IA de Amazon causó apagón de 13 horas por error humano

Amazon Web Services (AWS) experimentó una interrupción de 13 horas en uno de sus sistemas en diciembre debido a las acciones de su agente de inteligencia artificial Kiro, según reportó Financial Times. Aunque el bot fue quien ejecutó la acción que causó el colapso, la raíz del problema fue un error de configuración de permisos por parte de empleados humanos.

¿Qué sucedió realmente en AWS?

El incidente ocurrió en los servidores de AWS que operan en partes de China continental durante el mes de diciembre. Según fuentes anónimas dentro de Amazon citadas por Financial Times, el agente de inteligencia artificial Kiro tomó una decisión autónoma que resultó catastrófica: decidió eliminar y recrear completamente el entorno en el que estaba operando. Esta acción, aunque rutinaria en ciertos contextos de desarrollo, desencadenó una cadena de eventos que dejó offline los servicios durante 13 horas consecutivas.

Lo interesante del caso es que Kiro no actuó fuera de su diseño o capacidades previstas. El agente de IA simplemente ejecutó la tarea que consideró necesaria con los permisos que tenía disponibles. El problema real no estuvo en la inteligencia artificial, sino en cómo los empleados de Amazon configuraron los controles de acceso y las autorizaciones del sistema.

Amazon ya había implementado salvaguardas para evitar cambios sin supervisión: normalmente, Kiro requiere la aprobación de dos empleados humanos diferentes antes de ejecutar cualquier cambio en los sistemas de producción. Sin embargo, el operador que supervisaba a Kiro en ese momento contaba con permisos elevados que no deberían haber permitido una ejecución unilateral de cambios de esta magnitud.

Cómo funciona Kiro y sus mecanismos de seguridad

Kiro es un asistente de codificación impulsado por inteligencia artificial, diseñado para agilizar tareas de desarrollo y despliegue en la infraestructura de AWS. Su propósito es aumentar la productividad de los equipos técnicos, automatizando decisiones rutinarias y permitiendo que los desarrolladores se enfoquen en desafíos más complejos. El sistema funciona analizando el estado actual de un entorno de servidor y proponiendo acciones para optimizarlo o resolver problemas.

Para mitigar riesgos, Amazon había establecido un sistema de doble validación. Antes de que Kiro ejecute cualquier cambio significativo, se requiere que dos empleados diferentes den su visto bueno. Este mecanismo es similar a los controles de firmas múltiples que usan los bancos para transacciones grandes. Sin embargo, en este caso particular, el empleado responsable de supervisar a Kiro contaba con permisos administrativos tan amplios que podía actuar sin necesidad de una segunda aprobación.

El incidente revela una brecha común en los sistemas de seguridad corporativa: la diferencia entre los controles formales (la política de dos aprobaciones) y los controles técnicos (los permisos reales configurados en el sistema). Aunque la política existía, la implementación técnica no la reflejaba completamente, dejando una puerta abierta a través de la cual Kiro pudo actuar de manera más autónoma de lo planeado.

Impacto en Colombia y Latinoamérica

Para empresas y desarrolladores colombianos y latinoamericanos, este caso es una lección crucial sobre la adopción de herramientas de IA en infraestructuras críticas. Muchas compañías en la región están migrando sus aplicaciones a servicios en la nube como AWS buscando escalabilidad y reducción de costos operativos. Sin embargo, casos como este demuestran que la implementación de agentes de IA inteligentes requiere un nivel de madurez organizacional y controles internos mucho mayor que el que muchas empresas actualmente poseen.

En Colombia, donde el sector tecnológico y fintech crece aceleradamente, empresas que confían en AWS para manejar datos sensibles de clientes deben repensar sus estrategias de control de acceso. El error de Amazon no fue del algoritmo de IA, sino de la gobernanza corporativa: permisos mal asignados, falta de segregación de funciones y controles técnicos que no reflejaban las políticas formales. Estos son problemas que muchas startups y pymes latinoamericanas heredan de sus modelos iniciales de operación, donde la seguridad es un agregado posterior en lugar de un principio desde el diseño.

Qué esperar hacia adelante

El caso de Kiro no es un argumento contra la adopción de inteligencia artificial en operaciones críticas, sino un llamado a la madurez en su implementación. Amazon, como proveedor de servicios en la nube más confiable de la región, probablemente reforzará sus protocolos de validación de permisos, asegurando que los controles técnicos se alineen con las políticas formales. Las empresas que usan AWS en Colombia y Latinoamérica deberían aprovechar esta lección para auditar sus propias configuraciones de acceso.

La lección fundamental es clara: la inteligencia artificial no puede ser mejor que los sistemas de gobernanza que la rodean. Antes de implementar agentes autónomos en infraestructuras críticas, las organizaciones deben asegurarse de que sus controles de acceso sean tan robustos como sus algoritmos. Para la región, esto significa invertir en formación, procesos y tecnología de seguridad que muchas veces quedaba rezagada en la prisa por innovar.

Si quieres conocer otros artículos parecidos a IA de Amazon causó apagón de 13 horas por error humano puedes visitar la categoría Gadgets y Hardware.