Workday acaba de nombrar CTO a Gabe Monroy. Si no conoces el nombre: fundó una startup en el ecosistema temprano de Kubernetes (el sistema de orquestación de contenedores que Google creó en 2014 y que hoy es el estándar open-source de la industria bajo la CNCF). Microsoft adquirió esa startup, y Monroy ayudó a construir Azure Kubernetes Service (AKS), la oferta administrada de K8s de Microsoft. Después lideró GKE (el equivalente de Google) y productos de desarrollador en Google, y fue CPO de DigitalOcean. Lleva 25 años en infraestructura de plataforma, resolviendo siempre variaciones del mismo problema: cómo dejar que código no confiable haga cosas útiles sin comprometer los sistemas donde opera.

La llegada de Monroy no es casual. La gobernanza de agentes de IA que exige Workday hoy es, en lo técnico, el mismo problema que él ya resolvió con la orquestación de contenedores. Las primitivas de Kubernetes (RBAC, admission controllers, network policies, audit logs) son la pieza que falta en la arquitectura de agentes empresariales.

Los números detrás de la superficie de ataque

Workday reportó $9.55 mil millones en ingresos anuales en su año fiscal 2026, con más del 65% del Fortune 500 corriendo nómina y finanzas en la plataforma y 75 millones de usuarios bajo contrato. Solo el año pasado ejecutaron 1.7 mil millones de acciones de IA a través del ecosistema.

Y la apuesta se intensificó en septiembre de 2025, cuando Workday compró Sana por $1.1 mil millones, una empresa de agentes de IA que ya se integra en el ecosistema para automatizar procesos de recursos humanos, consultar datos de compensación, ejecutar tareas de finanzas y operar a través de Gmail, Salesforce y Slack. Tienen 14 agentes adicionales planeados para 2026 y lanzaron un producto llamado “Agent System of Record” para rastrear qué hacen los agentes dentro de la organización.

Un agente dentro de Workday maneja vectores críticos: salarios, gastos, headcount, transferencias bancarias. Aakash Gupta lo resumió bien: “The upside is massive. The attack surface is terrifying.” Y no exagera. Cada una de esas capacidades se convierte en un vector de ataque cuando el agente tiene más permisos de los que debería, o cuando alguien encuentra cómo manipular sus instrucciones.

Lo que Kubernetes resolvió hace una década

Antes de que Kubernetes tuviera gobernanza, los contenedores operaban en tierra de nadie. Cualquier contenedor podía hablar con cualquier servicio, sin identidad verificada ni registro de quién hacía qué. Un contenedor comprometido podía moverse lateralmente por todo el clúster, y para cuando alguien se daba cuenta el daño ya estaba hecho.

Kubernetes resolvió el problema con cuatro primitivas que hoy damos por sentadas:

• RBAC (Role-Based Access Control): define quién puede hacer qué. Un contenedor de frontend no tiene por qué modificar la base de datos de producción
• Admission controllers: puertas de validación que interceptan cada acción antes de ejecutarla. Si un contenedor pide más privilegios de los que le corresponden, la solicitud muere antes de que pase nada
• Network policies: límites de confianza que definen qué servicios pueden comunicarse entre sí. El contenedor de logs no habla con el de pagos
• Audit logs: registro inmutable de cada acción, quién la pidió, qué recurso tocó, cuándo y qué cambió

¿Qué tienen de especial? Que son mecanismos deliberadamente aburridos. Predecibles, deterministas, y no les importa si un modelo de lenguaje “entiende” la política o no. La hacen cumplir mecánicamente antes de que cualquier acción se ejecute.

Y el paralelo con agentes de IA es directo: los contenedores querían “hacer cosas” dentro de los clústeres, igual que los agentes quieren “hacer cosas” dentro de tus sistemas empresariales. Kubernetes no les quitó la capacidad de actuar. Les impuso reglas sobre cómo, dónde y con qué permisos podían hacerlo.

De metáfora a infraestructura real

Ya hay varias empresas construyendo gobernanza de agentes usando patrones de Kubernetes. De forma literal, no como analogía.

El 2 de abril de 2026, Microsoft lanzó el Agent Governance Toolkit, un proyecto open-source que se despliega como sidecar de Kubernetes junto a los agentes para gobernarlos en tiempo real. Cubre los 10 riesgos del OWASP Top 10 para aplicaciones agénticas, con una latencia p99 por debajo de 0.1 milisegundos y enforcement completamente determinista.

IBM publicó Agentic Networking para extender el Gateway API de Kubernetes al tráfico de agentes. Kubescape 4.0 se convirtió en la primera herramienta de seguridad que escanea agentes de IA como workloads de primera clase dentro de clústeres. Y Tigera/Calico publicó su análisis de cómo los clústeres de Kubernetes están migrando de aplicaciones cloud-native tradicionales hacia cargas de trabajo agénticas, con demandas completamente nuevas de identidad, control de acceso y enforcement de políticas.

El OWASP Top 10 para aplicaciones agénticas de 2026 conecta todo. Tres de los cuatro riesgos principales mapean a primitivas de Kubernetes que ya existen:

• Secuestro de objetivos del agente → Admission controllers (validar intenciones antes de ejecutar)
• Uso excesivo de herramientas → RBAC (el agente no abusa de herramientas porque sea malicioso, sino porque tiene demasiados permisos)
• Delegación de confianza excesiva → Network policies (restringir qué agentes pueden comunicarse con qué sistemas)

La coincidencia de Microsoft, IBM y OWASP apostando por esta misma arquitectura dentro del mismo trimestre dice bastante sobre hacia dónde se mueve la industria.

Lo que tu arquitectura de agentes necesita

Si ya tienes agentes de IA operando (o estás evaluando desplegarlos), hay cuatro primitivas de Kubernetes que se aplican directamente.

Límites de confianza. Los agentes necesitan un alcance estricto. Un bot de nómina jamás debería tener permisos para modificar transferencias, y un agente que gestiona gastos no debería ver datos de compensación. Esa barrera es lo que separa un error menor de un desastre financiero.

Acceso de mínimo privilegio. Consultar nómina y modificar nómina son dos permisos completamente distintos. Si tu agente tiene acceso de escritura cuando solo necesita lectura, estás cometiendo el mismo error que Kubernetes corrigió con RBAC hace más de diez años.

Registros de auditoría inmutables. Cada acción del agente tiene que quedar registrada: quién la disparó, qué datos accedió, qué cambió y cuándo. Si tu organización ya tiene shadow AI operando sin auditoría, agregar agentes con acceso a finanzas sin audit trail multiplica el riesgo que ya tienes.

Capacidad de rollback. Cuando un agente aprueba algo incorrecto (un gasto mal clasificado, un cambio de headcount erróneo, una transferencia duplicada), necesitas poder revertirlo inmediatamente, de la misma forma que Kubernetes revierte un deployment fallido a su estado anterior.

Si ya operas agentes de IA en tus procesos, vale la pena preguntarte cuántas de estas cuatro primitivas tienes implementadas hoy.

El pronóstico de Gartner sobre la IA agéntica

Gartner predice que más del 40% de los proyectos de IA agéntica serán cancelados antes de que termine 2027, por una combinación de costos fuera de control, valor de negocio difuso y controles de riesgo insuficientes. Anushree Verma, analista de Gartner, fue directa: la mayoría de los proyectos agénticos hoy son experimentos impulsados por hype, frecuentemente mal aplicados.

Lograr que un agente de IA funcione de forma estable en producción sin destruir la confianza del cliente, violar compliance o generar responsabilidad legal requiere la clase de gobernanza que Kubernetes lleva una década perfeccionando para contenedores. Por eso Workday fue a buscar a Monroy.

El reto de Workday refleja el de toda la industria: implementar gobernanza estricta antes de escalar. Para Monroy, los agentes son los nuevos contenedores, operando sobre los datos de 75 millones de personas.

En IQ Source ayudamos a empresas a implementar esta arquitectura de gobernanza para agentes: límites claros, permisos estrictos, registros de auditoría y capacidad de rollback. Si estás evaluando desplegar agentes sobre datos sensibles, podemos ayudarte.