Por qué tus despliegues siguen dando miedo aunque tengas CI/CD
Qué revisar cuando existe un pipeline pero los releases siguen dependiendo de pasos manuales, rollback incierto y baja confianza operativa.
title: "Por qué tus despliegues siguen dando miedo aunque tengas CI/CD" date: "2026-06-17" brand: "AstralDeploy" content_type: "blog" language: "es" slug: "por-que-tus-despliegues-siguen-dando-miedo-aunque-tengas-cicd" tags:
- cicd
- devops
- reliability
- platform-engineering draft: true
Por qué tus despliegues siguen dando miedo aunque tengas CI/CD
El equipo ya tiene GitHub Actions, GitLab CI, Jenkins, CodePipeline o una mezcla de varias herramientas. El pipeline compila. Los tests corren. Hay una tarea que despliega. Sobre el papel, el proceso parece razonable.
Pero llega un release importante y vuelve la tensión: alguien valida cosas fuera del pipeline, otra persona revisa la consola de AWS, se espera a una franja horaria “segura”, el rollback no está del todo claro y nadie quiere tocar una migración de base de datos al final del día.
Ese miedo no significa que el equipo sea malo ni que la herramienta de CI/CD esté mal elegida. Suele apuntar a algo más incómodo: se ha automatizado una parte del camino, pero todavía no se ha diseñado un proceso de despliegue en el que el equipo confíe.
La diferencia importa. CI/CD no va solo de mover código de un repositorio a producción. Va de saber qué se despliega, cómo se ha validado, qué señales se van a mirar y qué opciones hay si el cambio sale mal. El objetivo no es eliminar todo el riesgo —eso no existe en producción—, sino hacerlo más pequeño, visible y manejable.
Un pipeline verde no responde a todas las preguntas
Un pipeline que pasa puede dar una sensación falsa de seguridad si deja fuera las preguntas operativas importantes:
- ¿Qué versión exacta está en cada entorno?
- ¿Qué se ha probado antes de producción?
- ¿Qué configuración cambia junto con el código?
- ¿Quién aprueba el paso a producción y con qué criterio?
- ¿Qué señales indican que el despliegue está funcionando bien?
- ¿Qué se hace si hay que volver atrás o avanzar con una corrección?
El marco AWS Well-Architected recomienda usar sistemas de build y despliegue, automatizar integración y despliegue, probar cambios y planificar qué ocurre ante cambios fallidos. La automatización ayuda, pero tiene que estar conectada con validación, observabilidad y capacidad de recuperación.
Cuando el pipeline solo ejecuta comandos, pero las decisiones relevantes viven fuera de él, el release sigue dependiendo demasiado de coordinación humana y memoria tribal.
Los pasos manuales invisibles también son parte del sistema
Uno de los primeros sitios donde mirar es todo lo que ocurre alrededor del pipeline.
Aprobaciones por chat. Cambios manuales en consola. Variables que se actualizan a mano. Validaciones que solo conoce una persona. Comandos copiados desde un documento antiguo. Una comprobación en staging que nadie sabe explicar del todo. Una decisión de negocio que llega tarde y bloquea producción.
No toda intervención manual es mala. Hay aprobaciones que tienen sentido por riesgo, cumplimiento, coordinación comercial o impacto en clientes. El problema aparece cuando esas aprobaciones sustituyen controles claros o cuando el equipo no distingue entre una pausa deliberada y una fricción heredada.
Una revisión útil empieza por mapear el flujo real, no el ideal. Desde el merge hasta producción: qué ocurre, quién interviene, qué herramientas se usan, qué comprobaciones se hacen y qué pasos dependen de una persona concreta. Lo que no está escrito ni modelado en el pipeline también forma parte del sistema de release.
Staging tranquiliza poco si no se parece donde importa
Muchos equipos tienen dev, staging y producción. Esos nombres, por sí solos, no garantizan que los entornos sean comparables.
Staging puede tener menos tráfico, menos datos, permisos distintos, otra configuración, integraciones desactivadas o infraestructura creada de forma manual. A veces basta para validar una pantalla. Otras veces no sirve para detectar el tipo de fallo que aparecerá en producción.
Staging no tiene que copiar producción en escala. Para muchos equipos sería caro e innecesario. Pero sí debería ser representativo en los comportamientos críticos: configuración, permisos, dependencias principales, versiones de infraestructura, rutas de despliegue y checks que afectan al release.
Aquí la infraestructura como código ayuda, pero no conviene convertir el problema en un debate de Terraform o GitOps. La pregunta útil es más sencilla: si algo pasa en staging, ¿aumenta de verdad la confianza sobre lo que ocurrirá en producción?
Tests y gates: cuando el verde no convence
Otro síntoma habitual: el pipeline pasa, pero nadie se fía.
Puede ocurrir por tests flaky que fallan sin motivo claro, suites lentas que el equipo evita ejecutar, cobertura que no valida los caminos críticos, checks que se ignoran por costumbre o aprobaciones que se conceden por cansancio. El resultado es un pipeline que añade ceremonia, pero no criterio.
La revisión no debería empezar por “más tests” en abstracto, sino por una pregunta concreta: ¿qué fallos reales queremos detectar antes de producción?
En un servicio desplegado en AWS, eso puede incluir código de aplicación, configuración, infraestructura, permisos, migraciones, compatibilidad entre versiones, salud del contenedor, arranque de la aplicación o checks mínimos de seguridad. No todo tiene que bloquear el release, pero el equipo debería saber qué controles son informativos y cuáles son gates reales.
Un gate útil reduce incertidumbre. Un gate que nadie entiende solo desplaza el miedo unos minutos más tarde.
El rollback no puede ser una frase genérica
El miedo aparece con fuerza cuando el equipo no ve una salida clara.
“Si algo falla, hacemos rollback” suena bien hasta que alguien pregunta cómo. ¿Hay artefactos versionados? ¿Las releases están etiquetadas? ¿La configuración también vuelve atrás? ¿La base de datos permite ejecutar la versión anterior? ¿Qué pasa con tareas asíncronas, colas, eventos o cambios de protocolo?
AWS recomienda planificar los cambios fallidos y usar estrategias de despliegue seguras cuando encajan con la arquitectura: rolling deployments, canary, blue/green, traffic splitting o feature flags, entre otras. Pero ninguna estrategia arregla por sí sola un flujo de release mal diseñado.
Las migraciones de datos merecen especial cuidado. Volver a desplegar la versión anterior puede no ser suficiente si el cambio modificó un esquema, transformó datos o introdujo un formato incompatible. En esos casos conviene diseñar compatibilidad hacia atrás, fases de migración o un plan de remediación específico.
Rollback no es una línea en un runbook. Es una capacidad que se diseña, se documenta y, cuando el riesgo lo justifica, se prueba.
Observabilidad del release: saber si el cambio va bien
Un despliegue no termina cuando la tarea marca success. Termina cuando el equipo tiene señales razonables de que el sistema sigue funcionando como esperaba.
La observabilidad útil durante un release no consiste en abrir muchas gráficas, sino en saber qué mirar y qué decisión tomar según lo que aparezca.
Logs, métricas, trazas, alarmas y dashboards pueden ayudar si están conectados con señales relevantes: errores de aplicación, latencia, saturación, salud de dependencias, colas acumuladas, fallos en tareas críticas o impacto en flujos importantes para el negocio.
También ayuda correlacionar despliegues con señales de producción. Si una alarma salta poco después de una release, el equipo debería poder ver qué cambió, qué versión está activa y quién está al tanto. Esto es reliability, pero también higiene operativa básica.
Ownership: quién decide, quién ejecuta y quién responde
La confianza en el despliegue no es solo técnica. También es organizativa.
Hay equipos donde producto decide la fecha, ingeniería prepara el cambio, DevOps mantiene el pipeline, plataforma cuida la infraestructura y operaciones recibe las alertas. Si cada grupo tiene una definición distinta de “listo para producción”, el release se convierte en negociación constante.
No se trata de culpar a una persona ni de convertir platform engineering en el sitio donde acaba todo el caos. Se trata de aclarar responsabilidades:
- quién decide que un cambio está listo;
- quién puede pausar o cancelar una release;
- quién mira las señales después del despliegue;
- quién lidera la respuesta si algo falla;
- quién mantiene el pipeline, los runbooks y los gates.
Cuando esto no está claro, el pipeline puede ser técnicamente correcto y aun así generar tensión.
Cómo empezar sin rediseñar toda la plataforma
No hace falta montar una plataforma interna enorme para mejorar la confianza en los despliegues. Muchas veces conviene empezar más pequeño.
Un buen primer ejercicio es reunir a las personas que participan en el release y dibujar el flujo actual. No el aspiracional: el real. Desde el merge hasta producción. Después, revisar seis áreas:
- Pasos manuales y aprobaciones: cuáles aportan control y cuáles solo existen por inercia.
- Entornos: qué diferencias entre staging y producción reducen la fiabilidad de la validación.
- Tests y gates: qué fallos relevantes detectan y cuáles se escapan.
- Rollback o fix-forward: qué opción existe para distintos tipos de cambio.
- Observabilidad: qué señales se miran durante y después del despliegue.
- Ownership: quién decide, ejecuta y responde en cada fase.
A partir de ahí, elegir dos o tres mejoras pequeñas suele ser más útil que rediseñar todo: versionar artefactos de forma consistente, documentar criterios de rollback, eliminar un paso manual frágil, hacer staging más representativo en una dependencia crítica o añadir una alarma accionable asociada al release.
La madurez se nota cuando el equipo deja de depender de heroicidades. No porque el despliegue sea trivial, sino porque el camino está claro.
CI/CD útil: menos YAML, más confianza operativa
Tener CI/CD es un buen punto de partida. Pero si cada release sigue dependiendo de pasos manuales invisibles, rollback incierto, entornos poco representativos y señales débiles, el problema no se arregla añadiendo más YAML.
Un proceso de despliegue fiable combina automatización, criterio técnico y ownership claro. Permite saber qué cambió, qué se validó, cómo se observa producción y qué opciones hay si el cambio no sale como se esperaba.
Si tu pipeline existe pero cada release sigue requiriendo demasiada coordinación, AstralDeploy puede ayudarte a revisar el flujo de despliegue en AWS y convertirlo en un proceso más claro, trazable y controlable, sin prometer resultados automáticos.
Fuentes consultadas
- AWS Well-Architected Framework — Operational Excellence: Design principles: https://docs.aws.amazon.com/wellarchitected/latest/framework/oe-design-principles.html
- AWS Operational Excellence Pillar — OPS05-BP02 Test and validate changes: https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_dev_integ_test_val_chg.html
- AWS Operational Excellence Pillar — OPS05-BP04 Use build and deployment management systems: https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_dev_integ_build_mgmt_sys.html
- AWS Operational Excellence Pillar — OPS06-BP01 Plan for unsuccessful changes: https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_mit_deploy_risks_plan_for_unsucessful_changes.html
- AWS Operational Excellence Pillar — OPS06-BP03 Employ safe deployment strategies: https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_mit_deploy_risks_deploy_mgmt_sys.html
- AWS Well-Architected Management and Governance Guide — Monitoring and observability: https://docs.aws.amazon.com/wellarchitected/latest/management-and-governance-guide/observability.html
- AWS Builders Library — Ensuring rollback safety during deployments: https://aws.amazon.com/builders-library/ensuring-rollback-safety-during-deployments/
Alejandro Rodríguez
Consultor Cloud & DevOps Freelance, Madrid