriendo por debajo. Y en un mercado donde cambiar de sistema cuesta caro y la debida diligencia es rara, esa brecha entre el lenguaje de marketing y la realidad de ingeniería es donde los clientes salen quemados — normalmente 18 meses después de firmar, no antes.
Esto no es un ataque a ningún producto en particular. Es un patrón que aparece una y otra vez cuando uno realmente mira debajo del capó del software comercial que se vende a PYMES y medianas empresas en LATAM y más allá: un front-end perfectamente usable montado sobre una arquitectura que nunca fue construida para sobrevivir el crecimiento de la propia empresa, y mucho menos para proteger los datos de un cliente a escala.
La señal no está en la interfaz. Está en la plomería.
Una pantalla de inicio de sesión pulida no dice nada sobre cómo funciona realmente una plataforma. Las señales verdaderas están debajo, y son consistentes:
Proliferación de subdominios en lugar de multi-tenant real. Si cada cliente nuevo recibe lo que en la práctica es una instancia separada — subdominio separado, despliegue separado, ciclo de parches separado — el proveedor no está operando una plataforma: está operando cientos de copias casi idénticas de una. Un parche de seguridad o una función nueva no se propaga de forma atómica; hay que empujarla instancia por instancia, lo que significa que algunos clientes están corriendo los parches del año pasado sin saberlo. (Explicamos la diferencia en detalle en ¿qué es un sistema multi-tenant?)
Andamiaje heredado que nadie volvió a revisar. Los frameworks envejecen; eso es normal. Lo que no es normal es que los flujos de autenticación y recuperación de contraseña de un proveedor luzcan exactamente como el scaffolding que un framework generaba por defecto hace una década — porque eso suele indicar que nadie ha tocado el manejo de sesiones ni la seguridad de credenciales desde que la aplicación se construyó. La autenticación es el único lugar del código que usted no quiere congelado en 2015.
Sin una capa de API real. Una plataforma que dice "integrarse con todo" pero canaliza cada interacción a través de páginas renderizadas en el servidor no es API-first — es API-adyacente. Cada integración se convierte en un puente artesanal hecho a mano en lugar de un contrato estable. Funciona hasta que usted necesita la quinta integración, y entonces se vuelve una pesadilla de mantenimiento que se le traslada a usted en forma de caídas y tickets de soporte demorados.
Cero certificaciones de cumplimiento, en ningún lado. Ni en el sitio, ni en el centro de ayuda, ni en una página de confianza. Para software que toca facturación, contabilidad, planilla o datos bancarios, la ausencia de SOC 2 o ISO 27001 no es una omisión menor — es una señal directa de que la seguridad no se diseñó desde el inicio: se atornilló después, si algún cliente insistió lo suficiente.
Por qué "funciona bien" no es lo mismo que "es seguro"
La verdad incómoda es que las arquitecturas mediocres suelen funcionar bien — hasta que dejan de hacerlo. Una arquitectura monolítica de instancia-por-cliente puede correr el punto de venta de un negocio pequeño durante años sin incidentes. El riesgo no está en la operación diaria. Está en los bordes:
- Una brecha en la instancia de un cliente no queda contenida como lo estaría en un diseño multi-tenant correctamente aislado — porque el aislamiento nunca se arquitectó: se asumió.
- Escalar bajo carga expone las costuras. Los sistemas construidos como cientos de despliegues pequeños empiezan a ceder cuando el crecimiento se acelera, y el arreglo rara vez es elegante — es una caída en plena temporada alta.
- Las auditorías se vuelven imposibles de pasar. Si los clientes, bancos o reguladores de su empresa piden algún día un reporte SOC 2 o una descripción de los controles de aislamiento de datos, "nunca hemos tenido un incidente" no es una respuesta. Es un hueco que aparece en la debida diligencia justo cuando la relación con el proveedor necesita verse sólida.
- El costo de cambiar de sistema está oculto hasta que intenta irse. El software sin API real y sin una ruta limpia de exportación de datos amarra a los clientes — no con una cláusula del contrato, sino con la pura dificultad de sacar sus propios datos de forma íntegra.
El patrón detrás de todo esto: el riesgo es invisible hasta el momento en que deja de serlo, y para entonces es problema del cliente, no del proveedor.
Lo que los compradores deberían preguntar
La mayoría de las conversaciones de compra se detienen en el precio y la lista de funciones. Una lista corta de preguntas de arquitectura dice más que ambas:
- "¿Esto es multi-tenant real, o una instancia por cliente?" Pregunte específicamente cómo llega una actualización de la plataforma a todos los clientes — ¿al instante, o por tandas?
- "¿Qué certificaciones de cumplimiento tienen, y puedo ver el reporte?" No "nos tomamos la seguridad en serio" — un certificado SOC 2 Tipo II o ISO 27001 real, con un reporte que se pueda leer.
- "Muéstrenme su documentación de API." Si no existe públicamente, lo más probable es que tampoco exista internamente en ninguna forma usable.
- "¿Cuál es su cadencia de parches y actualizaciones, y cómo sé que estoy al día?" Una respuesta vaga aquí es, en sí misma, la respuesta.
- "Si mañana necesitáramos exportar todos nuestros datos, ¿cómo sería?" Observe si titubean.
El costo real de lo "gratis"
El software barato o de nivel gratuito no es peligroso por ser barato. Es peligroso porque el precio suele reflejar — con precisión — cuánta disciplina de ingeniería se invirtió en las partes que el cliente no puede ver. Una plataforma construida API-first, sobre una arquitectura multi-tenant genuina, con cumplimiento incorporado desde el día uno, cuesta más construirla y más operarla. Ese costo no desaparece cuando un proveedor se lo salta; simplemente se difiere hacia el cliente, convertido en riesgo, en el peor momento posible. (Sobre esta disyuntiva escribimos también en SaaS vs. on-premise en LATAM.)
Para cualquier empresa que corre su facturación, inventario, planilla o contabilidad sobre una plataforma SaaS, la arquitectura de abajo no es un detalle técnico. Es el producto real que le están vendiendo. Vale la pena preguntar por ella antes de firmar el contrato — no después de la auditoría que falla, la brecha que se propaga, o la migración que resulta mucho más difícil de lo que "todo está en la nube" jamás sugirió. (Nuestra postura al respecto está en seguridad de P4 Software: SOC 2 Tipo II e ISO 27001, con la arquitectura a la vista.)