JMFLORESZAZO https://jmfloreszazo.com Sitio personal de Jose María Flores Zazo Thu, 14 May 2026 08:30:33 +0000 es hourly 1 https://wordpress.org/?v=6.9.4 https://jmfloreszazo.com/wp-content/uploads/2022/12/cropped-favicon-1-32x32.png JMFLORESZAZO https://jmfloreszazo.com 32 32 ¿HTML en vez de Markdown para hablar con un LLM? Lo que dice el tokenizador, no el marketing https://jmfloreszazo.com/html-en-vez-de-markdown-para-hablar-con-un-llm-lo-que-dice-el-tokenizador-no-el-marketing/ https://jmfloreszazo.com/html-en-vez-de-markdown-para-hablar-con-un-llm-lo-que-dice-el-tokenizador-no-el-marketing/#respond Thu, 14 May 2026 08:21:45 +0000 https://jmfloreszazo.com/?p=5388

Últimamente circula una idea por LinkedIn, X y un par de hilos de Hacker News que conviene mirar con calma: que los LLM modernos —Claude en particular— ya no necesitan Markdown para ser eficientes, que mandar HTML «es más elegante», queda más bonito por pantalla, y que el modelo internamente «limpia el ruido» y termina consumiendo prácticamente los mismos tokens. La conclusión que se vende es tentadora: HTML gratis, mejor presentación, mismo coste.

No es así. Y como casi todo en este oficio, lo razonable no es opinar, sino medirlo.

De dónde viene esto

El origen del debate es real y serio. El 8 de mayo de 2026, Thariq Shihipar, engineering lead de Claude Code en Anthropic, publicó un artículo viral llamado «Using Claude Code: The Unreasonable Effectiveness of HTML». Su argumento, resumido sin caricaturas, es que para outputs destinados a humanos (planes de proyecto, code reviews, comparativas visuales, dashboards efímeros) HTML aporta densidad informativa, color, tablas con jerarquía, SVG inline e interactividad que Markdown no puede dar. Y eso, dice, justifica el sobrecoste.

Hasta ahí, opinión legítima sobre experiencia de usuario.

El problema empieza cuando ese argumento se simplifica en el camino y acaba como «Claude ya consume los mismos tokens con HTML que con Markdown». Eso es lo que se ha colado en muchos hilos, y eso es lo que es técnicamente falso.

La medición, antes que la teoría

Tomé un fragmento idéntico (una intro corta a Azure Functions, ~700 caracteres de contenido real) y lo serialicé en tres formatos. Tokenización con regex GPT-2 + estimación BPE; el número absoluto puede variar según el tokenizador exacto, pero el ratio entre formatos es robusto.

Formato Caracteres Tokens estimados vs Markdown
Markdown 711 178
HTML «limpio» (<h1>, <ul>, <p>) 902 273 +53%
HTML con <style> inline 1.624 492 +176%

Estos números no son una sorpresa ni un invento mío:

  • Web2MD publicó un benchmark sobre artículos web reales: un texto que ocupa ~2.800 tokens en Markdown sube a ~8.000 en HTML. Reducción del 67% al pasar HTML → Markdown.
  • Sobre 200 páginas mixtas (docs, blogs, Wikipedia, noticias), la conversión a Markdown supone una reducción media del 87,5% en tokens.
  • El propio Thariq lo admite en su post: el HTML limpio cuesta 2-3x más tokens que el Markdown equivalente, y HTML con CSS y JS reales puede llegar a 8-10x.

Es decir, el debate honesto no es «¿HTML cuesta lo mismo?». El debate es: «¿compensa pagar entre 2x y 10x más tokens a cambio de mejor experiencia visual?». Y la respuesta depende del caso.

Por qué la frase «Claude limpia todo y consume lo mismo» no se sostiene

Tres razones técnicas, ordenadas:

1. El modelo no controla los tokens que genera. Cuando un LLM produce su respuesta, cada <h2>, cada class="...", cada </div> pasa por el tokenizador exactamente igual que el contenido. No existe un paso oculto de compresión semántica entre lo que el modelo escribe y lo que se factura. Lo que sale es lo que se cuenta.

2. BPE no está optimizado para markup. Los tokenizadores BPE (cl100k, el de Claude, los de la familia GPT) están entrenados predominantemente sobre prosa y código. Símbolos densos como <, >, /, ="..." suelen partirse en varios tokens. Markdown, al usar caracteres ligeros (#, -, **, ```) consume menos. No es opinión, es cómo está entrenado el vocabulario.

3. «Limpiar el HTML antes de enviarlo» es input, no output. Sí existe una pipeline legítima web → Markdown → modelo, y es lo que hacen herramientas tipo Jina Reader, Trafilatura o Web2MD. Pero esa pipeline confirma exactamente lo contrario del bulo: el ahorro está en convertir a Markdown, no en mandar HTML «limpio».

Donde quizá nace la confusión: caching ≠ menos tokens

Anthropic, OpenAI y otros proveedores ofrecen prompt caching: si reenvías el mismo prefijo de contexto, el coste por token cacheado es menor. Esto reduce el coste en € por token, pero no el número de tokens consumidos. Son dos métricas distintas y se mezclan a menudo en los hilos divulgativos. Si alguien ha medido el gasto en factura y ha visto bajada, probablemente está viendo efecto del caché, no eficiencia del formato.

Calidad del output, no solo coste

Más allá del recibo, el formato afecta a la calidad de las respuestas. Benchmark de Web2MD con el mismo contenido en ambos formatos sobre GPT-4, Claude y Gemini:

Tarea HTML input Markdown input Mejora
Resumen 6.8 8.9 +31%
Q&A (precisión) 7.1 8.7 +23%
Extracción de puntos clave 6.5 9.1 +40%
Traducción 7.8 8.4 +8%
Reescritura de contenido 6.2 8.6 +39%

En tablas, las representaciones Markdown superan a las HTML en precisión de extracción (60,7% vs 53,6% en evaluaciones sobre GPT). Lógica detrás de esto: el corpus de entrenamiento contiene una cantidad gigantesca de Markdown bien formado (README, wikis, docs), y muy poco HTML bien estructurado y libre de ruido.

¿Y con Claude Opus 4.7? Spoiler: peor

La objeción razonable es legítima: «los benchmarks que citas son sobre GPT-4 o Claude 3.5, modelos de hace un año. ¿Sigue siendo válido con Opus 4.7?». La respuesta corta es sí, y además el problema se agrava. Veamos los datos publicados desde el lanzamiento.

Opus 4.7 estrena tokenizer nuevo, y eso cambia el escenario por completo. La propia documentación de Anthropic lo dice sin maquillaje: «This new tokenizer may use roughly 1x to 1.35x as many tokens when processing text compared to previous models (up to ~35% more, varying by content)». Es decir, el mismo texto que en Opus 4.6 ocupaba 100 tokens, en 4.7 puede ocupar hasta 135. Mismo precio por token, mismo cupo en el plan, pero más tokens por prompt.

Los números medidos en producción son aún peores que la horquilla oficial:

Fuente Workload Inflación medida vs 4.6
Anthropic (docs oficiales) Genérico 1.0x – 1.35x
Claude Code Camp (medición) Docs técnicos 1.47x
Claude Code Camp (medición) CLAUDE.md real 1.45x
Simon Willison System prompt de Opus 4.7 1.46x
OpenRouter (cohorte de migración) Prompts <10K tokens 1.42x – 1.45x
OpenRouter (cohorte de migración) Prompts ≥10K tokens 1.32x – 1.34x
Korchasa (análisis multi-lenguaje) Prosa inglés +31%
Korchasa (análisis multi-lenguaje) Código fuente +22%
Korchasa (análisis multi-lenguaje) Markdown +21%
Korchasa (análisis multi-lenguaje) Identificadores camelCase +51%

El análisis de Korchasa sobre 53 idiomas y 12 tipos de datos identifica el motivo: en 4.7 se han eliminado del vocabulario las cadenas largas de palabras inglesas pre-mergeadas (BPE merges) que tenía 4.6. Ahora el modelo necesita varios tokens cortos donde antes usaba uno largo. JSON, espacios en blanco y dígitos no cambian; lenguajes no latinos (CJK, árabe, hebreo, hindi, ruso) tampoco. Lo que se ha pagado son las palabras inglesas, que es justo el tipo de contenido que llena un CLAUDE.md, un system prompt o un payload HTML.

Por qué esto amplifica el problema con HTML

Aquí está la conexión con el debate del artículo. Si el tokenizer de 4.7 fragmenta más cualquier texto inglés, fragmenta todavía más el markup HTML, que ya partía con desventaja en BPE por sus símbolos densos (<, >, /, ="..."). El gap entre Markdown y HTML, lejos de cerrarse con el «modelo más nuevo y más inteligente», se ensancha:

  • En Opus 4.6, HTML semántico limpio costaba ~1.5x más tokens que su equivalente Markdown.
  • En Opus 4.7, esa misma penalización se compone con la inflación general del nuevo tokenizer (1.3x – 1.45x), porque los símbolos del markup están entre lo que peor encaja con un vocabulario al que le han quitado merges largos.

OpenRouter, midiendo cohortes reales de usuarios que migraron 4.6 → 4.7, reporta incrementos de coste del 12% al 27% en producción después del descuento del 90% por caching. Sin caching, la inflación de tokens es del 32% al 45% sobre prompts y completaciones.

Lectura operativa

Esto refuerza, no debilita, el argumento del artículo:

  1. Si ya estabas dudando entre MD y HTML para input a Claude, en 4.7 la balanza se inclina aún más hacia Markdown. El sobrecoste de HTML se multiplica por la inflación base del nuevo tokenizer.
  2. Si tienes pipelines en producción, replay obligatorio antes de migrar 4.6 → 4.7. La factura no se mantiene aunque el rate card sí: la documentación oficial avisa de que count_tokens devolverá números distintos para el mismo contenido.
  3. El caching sigue siendo la palanca principal de coste. El 90% de descuento por cache hit se mantiene en 4.7, pero el prefijo que escribes al caché es 1.3x – 1.45x más grande la primera vez. Es decir, el cold-start es más caro, aunque el régimen estacionario apenas se note.
  4. camelCase paga +51% de inflación. Si tu RAG corporativo serializa nombres de variables, identificadores Java/C#, paths de Azure (Microsoft.Storage/storageAccounts), o cualquier código fuente sin formato, ese 51% va directo a tu factura. Es otro argumento para limpiar el input antes de mandarlo, no para meter HTML.

Resumido: el tokenizador nuevo de Opus 4.7 mejora cosas (multilenguaje no latino, soporte de imágenes a alta resolución, instruction-following estricto en +5pp según IFEval), pero no resuelve la economía del formato. Si acaso, la acentúa. El consejo no cambia: mide con el count_tokens oficial del modelo concreto que vas a usar, no con heurísticas de hace un año.

Cuándo cada uno

Sin dogmatismo. Cada formato tiene su sitio:

Markdown es la elección por defecto cuando:

  • Cargas contexto al modelo (RAG, ingestión de documentación, system prompts largos).
  • El output va a otro paso de la pipeline (parser, embedding, log estructurado, otro agente).
  • El artefacto vive en Git y necesita diffs legibles en pull requests.
  • Estás en un escenario de alto throughput donde el coste por output domina.

HTML puede compensar cuando:

  • El consumidor final es un humano que va a leer el artefacto una sola vez.
  • Necesitas densidad visual: tablas con color, SVG inline, badges, jerarquía clara.
  • Estás en Claude Artifacts o un canvas donde el render aporta valor real.
  • Aceptas pagar 2-3x tokens a cambio de mejor cognición humana, y lo presupuestas.

Resumido en una frase: si el lector es un modelo, Markdown. Si el lector es un humano que va a leerlo una vez, HTML puede compensar.

Aterrizando en arquitectura enterprise

En los escenarios que tocamos a diario —MCP en .NET y Azure, AI Gateway sobre YARP, agentes orquestados, RAG corporativo, control plane de IA con APIM— el flujo dominante es modelo dentro de pipeline, no «informe bonito para enseñar a un cliente». En ese terreno, mandar HTML para hablar con el LLM es regalar tokens sin contrapartida.

Y en gobierno de coste de IA empresarial, esa diferencia no es cosmética: a 1.000 páginas al mes a precios actuales de Claude Sonnet, el sobrecoste por usar HTML en lugar de Markdown en la entrada se mueve en el orden de cientos de euros por pipeline. Con Opus 4.7 el cálculo es aún más sangrante: multiplica ese sobrecoste por la inflación del nuevo tokenizer y multiplícalo por número de pipelines y por entornos (dev, staging, prod). En cualquier organización con varios casos de uso en producción, esto se nota en el FinOps mensual.

No soy el único que lo ve así

Scott S. Nelson, en Markup is the New Markdown (12 mayo 2026), pone el dedo en la llaga del propio fenómeno viral:

«Que se haya viralizado así dice menos del artículo en sí y más de las ganas que tenía la gente de que alguien les diera permiso para hacer lo que ya querían hacer.»

En el original: «The fact that it spread the way it did says less about the content and more about how hungry people are for permission to do the thing they already half-wanted to do.»

Es exactamente lo que ha pasado. El post de Thariq es legítimo en su acotación original —output destinado a humanos, no input a modelos— pero la versión que circula por LinkedIn ha perdido toda esa precisión por el camino. Y eso, en enterprise, cuesta dinero.

Conclusión

La intuición correcta es la que muchos teníamos: no, HTML no consume los mismos tokens que Markdown, ni se «limpia mágicamente» por el modelo ni por la tool que el modelo usa. El argumento real de Thariq es legítimo, pero acotado: pagas más tokens a cambio de mejor experiencia humana, en outputs concretos, no como regla general.

Y con Opus 4.7, el argumento se refuerza en lugar de debilitarse. El nuevo tokenizer infla todo el texto inglés entre un 30% y un 45% real medido en producción, lo que amplifica la penalización del markup denso del HTML en lugar de mitigarla. Quien esperaba que «los modelos nuevos resuelvan el problema del formato» se ha llevado lo contrario: un tokenizer que paga más por palabra y, por composición, más todavía por etiqueta.

Para input al modelo y para flujos agente-a-agente, Markdown sigue siendo objetivamente la elección correcta en 2026. Y la única forma honesta de zanjar el debate en cada caso no es leer hilos, es medir tokens con el tokenizador del modelo concreto que usas.

Antes de cambiar el formato por defecto de tu stack, pasa tu contenido real por count_tokens de Anthropic (o tiktoken de OpenAI) especificando el modelo destino, no el genérico. Probablemente te llevarás la misma sorpresa que me llevé yo.

Enlaces y referencias

Un ejemplo de Benchmark

El debate original

Datos empíricos sobre tokens, Markdown y HTML

Datos específicos del tokenizer de Opus 4.7

Herramientas para medir tú mismo

]]> https://jmfloreszazo.com/html-en-vez-de-markdown-para-hablar-con-un-llm-lo-que-dice-el-tokenizador-no-el-marketing/feed/ 0 Cloud soberana, Azure Local e IA: no es volver al datacenter, es recuperar control operativo https://jmfloreszazo.com/cloud-soberana-azure-local-e-ia-no-es-volver-al-datacenter-es-recuperar-control-operativo/ https://jmfloreszazo.com/cloud-soberana-azure-local-e-ia-no-es-volver-al-datacenter-es-recuperar-control-operativo/#respond Sat, 09 May 2026 14:22:03 +0000 https://jmfloreszazo.com/?p=5382

Durante años hemos vendido la nube como una conversación casi binaria: o estás en cloud o estás on-premises. Para mí, ese debate ya se ha quedado corto.

La cuestión real ya no es “cloud sí” o “cloud no”. La cuestión relevante para gobiernos, banca, salud, industria, defensa o infraestructuras críticas es otra:

¿Qué nivel de control operativo, jurídico, técnico y de continuidad necesito sobre mis sistemas más sensibles?

Y aquí es donde empieza a ponerse interesante la conversación sobre cloud soberana, Azure Local, operaciones desconectadas, Microsoft 365 Local, Foundry Local y modelos de DevOps más controlados.

Mi tesis es sencilla: la soberanía digital no consiste en sacar todo de la nube pública. Consiste en diseñar una arquitectura capaz de demostrar control cuando las condiciones normales dejan de ser normales.

Microsoft ya presenta su estrategia de Sovereign Cloud en tres modelos: nube pública soberana, nube privada soberana y nubes nacionales operadas con socios locales. La propia documentación de Microsoft describe la Sovereign Public Cloud como Azure/Microsoft cloud con controles añadidos de residencia, claves gestionadas por cliente, transparencia operativa, Data Guardian, External Key Management y logs resistentes a manipulación; y define la Sovereign Private Cloud como un modelo ejecutado en datacenters controlados por el cliente o por socios, basado en Azure Local y Microsoft 365 Local, orientado a escenarios híbridos o desconectados.

Soberanía no es solo residencia de datos

Uno de los errores habituales es reducir la soberanía a “mis datos están en Europa” o “mis datos están en una región concreta”.

Eso es importante, pero no suficiente.

La soberanía real tiene varias capas:

Primero, soberanía del dato: dónde reside, quién lo cifra, quién puede acceder y bajo qué condiciones.

Segundo, soberanía operativa: quién administra la plataforma, qué accesos excepcionales existen, cómo se auditan y si puedo demostrar trazabilidad.

Tercero, soberanía tecnológica: si mis cargas críticas pueden seguir funcionando aunque pierda conectividad, aunque haya una crisis contractual, regulatoria, geopolítica o de proveedor.

Cuarto, soberanía del ciclo de vida del software: dónde vive el código, dónde se ejecutan los pipelines, dónde están los secretos, quién puede modificar la cadena de suministro y cómo se evidencia cada cambio.

Para mí, esta última parte se olvida demasiado. En empresas reguladas, el código fuente, los pipelines y los artefactos de despliegue son tan sensibles como los datos de producción. No tiene sentido proteger obsesivamente una base de datos si luego el camino que permite cambiar el software está débilmente gobernado.

Azure Local: la nube híbrida empieza a parecerse a una póliza de continuidad

Azure Local es especialmente relevante porque deja de plantear el datacenter como un “mundo antiguo” separado de la nube. Microsoft lo describe como una solución de infraestructura distribuida para ejecutar máquinas virtuales, contenedores y determinados servicios Azure en infraestructura propiedad del cliente; además, Azure Stack HCI forma ya parte de Azure Local.

La diferencia importante no es solo técnica. Es estratégica.

Azure Local puede convertirse en la base para una arquitectura donde ciertas cargas sigan beneficiándose del modelo cloud, pero con más control sobre ubicación, operación y continuidad. En la documentación de Sovereign Private Cloud, Microsoft posiciona Azure Local como la capa base de infraestructura para workloads soberanos, incluyendo cómputo, almacenamiento, red, lifecycle management, VMs y AKS habilitado por Arc.

Esto no significa que Azure Local sea “todo Azure dentro de tu CPD”. Esa lectura sería equivocada y peligrosa. Significa algo más concreto: una base local, gestionable con experiencia cloud, sobre la que construir escenarios regulados, híbridos, edge o desconectados.

Y aquí está el matiz que a mí me parece clave: Azure Local no debería venderse como nostalgia on-premises. Debería entenderse como resiliencia arquitectónica soberana.

Operaciones desconectadas: útil, pero no magia

Las operaciones desconectadas son probablemente una de las piezas más importantes para sectores regulados. La documentación pública indica que permiten desplegar y administrar instancias de Azure Local sin conexión a la nube pública de Azure, usando un plano de control local y una experiencia familiar de portal y CLI para máquinas virtuales y aplicaciones contenedorizadas mediante servicios seleccionados habilitados por Azure Arc.

Esto es muy potente, pero hay que aterrizarlo bien.

Desconectado no significa “sin gobierno”.
Desconectado no significa “sin parches”.
Desconectado no significa “sin identidad”.
Desconectado no significa “sin operación”.

De hecho, cuanto más aislado está un entorno, más disciplina necesita: gestión de versiones, procedimientos de actualización offline, control de identidades locales, backups, observabilidad, evidencias, runbooks, pruebas de conmutación, restauración y validación periódica.

La cloud soberana no elimina la complejidad. La mueve al terreno donde los arquitectos debemos estar cómodos: diseño de riesgos, controles y evidencias.

Microsoft 365 Local: útil, pero no confundamos el alcance

Microsoft 365 Local es otra pieza interesante, pero conviene explicarla con precisión. Según Microsoft Learn, Microsoft 365 Local permite ejecutar Exchange Server, SharePoint Server y Skype for Business Server sobre infraestructura Azure Local propiedad y gestionada por el cliente, con mayor control de residencia, acceso y cumplimiento. También se indica que soporta escenarios híbridos y completamente desconectados.

Esto es importante para sectores que necesitan productividad local o continuidad en escenarios de aislamiento.

Pero hay que evitar una confusión: Microsoft 365 Local no debe interpretarse automáticamente como “todo Microsoft 365 cloud funcionando localmente”.

No estamos hablando, al menos con la información pública actual, de replicar sin más toda la experiencia SaaS moderna de Microsoft 365, Teams, Copilot, Entra ID, Conditional Access y ecosistema cloud en un datacenter local. Es una solución con un alcance concreto, útil para determinados escenarios, pero que debe explicarse sin crear expectativas incorrectas.

En entornos regulados, vender mal el alcance de una plataforma es casi tan peligroso como diseñarla mal.

IA soberana: el dato no siempre puede ir al modelo

La IA introduce una nueva tensión. Antes nos preocupaba dónde estaba la base de datos. Ahora también debemos preguntarnos:

¿Dónde se ejecuta la inferencia?
¿Dónde se procesan los embeddings?
¿Dónde se guardan los prompts?
¿Dónde se evalúan los modelos?
¿Dónde quedan las trazas?
¿Qué datos pasan por una cadena RAG?
¿Qué agente puede actuar sobre qué sistema?

Microsoft ya documenta Foundry Local sobre Azure Local como una vía para acercar la IA al dato, desplegando y ejecutando modelos dentro del entorno Azure Local. La documentación pública indica que Foundry Local está en preview, que puede desplegarse sobre Kubernetes conectado a Azure Arc o Kubernetes directo, y que requiere acceso de preview para el despliegue.

Para mí, esto apunta a una idea importante: la IA empresarial no se va a decidir solo por el modelo más potente, sino por el modelo operativo más gobernable.

En banca, salud, administración pública o industria, muchas cargas de IA no podrán moverse alegremente a cualquier endpoint global. Necesitaremos arquitecturas donde los datos sensibles se queden cerca de su dominio de control, donde la inferencia tenga trazabilidad y donde los agentes no puedan actuar sin límites.

Aquí conecto con algo que llevo tiempo defendiendo: la IA empresarial no puede ser solo productividad individual. Tiene que evolucionar hacia un modelo gobernado de ciclo de vida: intención, especificación viva, controles, ADRs, guardrails, testing, despliegue y auditoría.

DevOps soberano: el código también es soberanía

Hay un punto que creo que va a ganar peso: la soberanía del software delivery.

GitHub Enterprise Server ya existe como versión self-hosted de GitHub. La documentación oficial de GitHub lo describe como una plataforma autohospedada que se ejecuta en infraestructura propia, con controles de acceso, seguridad, red, IAM, monitorización y VPN definidos por la empresa. También deja claro que el administrador es responsable de mantener la instancia actualizada.

Esto no es menor.

Si una organización necesita soberanía extrema, no basta con tener producción controlada. Tiene que controlar también:

  • repositorios;
  • pull requests;
  • secretos;
  • pipelines;
  • artefactos;
  • políticas de branch;
  • evidencias de revisión;
  • SBOMs;
  • firmas de artefactos;
  • trazabilidad de cambios;
  • dependencias de terceros.

Mi punto aquí es claro: GitHub Enterprise Server encaja muy bien conceptualmente en una estrategia de soberanía del software delivery. Pero en arquitectura no deberíamos vender intuiciones como certezas. Hasta que no exista documentación suficiente o una validación real en un entorno controlado, lo responsable es tratarlo como una opción prometedora, no como una capacidad cerrada y universalmente aplicable.

La nube soberana no es una tecnología: es una arquitectura de decisión

Para mí, el mayor error sería convertir esto en otro catálogo de productos.

Azure Local, Microsoft 365 Local, Foundry Local, Confidential Computing, External Key Management, Data Guardian, Sovereign Landing Zone o Regulated Environment Management son piezas. Algunas ya están disponibles, otras evolucionan, y todas requieren diseño.

La Sovereign Landing Zone, por ejemplo, se plantea como un enfoque de policy-as-code para aplicar controles de localización, cifrado, configuración y computación confidencial en entornos soberanos. Microsoft también documenta REM como una experiencia para configurar, desplegar y monitorizar workloads en soporte de operaciones soberanas, complementando EKM, Data Guardian y Confidential Computing.

Pero ninguna landing zone sustituye a una conversación seria sobre riesgo.

La pregunta correcta no es: “¿Qué producto compro?”
La pregunta correcta es: “¿Qué escenarios de pérdida de control debo resistir?”

Por ejemplo:

¿Qué pasa si pierdo conectividad durante días?
¿Qué pasa si un proveedor externo no puede operar mi entorno?
¿Qué pasa si una carga crítica debe moverse a ejecución local?
¿Qué pasa si necesito demostrar que ningún operador no autorizado accedió a datos sensibles?
¿Qué pasa si mi pipeline de software queda comprometido?
¿Qué pasa si un modelo de IA procesa información regulada fuera del perímetro aceptado?

Ahí es donde un arquitecto aporta valor. No dibujando cajas, sino convirtiendo incertidumbre en decisiones verificables.

Mi punto de vista

Mi lectura es que estamos entrando en una etapa donde la cloud híbrida deja de ser una solución de transición y pasa a ser una estrategia de resiliencia soberana.

Durante años, muchas organizaciones han visto lo híbrido como una deuda: “todavía no hemos migrado todo”. Creo que eso cambia. En los próximos años, lo híbrido bien diseñado puede convertirse en una ventaja competitiva para sectores regulados.

Pero tiene que ser híbrido de verdad, no un Frankenstein.

Tiene que tener identidad pensada.
Tiene que tener red pensada.
Tiene que tener observabilidad pensada.
Tiene que tener actualizaciones pensadas.
Tiene que tener DevSecOps pensado.
Tiene que tener IA pensada.
Tiene que tener pruebas reales de desconexión.
Tiene que tener evidencias.

La cloud soberana no debería ser una excusa para volver a modelos artesanales, opacos y difíciles de operar. Debería ser justo lo contrario: llevar la disciplina cloud, la automatización, el gobierno y la trazabilidad a los entornos donde el control local es obligatorio.

Conclusión

No creo que el futuro sea abandonar la nube pública. Tampoco creo que el futuro sea confiar ciegamente en ella para todo.

Creo que el futuro será más matizado:

  • cloud pública para innovación, elasticidad y servicios avanzados;
  • cloud soberana pública para cargas reguladas con controles reforzados;
  • Azure Local y modelos privados para continuidad, edge, defensa, industria y escenarios críticos;
  • IA local o híbrida cuando el dato, la latencia o la regulación lo exijan;
  • DevOps soberano cuando el código y la cadena de suministro sean activos críticos.

La soberanía digital no es un botón.
No es una región.
No es un contrato.
No es una landing zone.
No es un producto.

Es una arquitectura de control, continuidad y evidencia.

Y esa, sinceramente, es una conversación donde los arquitectos tenemos que estar mucho más presentes.

]]> https://jmfloreszazo.com/cloud-soberana-azure-local-e-ia-no-es-volver-al-datacenter-es-recuperar-control-operativo/feed/ 0 Azure Subscription Snapshot: entiende tu Azure en minutos https://jmfloreszazo.com/azure-subscription-snapshot-entiende-tu-azure-en-minutos/ https://jmfloreszazo.com/azure-subscription-snapshot-entiende-tu-azure-en-minutos/#respond Mon, 27 Apr 2026 06:35:01 +0000 https://jmfloreszazo.com/?p=5373
No todas las cosas que te encuentres tienen IaC.

Heredar una suscripcion de Azure suele empezar con una pregunta incomoda: ¿qué hay aquí? y ¿qué se puede romper si toco algo?. Azure Subscription Snapshot nace para responder justo eso, sin magia negra y sin depender de memoria tribal. Ejecutas un comando, esperas a que termine, y obtienes una fotografia completa, ordenada y reutilizable de tu entorno.

El proyecto crea un snapshot determinista de una suscripcion o de un resource group: inventario, configuracion, RBAC, identidades, politicas, locks, diagnosticos, despliegues, red, servicios y actividad reciente. Todo queda en JSON estable, con claves ordenadas, para que puedas guardarlo en Git y comparar cambios reales entre ejecuciones. Si nada cambio en Azure, los archivos tampoco cambian.

La potencia aparece cuando dejas de ver el dump como una simple exportacion. Azure Subscription Snapshot genera un grafo de relaciones (`nodes.json` y `edges.json`) para analizar dependencias, detectar recursos huerfanos o entender el radio de impacto de una caida. Tambien produce diagramas Mermaid de arquitectura, red, identidad y tipos de recursos, ademas de un reporte HTML autonomo que puedes abrir y compartir sin servidores ni herramientas externas.

Para equipos que trabajan con IA, el proyecto ya viene preparado para Copilot Chat y Azure MCP. Los prompts y modos especializados permiten hacer preguntas utiles sobre datos reales: quien tiene Owner, que recursos estan expuestos, que cambio en los ultimos 90 dias, donde puede haber gasto innecesario, o que Bicep inicial se puede reconstruir desde el estado capturado. El agente lee primero los archivos locales y solo consulta Azure cuando necesita verificar o ampliar informacion.

Eso lo hace especialmente valioso en escenarios de traspaso, auditoria, seguridad, gobierno y operacion diaria. En vez de empezar con diez pestañas del portal y varias consultas sueltas, empiezas con una base de conocimiento versionable, auditable y facil de razonar. Puedes crear una linea base hoy, repetir el snapshot la semana que viene y ver el drift con claridad: recursos nuevos, permisos cambiados, politicas modificadas o configuraciones que se desviaron.

En resumen: Azure Subscription Snapshot convierte una suscripcion Azure en evidencia navegable. Te da contexto rapido, reduce incertidumbre, ayuda a priorizar riesgos y permite que humanos y agentes de IA trabajen sobre los mismos hechos. Es una herramienta pequeña en la forma, pero muy potente en el efecto: pasar de «no se que hay» a «se exactamente por donde empezar».
az login
az account set --subscription "<sub-id-or-name>"
./Invoke-AzureSnapshot.ps1 -OutputDir .\out -GenerateReport
Al terminar, abre `out/12-report/report.html` y explora el inventario, los diagramas y las relaciones.
]]> https://jmfloreszazo.com/azure-subscription-snapshot-entiende-tu-azure-en-minutos/feed/ 0 MCP en sistemas enterprise: cómo diseñar, gobernar y escalar en .NET y Azure (I) https://jmfloreszazo.com/mcp-en-sistemas-enterprise-como-disenar-gobernar-y-escalar-en-net-y-azure-i/ https://jmfloreszazo.com/mcp-en-sistemas-enterprise-como-disenar-gobernar-y-escalar-en-net-y-azure-i/#respond Fri, 17 Apr 2026 08:13:44 +0000 https://jmfloreszazo.com/?p=5348
Fundamentos, arquitectura limpia y estrategia de testing

Introducción

Model Context Protocol (MCP) está emergiendo como el estándar de facto para conectar agentes de IA con capacidades reales de sistemas: APIs, datos, operaciones.

El problema es que está entrando en proyectos por la puerta equivocada.

Estoy viendo equipos que:

  • diseñan directamente “un MCP Server”
  • meten lógica dentro de tools
  • acoplan dominio a protocolo
  • y luego se preguntan por qué no pueden testear ni escalar

Este artículo va a ser claro:

MCP no es tu arquitectura. Es un adaptador.

Y si no lo tratas como tal, vas a construir algo frágil.

1. Qué es MCP (desde el punto de vista arquitectónico)

MCP define un contrato:

  • tools (acciones ejecutables)
  • resources (datos)
  • prompts (plantillas)
  • comunicación vía JSON-RPC

Especificación oficial:
https://modelcontextprotocol.io/specification/2025-03-26

En .NET, ya puedes montar servidores MCP sobre ASP.NET Core:

  • SDK C#
  • integración con HTTP / streaming
  • despliegue en Azure

Ejemplo oficial de Microsoft:
https://learn.microsoft.com/en-us/azure/container-apps/tutorial-mcp-server-dotnet

Lo importante

MCP:

  • expone capacidades
  • no define cómo construirlas

2. El anti-patrón que debes evitar

Este diseño aparece constantemente:

MCP Tool
 ├── lógica de negocio
 ├── validaciones
 ├── llamadas a Azure
 ├── composición de respuesta
 └── retorno al cliente

Problemas:

  • acoplamiento extremo
  • imposible testear en aislamiento
  • difícil evolucionar
  • no reutilizable
  • sin separación de responsabilidades

Esto no escala.

3. Patrón correcto: Clean Architecture + MCP como adapter

La única forma sostenible es separar:

[MCP Adapter]
      │
[Application Layer]
      │
[Domain]
      │
[Infrastructure]

Regla clave

Cada tool MCP debe ser un wrapper fino sobre un caso de uso.

Ejemplo conceptual en .NET:

public class GetCostTool
{
    private readonly IGetCostUseCase _useCase;

    public async Task<GetCostResult> Execute(GetCostInput input)
    {
        return await _useCase.Execute(input);
    }
}

Nada de lógica en el tool.

4. Por qué no debes diseñar “directo a MCP”

Hay razones técnicas, no opiniones.

4.1 El protocolo aún está evolucionando

El propio roadmap lo reconoce:

  • retos en transporte remoto
  • balanceo
  • operación stateless
  • sesiones

Información adicional: https://modelcontextprotocol.io/development/roadmap

4.2 MCP no cubre necesidades operativas

No resuelve:

  • health checks
  • observabilidad estándar
  • control de errores avanzado

De hecho, Microsoft recomienda endpoints adicionales:

/mcp
/health

Ir al tutorial: https://learn.microsoft.com/en-us/azure/container-apps/tutorial-mcp-server-dotnet

4.3 Te ata a un canal de entrada

Si todo está dentro de MCP:

  • no puedes exponer REST fácilmente
  • no puedes reutilizar lógica
  • no puedes integrar otros sistemas

5. Testing: separar lo determinista de lo probabilístico

Aquí está la clave que suele confundirse.

5.1 Qué puedes testear de forma determinista

Dominio y aplicación

  • tests unitarios clásicos
  • sin MCP
  • sin LLM

100% determinista

Adaptador MCP (contrato)

Puedes validar:

  • nombre del tool
  • schema de entrada/salida
  • mapping a casos de uso
  • errores

Endpoint MCP

Puedes testear:

  • JSON-RPC correcto
  • estructura de respuesta
  • códigos HTTP
  • streaming

El protocolo está definido para permitir esto: https://modelcontextprotocol.io/specification/2025-03-26

5.2 Qué NO es determinista

La respuesta final de un agente:

Usuario → LLM → decide tool → ejecuta → responde

Aquí entran:

  • decisiones del modelo
  • contexto
  • temperatura

Esto no es testing clásico. Es:

  • evaluación
  • métricas
  • observabilidad

5.3 ¿Necesitas una API REST para testear?

No.

Puedes testear directamente MCP:

  • llamadas HTTP JSON-RPC
  • herramientas como MCP Inspector

https://modelcontextprotocol.io/docs/tools/inspector

REST es útil, pero no obligatorio.

6. Diseño de un MCP Server en .NET

Stack típico:

  • ASP.NET Core
  • ModelContextProtocol.AspNetCore
  • hosting en Azure

Opciones de despliegue:

  • Azure Container Apps
  • Azure App Service
  • Azure Kubernetes Service

Referencia oficial: https://learn.microsoft.com/en-us/azure/container-apps/tutorial-mcp-server-dotnet

Endpoints recomendados

/mcp      → protocolo MCP
/health   → health checks

Nunca uses /mcp como health endpoint.

Nota del autor: siento repetir esto, pero cuando lo ves, lo explicas 1 vez, 2 veces, …, pues insistes otra vez.

7. Problemas reales en producción

Cuando sales de local aparecen problemas serios.

7.1 Transporte

  • streaming HTTP
  • proxies que rompen conexiones
  • buffering inesperado

7.2 Escalado

  • sesiones implícitas
  • balanceadores no preparados
  • pérdida de contexto

7.3 Seguridad

  • autenticación
  • exposición de tools
  • ejecución indirecta

7.4 Observabilidad

  • correlación entre tool calls
  • trazabilidad de decisiones

8. Insight clave

Este es el punto que debes interiorizar:

MCP introduce ejecución remota de capacidades controladas por un modelo.

Eso cambia completamente:

  • el modelo de seguridad
  • el modelo de testing
  • el modelo de arquitectura

9. Patrón recomendado

Estructura de solución

/src
 ├── Domain
 ├── Application
 ├── Infrastructure
 ├── Adapters.Mcp
 └── Adapters.Rest (opcional)

Principios

  • MCP = adapter, no core
  • dominio independiente
  • casos de uso testeables
  • infraestructura desacoplada
  • tools sin lógica

Para terminar

MCP es una pieza clave en la arquitectura de sistemas con IA.

Pero no es el sistema.

Si diseñas directamente alrededor de MCP:

  • pierdes testabilidad
  • pierdes control
  • pierdes capacidad de evolución

Si lo usas correctamente:

  • ganas interoperabilidad con agentes
  • mantienes arquitectura sólida
  • puedes escalar en Azure

No construyas un MCP Server.
Construye capacidades bien diseñadas y expónlas vía MCP.

Nota del autor

Una observación recurrente en proyectos recientes es que muchas de las malas prácticas en torno a MCP aparecen en desarrollos realizados en Python.

Es importante matizar que esto no es un problema del lenguaje en sí —aunque, como cualquier stack, tiene sus limitaciones—, sino principalmente una cuestión de falta de disciplina arquitectónica.

En muchos casos se detecta:

  • ausencia de separación clara entre dominio, aplicación e infraestructura

  • lógica de negocio incrustada en handlers o tools

  • falta de contratos explícitos

  • baja testabilidad desde el diseño

  • falta de testing (derivado de lo anterior)

Python facilita iterar rápido, pero también facilita saltarse estructuras formales si no se imponen desde el inicio. En entornos MCP esto se agrava, porque el protocolo introduce una capa adicional de complejidad (ejecución indirecta, tools, agentes, etc.).

La conclusión no es “evitar Python”, sino:

sin un modelo de arquitectura limpia, cualquier lenguaje deriva rápidamente en sistemas difíciles de mantener, testear y escalar.

En contextos enterprise —especialmente cuando se integran agentes y MCP—, la disciplina arquitectónica deja de ser opcional.

]]> https://jmfloreszazo.com/mcp-en-sistemas-enterprise-como-disenar-gobernar-y-escalar-en-net-y-azure-i/feed/ 0 MCP en sistemas enterprise: cómo diseñar, gobernar y escalar en .NET y Azure (II) https://jmfloreszazo.com/mcp-en-sistemas-enterprise-como-disenar-gobernar-y-escalar-en-net-y-azure-ii/ https://jmfloreszazo.com/mcp-en-sistemas-enterprise-como-disenar-gobernar-y-escalar-en-net-y-azure-ii/#respond Fri, 17 Apr 2026 08:13:31 +0000 https://jmfloreszazo.com/?p=5364
Control plane de IA: APIM, seguridad y escalado real en Azure

Introducción

En la primera parte hemos dejado claro algo fundamental:

MCP no es tu arquitectura. Es un adaptador.

Pero eso abre una pregunta crítica:

¿Qué controla realmente lo que un agente puede hacer cuando usa MCP?

Porque aquí cambia el paradigma.

Ya no hablamos de:

  • APIs invocadas por humanos
  • o sistemas integrándose de forma explícita

Ahora hablamos de:

un modelo tomando decisiones y ejecutando capacidades reales en tu sistema

Y eso tiene implicaciones directas en:

  • seguridad
  • gobierno
  • coste
  • escalabilidad

La respuesta en Azure es clara:

API Management como AI Gateway (control plane)

1. El problema real: MCP sin control es una superficie de ataque

Cuando expones MCP, estás exponiendo:

  • tools ejecutables
  • acceso a datos
  • operaciones reales

Pero además introduces un intermediario:

Usuario → LLM → decide → ejecuta tool → sistema

Esto genera nuevos riesgos:

1. Prompt Injection

El modelo recibe instrucciones maliciosas y ejecuta acciones no deseadas.

2. Tool Misuse

Uso indebido de tools válidas pero fuera de contexto.

3. Data Exfiltration

Extracción de datos vía tools.

4. Cost Explosion

Uso descontrolado de tokens o ejecución de operaciones costosas.

Insight clave

MCP convierte un problema de input en un problema de ejecución distribuida.

2. APIM como AI Gateway (control plane de IA)

Microsoft introduce explícitamente este concepto:

https://learn.microsoft.com/en-us/azure/api-management/genai-gateway-capabilities

APIM deja de ser solo un API Gateway y pasa a ser:

un punto de control para modelos, agentes y MCP servers

3. Qué aporta realmente APIM en escenarios MCP

No es solo “poner un gateway delante”.

3.1 Control de acceso y autenticación

  • integración con Entra ID
  • OAuth para agentes
  • control por consumidor

Sin esto:

  • cualquiera puede invocar tools
  • no hay trazabilidad real

3.3 Control de tokens (FinOps real)

En sistemas clásicos:

  • controlas requests

En IA:

  • controlas tokens

APIM permite:

  • limitar tokens por usuario
  • cortar ejecuciones antes de coste
  • medir consumo real

https://learn.microsoft.com/en-us/azure/api-management/genai-gateway-capabilities

Punto clave

El control debe hacerse antes de que el prompt llegue al modelo.

3.4 Observabilidad semántica

No es logging HTTP.

Es:

  • prompts
  • completions
  • tokens
  • uso de tools

Esto permite:

  • detectar anomalías
  • auditar comportamiento
  • entender decisiones

3.5 Routing inteligente y resiliencia

APIM permite:

  • fallback entre modelos
  • balanceo entre endpoints
  • circuit breaker

Esto es crítico cuando dependes de LLMs.

3.6 Semantic caching

  • cache basado en embeddings
  • reducción de latencia
  • reducción de coste

4. MCP + APIM: patrón correcto

[Agent / Copilot]
        │
        ▼
[APIM - AI Gateway]
        │
        ├── Auth
        ├── Prompt filtering
        ├── Token control
        ├── Observability
        │
        ▼
[MCP Server]
        │
        ▼
[Application / Domain]

5. Seguridad: cómo se mitiga realmente prompt injection

Error típico:

“el modelo lo gestiona”

No.

Estrategia correcta

1. Pre-filter en APIM

  • bloquear inputs maliciosos

2. Validación estricta en MCP

  • schema obligatorio
  • sin inputs libres

3. Dominio protegido

  • invariantes
  • validaciones

4. Observabilidad

  • detección de patrones anómalos

Regla de oro

Cada tool es potencialmente peligrosa.

6. Escalado de MCP en Azure (lo que diferencia a un arquitecto)

Aquí está el valor real.

6.1 Azure Container Apps (ACA)

Cuándo usarlo

  • cargas variables
  • arquitectura event-driven
  • simplicidad operativa

Patrón

Client → APIM → ACA (MCP Server) → Backend

Claves

  • stateless
  • autoscaling por concurrencia
  • cuidado con cold start

6.2 Azure Kubernetes Service (AKS)

Cuándo usarlo

  • alta carga
  • control fino
  • escenarios enterprise

Patrón

Client → APIM → Ingress → Pods MCP → Backend

Claves

  • estado fuera (Redis, DB)
  • affinity si hay sesiones
  • configuración de streaming (SSE)
  • HPA basado en métricas reales

Problema importante

MCP no es naturalmente stateless.

Tienes que diseñarlo como tal.

6.3 Azure MCP Server (managed)

https://learn.microsoft.com/en-us/azure/developer/azure-mcp-server/overview

Qué es

  • servicio gestionado
  • acceso a capacidades Azure vía MCP

Cuándo usarlo

  • acelerar integraciones
  • evitar infraestructura

Limitación

  • no sustituye tu backend

7. Arquitectura de referencia completa

                [Agents]
                    │
                    ▼
           [APIM - AI Gateway]
                    │
        ┌───────────┴───────────┐
        ▼                       ▼
[MCP Server Layer]     [Other APIs]
        │
        ├── Redis
        ├── Service Bus
        └── Databases
        │
        ▼
[Application / Domain]

8. Decisión arquitectónica

Sin APIM:

  • no hay control
  • no hay gobierno
  • no hay seguridad real

Con APIM:

  • tienes control plane
  • puedes escalar
  • puedes operar

MCP define cómo ejecutar.
APIM define qué está permitido ejecutar.

Para terminar

En sistemas con IA:

  • el modelo decide
  • MCP ejecuta
  • tu sistema responde

Pero alguien tiene que gobernar ese flujo.

En Azure, ese “alguien” es:

API Management como AI Gateway

Nota:

No expongas capacidades a un agente sin un control plane.
Porque en ese momento, ya no controlas el sistema tú.

Si revisas mis repositorios y artículos anteriores, verás que esta preocupación no es nueva.

En particular, llevo tiempo trabajando y escribiendo sobre piezas que hoy encajan directamente en este problema:

  • Reverse proxy y control de tráfico con YARP
  • Exposición y gobierno de capacidades (antes APIs, ahora MCP)
  • Evolución hacia modelos más dinámicos y agentic

Si conectas esos puntos, verás que el patrón es el mismo:

control del flujo, control de la ejecución y desacoplo de responsabilidades

Lo único que ha cambiado es el actor que está en medio.

Antes era un cliente.
Ahora es un modelo.

Y quizá ahora se entienda mejor por qué esta preocupación surgió en cuanto MCP empezó a hacerse mainstream: fue entonces cuando se hicieron evidentes, de forma bastante clara, muchas de sus carencias en escenarios reales.

Porque al final, el problema nunca ha sido la tecnología concreta.

El problema es no tener control sobre cómo se utiliza.

]]> https://jmfloreszazo.com/mcp-en-sistemas-enterprise-como-disenar-gobernar-y-escalar-en-net-y-azure-ii/feed/ 0 AÑADIENDO INTELIGENCIA A TUS APLICACIONES CON GITHUB COPILOT CLI https://jmfloreszazo.com/anadiendo-inteligencia-a-tus-aplicaciones-con-github-copilot-cli/ https://jmfloreszazo.com/anadiendo-inteligencia-a-tus-aplicaciones-con-github-copilot-cli/#respond Fri, 10 Apr 2026 15:10:17 +0000 https://jmfloreszazo.com/?p=5332
Cuando hablamos de añadir IA a una aplicación, lo primero que viene a la cabeza es desplegar un modelo. Azure AI Foundry, OpenAI, un endpoint de inferencia… y empezar a hacer llamadas HTTP.

Funciona. Pero hay otro camino que a veces olvidamos.

Quienes llevamos tiempo en esto sabemos que la CLI siempre fue el sitio donde las cosas pasan de verdad. Antes de que existieran los dashboards, los portales y las interfaces gráficas, estaba el terminal. Y sigue estando.

GitHub Copilot CLI es exactamente eso: inteligencia artificial accesible desde la línea de comandos. Sin desplegar modelos, sin configurar endpoints, sin gestionar claves de API de un servicio en la nube.

Y lo interesante es que puedes integrarlo directamente en tus aplicaciones.

LA IDEA

En lugar de montar una infraestructura de IA completa, ¿por qué no usar lo que ya tienes instalado?

Si tienes GitHub CLI con la extensión Copilot, ya tienes un LLM disponible en tu máquina. Solo necesitas un proceso hijo que lo invoque.

La arquitectura es deliberadamente simple:

[Tu aplicación] → [Servidor Node.js] → [Copilot CLI] → [Respuesta IA]

Sin Azure AI Foundry. Sin claves de API rotando. Sin costes por token.

Copilot CLI como backend de IA para prototipado rápido y herramientas internas.

Obviamente, para producción a escala, querrás un servicio gestionado. Pero para herramientas internas, demos, prototipos y flujos de trabajo de equipo, este enfoque es sorprendentemente potente.

EL CASO PRÁCTICO: UN PLUGIN DE POWERPOINT

Para demostrarlo, he construido un Add-in de PowerPoint que genera presentaciones a partir de Markdown, con Copilot CLI como motor de generación de contenido.

El flujo es:

  1. El usuario escribe un prompt: «5 diapositivas sobre computación cuántica»
  2. El servidor invoca `copilot.exe` con ese prompt
  3. Copilot devuelve Markdown estructurado
  4. El plugin parsea el Markdown y genera las slides

Pero lo interesante no es el plugin en sí. Es cómo se integra Copilot CLI en el backend.

INVOCANDO COPILOT CLI DESDE NODE.JS

La pieza central es un servidor Express que actúa como proxy hacia el binario de Copilot:
const { execFile } = require("child_process");
const path = require("path");
const os = require("os");

let cachedGhToken = null;

function getGhToken() {
  return new Promise((resolve, reject) => {
    const ghPath = "C:\\Program Files\\GitHub CLI\\gh.exe";
    execFile(ghPath, ["auth", "token"], { timeout: 10000 }, (err, stdout) => {
      if (err) {
        reject(new Error("Ejecuta 'gh auth login' primero."));
        return;
      }
      resolve(stdout.trim());
    });
  });
}

function runCopilotCli(prompt) {
  return new Promise(async (resolve, reject) => {
    if (!cachedGhToken) {
      cachedGhToken = await getGhToken();
    }

    const copilotPath = path.join(
      os.homedir(),
      "AppData", "Local", "GitHub CLI", "copilot", "copilot.exe"
    );

    execFile(
      copilotPath,
      ["-p", prompt, "-s", "--no-ask-user"],
      {
        timeout: 120000,
        maxBuffer: 1024 * 1024,
        env: { ...process.env, GH_TOKEN: cachedGhToken },
      },
      (error, stdout, stderr) => {
        if (error) {
          reject(new Error(stderr || error.message));
          return;
        }
        resolve(stdout.trim());
      }
    );
  });
}

Puntos clave:

– No usamos `gh copilot`. Invocamos directamente el binario `copilot.exe` que la extensión instala en `AppData/Local/GitHub CLI/copilot/`.
– El token se obtiene de `gh auth token` y se cachea. El binario necesita `GH_TOKEN` como variable de entorno para autenticarse.
– Flags: `-p` para modo no interactivo, `-s` para salida limpia (solo la respuesta), `–no-ask-user` para que no haga preguntas de vuelta.

AGENTS Y SKILLS: DANDO PERSONALIDAD A LA IA

Tener un LLM disponible está bien. Pero la diferencia entre una respuesta genérica y una respuesta útil es el contexto.

Aquí es donde entra el concepto de Agents y Skills.

Un Agent es una personalidad predefinida con instrucciones de sistema. Un Skill es una capacidad concreta que se inyecta en el prompt.

En el servidor, se definen así:

const AGENTS = {
  "profesor-secundaria": {
    name: "🎓 Profesor de Secundaria",
    systemPrompt: `Eres un profesor de secundaria carismático y didáctico. 
Tu objetivo es que los alumnos de 12 a 16 años entiendan cualquier tema.
- Usa lenguaje sencillo y cercano
- Incluye ejemplos del día a día
- Usa analogías divertidas y memorables
- Añade datos curiosos: "¿Sabías que...?"
- Incluye preguntas retóricas para fomentar la reflexión`,
  },
  "storyteller": {
    name: "📖 Storyteller",
    systemPrompt: `Eres un narrador que convierte cualquier tema en una historia.
Usa arcos narrativos: problema, desarrollo, conclusión.
Haz que cada diapositiva sea un capítulo.`,
  },
};

const SKILLS = {
  "analogias-cotidianas": {
    name: "🔄 Analogías Cotidianas",
    instruction: `Para cada concepto, añade una analogía cotidiana.
Ejemplo: "La CPU es como el cerebro: procesa todas las decisiones".
Usa objetos que un adolescente conoce: móviles, videojuegos, redes sociales.`,
  },
  "quiz-interactivo": {
    name: "❓ Quiz Interactivo",
    instruction: `Al final, añade una slide de "Quiz Rápido" con 3-5 preguntas.
Incluye verdadero/falso, opción múltiple, completar la frase.`,
  },
  "datos-curiosos": {
    name: "🤯 Datos Curiosos",
    instruction: `Incluye al menos un dato sorprendente por diapositiva.
Formato: "🤯 ¿Sabías que...?" — datos verificables que generen "wow".`,
  },
};
Cuando el usuario hace una petición a Copilot, el servidor construye el prompt completo inyectando el agente activo y los skills seleccionados:
function buildSystemContext() {
  const agent = AGENTS[activeAgentId];
  let context = "";

  if (agent) {
    context += `=== AGENTE: ${agent.name} ===\n${agent.systemPrompt}\n\n`;
  }

  for (const skillId of activeSkillIds) {
    const skill = SKILLS[skillId];
    if (skill) {
      context += `[${skill.name}]\n${skill.instruction}\n`;
    }
  }

  return context;
}

El prompt final que llega a Copilot CLI tiene esta estructura:
=== AGENTE: 🎓 Profesor de Secundaria ===
Eres un profesor de secundaria carismático y didáctico...

[🔄 Analogías Cotidianas]
Para cada concepto, añade una analogía cotidiana...

[🤯 Datos Curiosos]
Incluye al menos un dato sorprendente por diapositiva...

=== INSTRUCCIONES DE FORMATO ===
Genera contenido en formato Markdown para una presentación.
Usa # para título, ## para diapositivas, - para puntos.

Solicitud del usuario: 5 diapositivas sobre computación cuántica

El resultado: el mismo prompt del usuario genera contenido completamente diferente según el agente y los skills activos.

Un prompt sin contexto es una pregunta al aire. Un prompt con agente y skills es una instrucción precisa.

LA INTERFAZ: SELECCIÓN EN TIEMPO REAL

En el panel lateral del Add-in (aquí volvemos a ver como el UI ya cambia con respecto a los clic-clic habituales), el usuario selecciona el agente con un dropdown y activa/desactiva skills con chips interactivos. La configuración se sincroniza con el servidor en tiempo real:

async function syncConfig() {
  const agentId = document.getElementById("agent-select").value;
  const skillIds = Array.from(
    document.querySelectorAll(".skill-chip.active")
  ).map((el) => el.dataset.skillId);

  await fetch(`${SERVER_URL}/api/config`, {
    method: "POST",
    headers: { "Content-Type": "application/json" },
    body: JSON.stringify({ agentId, skillIds }),
  });
}

Cada vez que el usuario cambia de agente o toca un skill, la siguiente petición a Copilot CLI ya lleva el nuevo contexto.

No hay página de configuración separada. No hay guardado manual. Cambias, generas, ves el resultado.

CÓMO PROBARLO

Requisitos:

  • Node.js 18+
  • GitHub CLI con la extensión Copilot: `gh extension install github/gh-copilot`
  • PowerPoint desktop (Windows)
  • Y este repositorio:
Ejemplo 
# Clonar e instalar
git clone <repositorio>
cd pptx_maker_with_gc_cli
npm install

# Levantar servidores (webpack + backend)
npm run dev

# Cargar el Add-in en PowerPoint
npx office-addin-debugging start manifest.xml

Ese último comando es clave. Abre PowerPoint directamente con el Add-in cargado. Sin buscar menús de sideloading, sin copiar manifiestos a carpetas compartidas.

Una vez abierto:

  1. Selecciona un agente (Profesor de Secundaria viene por defecto)
  2. Activa los skills que quieras
  3. Escribe un prompt: «Explica el ciclo del agua para mi clase de 2º ESO»
  4. Click en «Generar con Copilot CLI»
  5. Las slides aparecen en la vista previa
  6. Click en «Crear Presentación» para generarlas en PowerPoint

POR QUÉ ESTE ENFOQUE ES INTERESANTE

Azure AI Foundry es la opción correcta para producción. No hay discusión.

Pero no siempre estás en producción.

A veces necesitas:

  • una demo rápida que funcione sin infraestructura cloud
  • una herramienta interna para un equipo pequeño
  • un prototipo para validar una idea antes de invertir en servicios
  • enseñar a alguien cómo funciona la IA aplicada, sin que tenga que crear una cuenta en Azure
  • y saliendo a cosa más serias:
    • podrás crear una presentación con los issues asociados a tu proyecto de GitHub sin tener que conectarte a las apis.
    • listar todos los commits y llevarlos a la presentación de power point.
    • la imaginación es tu límite.

Copilot CLI cubre todos esos escenarios.

Y el patrón de Agents + Skills es reutilizable. Hoy genera presentaciones. Mañana puede generar informes, emails, documentación técnica o cualquier otro contenido que necesite contexto y personalidad.

La inteligencia no está solo en el modelo. Está en cómo lo invocas.

LO QUE SIEMPRE SUPIMOS

La línea de comandos fue el primer lugar donde automatizamos cosas. Pipes, scripts, procesos encadenados.

Ahora la línea de comandos tiene IA dentro.

Y la forma de integrarla en tus aplicaciones es exactamente la misma que siempre usamos: un `exec`, unas flags, y un resultado por stdout.

No es glamuroso. Pero funciona.

Y a veces, eso es todo lo que necesitas.

]]> https://jmfloreszazo.com/anadiendo-inteligencia-a-tus-aplicaciones-con-github-copilot-cli/feed/ 0 Construyendo un AI Gateway sobre YARP en .NET https://jmfloreszazo.com/construyendo-un-ai-gateway-sobre-yarp-en-net/ https://jmfloreszazo.com/construyendo-un-ai-gateway-sobre-yarp-en-net/#respond Tue, 17 Mar 2026 10:39:34 +0000 https://jmfloreszazo.com/?p=5320

Cada vez más aplicaciones empiezan a usar LLMs. Integrar un modelo es sencillo: haces una llamada HTTP y listo.

El problema aparece cuando la IA pasa a producción.

Entonces necesitas:

  • guardrails

  • control de acceso

  • protección de datos sensibles

  • routing entre modelos

  • auditoría

  • control de coste

  • rate limiting

Muchas organizaciones resuelven esto introduciendo un AI Gateway delante de los modelos.

Pero si trabajas en .NET, ya tienes una pieza muy potente para construirlo:
YARP (Yet Another Reverse Proxy).

De ahí nace Yarp.AiGateway.

La idea

En lugar de crear un gateway desde cero, el proyecto extiende YARP e introduce capacidades específicas de IA dentro del pipeline del proxy.

La arquitectura queda así:

  • YARP se encarga del reverse proxy, routing y forwarding.

  • AI Gateway intercepta requests y responses para aplicar políticas de seguridad.

Es un enfoque muy simple pero muy potente.

Qué añade el AI Gateway

El middleware introduce capacidades específicas para trabajar con modelos de IA:

  • detección de prompt injection

  • redacción automática de PII (emails, DNI, IBAN, tarjetas…)

  • análisis semántico de contenido

  • detección de fugas de secretos

  • rate limiting por usuario o tenant

  • routing entre múltiples proveedores

  • auditoría y métricas

Todo configurado con un único archivo:

aigateway.json

Ejemplo de integración:

builder.Services.AddReverseProxy()
    .LoadFromConfig(builder.Configuration.GetSection("ReverseProxy"))
    .AddTransforms(context =>
    {
        context.AddRequestTransform(tc =>
        {
            var apiKey = Environment.GetEnvironmentVariable("AZURE_OPENAI_API_KEY") ?? "";
            tc.ProxyRequest.Headers.TryAddWithoutValidation("api-key", apiKey);
            return ValueTask.CompletedTask;
        });
    });

builder.Services.AddAiGatewayFromJson("aigateway.json");

app.MapReverseProxy(proxyPipeline =>
{
    proxyPipeline.UseAiGatewayGuardrails();
});

YARP sigue haciendo el proxy.

El AI Gateway simplemente añade seguridad e inteligencia al pipeline.

Por qué hacerlo así

Muchos proyectos intentan construir un gateway completo desde cero.

Este proyecto toma un camino distinto:

aprovechar YARP como base y añadir la capa de IA encima.

Esto tiene varias ventajas:

  • reutilizas un proxy probado en producción

  • reduces complejidad

  • mejoras el rendimiento

  • simplificas el mantenimiento

En otras palabras:

YARP = infraestructura
AI Gateway = políticas y seguridad

Un ejemplo sencillo

Imagina una API que permite consultas sobre clima.

Petición válida:

Madrid está a 28°C. ¿Es buen clima para eventos al aire libre?

Respuesta:

200 OK

Pero si el prompt intenta algo fuera de política:

Madrid está a 28°C. ¿Cómo afectaría esto a un partido de fútbol?

El gateway puede bloquearlo antes de que llegue al modelo:

422 Prompt blocked by policy

El modelo nunca llega a ejecutarse.

Protección automática de datos sensibles

Otra ventaja es la sanitización automática.

Entrada enviada por el desarrollador:

Paciente Pepito García, MRN-2024-12345, pepito@hospital.com

El modelo recibe realmente:

[REDACTED_PATIENT], [REDACTED_MRN], [REDACTED_EMAIL]

Esto permite cumplir normativas como GDPR o HIPAA sin depender únicamente del código de las aplicaciones.

La protección se aplica en la capa de infraestructura.

Por qué este enfoque es interesante

La idea principal es simple:

la gobernanza de IA puede vivir en la capa de proxy.

Y si ya usas YARP, no necesitas introducir otra plataforma adicional.

Solo extiendes el pipeline.

Explora el repositorio

El proyecto incluye:

  • integración completa con YARP

  • múltiples proveedores de LLM

  • guardrails configurables

  • ejemplos completos

  • tests automatizados

  • archivos .http para probar rápidamente

Repositorio:

Repositorio en GitHub

Si estás construyendo sistemas con IA en .NET, puede ser una forma interesante de añadir seguridad, control y gobernanza sin añadir demasiada complejidad.

]]> https://jmfloreszazo.com/construyendo-un-ai-gateway-sobre-yarp-en-net/feed/ 0 Azure Artifact Signing — la identidad del software en la era de la supply chain https://jmfloreszazo.com/azure-artifact-signing-la-identidad-del-software-en-la-era-de-la-supply-chain/ https://jmfloreszazo.com/azure-artifact-signing-la-identidad-del-software-en-la-era-de-la-supply-chain/#respond Thu, 12 Mar 2026 07:00:00 +0000 https://jmfloreszazo.com/?p=5302

Durante muchos años en arquitectura de software hemos hablado de:

  • CI/CD

  • DevSecOps

  • SBOM

  • supply chain security

  • SLSA

Pero hay una pregunta que durante demasiado tiempo ha quedado en segundo plano:

¿Cómo sabemos que el binario que estamos ejecutando es realmente el que generó nuestro pipeline?

No el código.

El binario final.

Ahí es donde entra Azure Artifact Signing.

El problema: confiar en binarios

Un pipeline moderno genera artefactos continuamente:

  • ejecutables

  • librerías

  • paquetes

  • contenedores

Ejemplo típico en .NET:

InventoryService.exe
InventoryService.dll
InventoryService.pdb

Esos archivos son artefactos de software.

Pero surge una cuestión crítica:

  • ¿quién generó ese binario?

  • ¿ha sido modificado?

  • ¿proviene de un pipeline legítimo?

La respuesta clásica es code signing.

Una firma criptográfica que permite verificar que el binario:

  1. proviene de una identidad concreta

  2. no ha sido modificado

  3. fue emitido por una autoridad confiable

Revisa este documento: https://learn.microsoft.com/en-us/azure/artifact-signing/how-to-signing-integrations

El problema del Code Signing tradicional

Históricamente firmar software implicaba:

  • comprar certificados

  • proteger claves privadas

  • tokens hardware

  • procesos manuales

  • renovación de certificados

En muchos equipos esto acababa así:

certificado.pfx
password.txt

La propuesta de Azure Artifact Signing

Azure Artifact Signing cambia el modelo:

la firma se convierte en un servicio gestionado en la nube

Las claves privadas se almacenan en HSM gestionados por Azure.

Los desarrolladores no gestionan certificados directamente.

El flujo se integra con el pipeline.

Arquitectura simplificada:

Developer Commit
        │
        ▼
CI/CD Pipeline
        │
        ▼
Artifact Signing (Azure)
        │
        ▼
Signed Artifact
        │
        ▼
Deployment

El resultado es un artefacto que contiene una identidad verificable.

Qué es exactamente un Artifact

Un artifact es el resultado de un build.

Ejemplos comunes:

Tecnología Artifact
.NET .dll, .exe
Docker imagen OCI
npm .tgz
NuGet .nupkg

Ejemplo real:

publish/InventoryService.exe

Ese ejecutable es el artifact que se firmará.

Ejemplo práctico en .NET

1. Crear la aplicación

dotnet new console -n SigningDemo
cd SigningDemo

Programa simple:

Console.WriteLine("Azure Artifact Signing Demo");

Compilamos:

dotnet publish -c Release -r win-x64

Se genera:

bin/Release/net8.0/win-x64/publish/SigningDemo.exe

Ese es el artifact.

Preparar Azure Artifact Signing

En Azure necesitamos tres elementos:

1. Artifact Signing Account

asign-demo

2. Identity validation

Ejemplo:

cp-public-code

Este profile define el certificado usado para firmar.

Metadata de firma

Azure necesita un pequeño archivo JSON que describe qué perfil usar.

metadata.json

{
  "Endpoint": "https://weu.codesigning.azure.net",
  "CodeSigningAccountName": "asign-demo",
  "CertificateProfileName": "cp-public-code",
  "CorrelationId": "build-demo"
}

Firma del ejecutable

Usamos SignTool + Azure CodeSigning library.

Ejemplo:

signtool sign `
 /v `
 /fd SHA256 `
 /tr http://timestamp.acs.microsoft.com `
 /td SHA256 `
 /dlib Azure.CodeSigning.Dlib.dll `
 /dmdf metadata.json `
 SigningDemo.exe

Qué ocurre aquí:

  1. SignTool calcula el hash del binario

  2. Azure Artifact Signing firma ese hash

  3. se adjunta una firma Authenticode al archivo

Resultado:

SigningDemo.exe (signed)

Verificar la firma

Podemos comprobarlo con:

signtool verify /pa SigningDemo.exe

Resultado esperado:

Successfully verified
Publisher: Your Organization

Windows ahora reconoce ese binario como software firmado.

Integración en CI/CD

Lo interesante aparece cuando esto se integra en el pipeline.

Ejemplo conceptual:

GitHub
   │
   ▼
GitHub Actions
   │
   ├ Build .NET
   ├ Generate SBOM
   ├ Artifact Signing
   │
   ▼
Signed Release

Ahora cada release tiene:

  • identidad verificable

  • timestamp

  • provenance del pipeline

Más allá de los ejecutables

Artifact Signing no se limita a .exe.

También puede aplicarse a:

  • paquetes NuGet

  • drivers

  • artefactos Windows

  • otros binarios distribuidos

Esto empieza a ser crítico en modelos modernos de seguridad.

Supply Chain Security

Los ataques recientes han demostrado algo importante:

El objetivo de los atacantes ya no es solo comprometer servidores.

El objetivo es comprometer pipelines.

Ejemplos conocidos:

  • SolarWinds

  • ataques a repositorios npm

  • supply chain malware

Si un atacante compromete el pipeline, el software generado puede parecer legítimo.

La firma añade una capa clave:

solo artefactos generados por identidades verificadas pueden ejecutarse

El detalle arquitectónico importante

Artifact Signing introduce algo que hasta ahora era difuso: la identidad del software.

No solo sabemos:

  • qué código hay

  • qué dependencias tiene

También sabemos:

  • qué organización lo firmó

  • qué pipeline lo generó

  • cuándo se creó

Esto permite construir controles como:

  • execution policies

  • Kubernetes admission control

  • software provenance

  • runtime verification

Hacia pipelines de confianza

El modelo que está emergiendo en muchas organizaciones es este:

Source Code
     │
     ▼
Build Pipeline
     │
     ▼
SBOM generation
     │
     ▼
Artifact Signing
     │
     ▼
Artifact Registry
     │
     ▼
Deployment

Cada paso añade confianza verificable.

Y para terminar

Durante años hemos tratado la seguridad del software como un problema de código.

Pero el verdadero punto crítico suele aparecer después del build.

La pregunta clave no es solo:

¿El código es seguro?

La pregunta real es:

¿Podemos confiar en el binario que estamos ejecutando?

Azure Artifact Signing intenta resolver precisamente eso.

No es simplemente una herramienta más.

Es un paso hacia algo más profundo:

software con identidad verificable.

Y en un mundo donde la supply chain del software es cada vez más compleja, eso empieza a ser absolutamente fundamental.

]]> https://jmfloreszazo.com/azure-artifact-signing-la-identidad-del-software-en-la-era-de-la-supply-chain/feed/ 0