Most fintechs are not financial companies. They're user acquisition machines.

 The global fintech industry generates $378 billion in revenue. Only 100 companies account for 60% of it. Of 650 challenger banks globally, 92 are profitable. And the "later" when growth converts into a sustainable business — that's exactly where most of them fail. Here's what the data says, and what the path out looks like.

Jorge Mercado · #JMCoach 

I've sat in the room when the Series B deck goes up on the screen. The slide titled "Path to Profitability" is always there, always slide 18, always a hockey stick starting somewhere around year four. The investors nod. The founders believe it. And then the capital goes to customer acquisition, to marketing, to headcount that scales the funnel — not the margin. I've seen this in fintech, in insurtech, in payments platforms, in neobanks. The model is elegant on paper: acquire users cheaply at scale, convert them to revenue-generating products later, build defensibility through data and switching costs. The problem is that "later" requires a different kind of organization than the one built to execute "acquire cheaply at scale." And most fintechs never make that transition. Not because they're bad companies. Because they never designed for it.

$378Bglobal fintech revenues in 2024 — 21% growth year over year, up from 13% in 2023BCG / QED Investors 2025

3%of global banking and insurance revenue pools currently held by fintechs — in a $13 trillion marketBCG / QED Investors 2025

92 of 650global challenger banks are profitable as of Q1 2025 — only 24 generate over $500M in annual revenueQED Investors · BCG 2025

$1.5Tprojected fintech market size by 2030 — roughly 5x current revenues, if the right business models are builtBCG · QED Investors · WEF 2025

69%of publicly listed fintechs were profitable in 2024 — up from less than half in the previous yearBCG / QED / FT Partners 2025

The fintech companies that have crossed from growth machines to profitable institutions share one thing in common: they built the operational infrastructure before they needed it, not after the unit economics stopped working. The ones still burning capital in year six are paying the price of having optimized the funnel while leaving the foundation unbuilt.

The uncomfortable math of fintech economics

The headline numbers are seductive. Global fintech revenues grew 21% in 2024, outpacing incumbent financial services players by a factor of more than three. The AI in fintech market will grow from $30 billion in 2025 to $83.1 billion by 2030. There are 242 fintech unicorns globally valued at $950 billion. Revolut reached a $75 billion valuation. Stripe is valued at $91.5 billion. The sector has more privately held unicorns than any other industry — 16% of the total.

Now read the other numbers. Fewer than 100 of the approximately 37,000 fintech companies globally account for roughly 60% of industry revenue. Of 650 global challenger banks, only 92 are profitable — and of those, only 24 generate revenues above $500 million annually. Fintechs hold just 3% of the global banking and insurance revenue pool. BCG and QED Investors concluded in their 2025 report that the sector is reaching "a moment of reckoning" where investors are demanding maturity, and the path forward requires what they called "greater maturity in relatively pedestrian domains such as risk management and pricing."

Pedestrian. That word is doing a lot of work. Risk management. Pricing. Compliance architecture. Data governance. Fraud detection. These are not exciting topics for a Series A pitch. They are the difference between a fintech that burns through its runway and a fintech that builds a business.

"Most fintechs today are not really 'financial' companies — they are user acquisition machines financed by capital, trying to become profitable financial institutions afterward. That 'afterward' is where most of them fail, especially when they are just burning money."— Jorge Mercado · #JMCoach · CNBV-regulated fintech executive

Mexico: the second-largest fintech market in Latin America — with all the same problems at local scale

Mexico is a case study in fintech's dual nature: enormous potential, real progress, and structural challenges that the growth metrics often obscure. There are now over 1,000 fintechs operating in Mexico — 803 local companies and 301 foreign players, including NuBank and Revolut — making it the second-largest fintech market in Latin America after Brazil. Revenue for local fintechs grew 31% in 2024, reflecting a shift toward profitability and operational efficiency. The payments and remittances segment alone is projected to grow 76% by 2027.

The opportunity is real. Fewer than 70% of Mexican adults have a bank account. 85.2% of adults still use cash as their primary payment method for purchases under 500 pesos. Mexico handles over $66 billion annually in remittances — Bitso alone processed $6.5 billion in stablecoin remittances in 2024. Digital account ownership rose 15 percentage points over five years, and digital payments grew from 29% to 46% of adults. The market is moving.

But the regulatory and operational reality is harder. Only 84 fintech companies are fully regulated by the CNBV as of 2025, under Mexico's Fintech Law enacted in 2018. In December 2024, the CNBV revoked the license of a SOFIPO for 15 months of non-compliance with capitalization requirements. Three Mexican financial institutions were sanctioned by the U.S. Treasury in June 2025 for facilitating money laundering. The regulatory sandbox has received no authorized entities as of 2025 — reflecting ongoing regulatory caution about models that aren't operationally ready for the framework they're asking to operate in.

The gap between "operating a fintech app" and "operating a regulated financial institution" is not a compliance checkbox. It is a full redesign of how the organization makes decisions, manages risk, controls data, and aligns its technology with the business it is legally permitted to do.

1,004fintech providers operating in Mexico in 2024 — 803 local, 301 foreign, second only to Brazil in LATAMFinnovista Fintech Radar Mexico 2024

+31%revenue growth for local Mexican fintechs in 2024 — reflecting a shift toward profitability and operational efficiencyFinnovista · Chambers 2025

84fintechs fully regulated by the CNBV out of 1,000+ operating — the compliance gap is structuralCNBV · Mexico Business News 2025

$865Mventure capital invested in Mexican fintech in 2024 — 74% of all VC deployed in Mexico that yearFinnovista 2025 · Galileo FT

Mexico has 85 million smartphone users and 97 million people with internet access — yet 85% of purchases under 500 pesos are still made in cash. The infrastructure for change exists. The operational models to close that gap profitably are the missing piece for most fintechs attempting to serve it.

Where the money goes and why it doesn't come back

I want to be specific about where fintech economics break down, because it's not one problem. It's a cluster of related problems that reinforce each other when the organization doesn't have a coherent operating architecture connecting them.

The customer acquisition cost trap

The problem that doesn't show up in the deck

Fintechs compete for customers against incumbents with free checking accounts, established trust, and 40 years of brand equity. To win, they subsidize the customer relationship: better rates, no fees, cashback, referral bonuses. The unit economics at acquisition are frequently negative. The model assumes the customer will generate revenue later through product expansion — credit, insurance, investments, business banking. The problem is that the product expansion requires a completely different operational and regulatory infrastructure than the one that won the customer. Most fintechs build the acquisition engine first and then discover that the expansion engine requires a rebuild they weren't prepared for.

AI that was sold as a shortcut and became a liability

The real cost of poorly implemented AI in fintech

The promise of AI in fintech is legitimate: automated credit scoring, fraud detection at scale, personalized product recommendations, regulatory reporting, customer service. The WEF surveyed 240 fintech firms in 2025 and found that among those using AI effectively, 74% reported higher profitability and 75% reported reduced costs. That's a real result. But the same data shows what happens when AI is implemented without the supporting architecture: shadow AI (employees using unauthorized AI tools) added an average of $670,000 to breach costs per incident. Fintechs that deployed AI models on top of fragmented data without governance frameworks found themselves with models that produced biased credit decisions, compliant-looking fraud alerts that missed actual fraud, and customer service bots that created regulatory exposure by giving wrong financial advice at scale. AI doesn't fix a broken process. It scales it.

The silo problem that everyone sees and no one solves

How operational silos destroy fintech unit economics

In a typical mid-sized fintech, the team that built the onboarding flow doesn't talk to the team that runs compliance. The team that runs compliance doesn't share data with the team that runs risk. The team that runs risk built its models on data that the data engineering team has since changed the schema for — and nobody updated the models. Each team is optimizing their own metrics. The result is a company where the customer experience is designed by marketing, the risk model is designed by analysts, the compliance process is designed by lawyers, and the technology is designed by engineers — and none of the four are working from the same version of what the business is actually trying to do. That fragmentation doesn't show up in the monthly active user count. It shows up in the loan default rate, in the compliance finding, in the customer churn 90 days after activation when the product doesn't deliver on what the acquisition promised.

The fintech that has a single source of truth — where the customer data, the risk model, the product logic and the compliance framework are connected to the same reality — operates with a structural advantage that cannot be replicated by adding more engineers or more funding. It is an architecture decision, not a hiring decision.

What actually works — and why it's simpler than the consultants make it sound

Here is what I have observed across fintech operations in regulated environments — CNBV-supervised institutions, PCI-DSS-compliant platforms, KYC-intensive onboarding flows, and AI in production for credit, fraud, and customer service. The organizations that work are not the most sophisticated. They are the most coherent. Their processes are simple, well-defined and actually followed. Their systems reflect those processes. Their data is governed by someone who understands what it means for the business. And their AI is an accelerator of that coherence — not a substitute for it.

The path from acquisition machine to financial institution

What the 24 profitable challenger banks with $500M+ revenue did differently

BCG and QED documented in their 2025 fintech report that the 24 scaled challenger banks generating over $500 million in annual revenue were growing deposits at 37% annually — 30 percentage points faster than traditional banks. What they did differently isn't mysterious. They stopped measuring success in monthly active users and started measuring it in revenue per active customer, net interest margin, loss rates, and regulatory capital efficiency. Those metrics require a different operating model. They require credit risk teams that talk to product teams. They require compliance architectures that are built into the customer journey, not bolted on. They require data that is clean enough to be used in regulatory reporting and rich enough to improve model performance simultaneously.

The WEF survey of 240 fintechs found that 83% using AI effectively reported improved customer experience and 74% reported higher profitability. The key word is "effectively" — which in every case meant AI deployed on top of coherent processes and clean data, not as a layer on top of chaos.

The process-first principle that nobody wants to hear

Why simplicity is the actual competitive advantage

Every fintech founder I've met believes their product is complex. Some of them are right. But almost none of them have a simple, clear map of how their business actually works: how a customer moves from discovery to activation to revenue-generating product usage, what happens at each step, who owns each decision, what data is collected and how it flows, and where risk is created and managed. That map — call it process architecture, call it business architecture, call it whatever you want — is the thing that allows AI to add value instead of creating liability. A well-designed credit model running on consistent, governed data catches fraud and prices risk accurately. The same model running on 14 different data schemas across 6 legacy tables with inconsistent definitions catches some fraud, misprices some risk, and generates enough regulatory exposure to offset the cost savings three times over.

Fintech lenders now manage over $500 billion in loans globally. The ones with the lowest loss rates are not the ones with the most sophisticated models. They're the ones where the model knows exactly what data it's working with and the business knows exactly what the model is doing.

The fintech that thrives at scale is not the one with the best engineers or the most ambitious AI roadmap. It's the one where the CEO can explain how the business makes money, the CTO can explain how the systems support that, and the CCO can explain how compliance is embedded in both. When those three stories align, the organization executes. When they don't, the capital fills the gap temporarily.

The AI opportunity — for those who are ready for it

The AI opportunity in fintech is genuine and large. The AI in fintech market is valued at $30 billion in 2025 and is projected to reach $83.1 billion by 2030. Generative AI in banking and finance is projected to grow from $1.29 billion in 2024 to $21.57 billion by 2034. Those numbers represent real value creation — in fraud detection, credit underwriting, regulatory compliance automation, customer service, and risk monitoring.

But the WEF is precise about the precondition: 74% of fintechs that reported higher profitability from AI had adopted it as part of a coherent operational strategy — not as a standalone product initiative. The fintechs that installed AI on top of fragmented data and undefined processes got the opposite result: higher operational costs from model maintenance, regulatory findings from AI-driven decisions that couldn't be explained to auditors, and customer complaints from personalization systems that made recommendations based on incorrect data.

The right sequence is not: build product, acquire users, add AI, figure out operations. The right sequence is: define the business model, design the processes that support it, build the data architecture those processes require, and then deploy AI to accelerate the parts of that architecture that benefit from it. That sequence is less exciting to pitch. It produces dramatically better outcomes at scale.

The four questions every fintech board should be able to answer

What is our unit economics at 36 months of customer tenure? Not the blended average across all cohorts — the specific number for customers acquired in the last 12 months, at current CAC, with current product penetration. If the answer requires more than 30 seconds to retrieve, the data architecture is not serving the business.

Where exactly does revenue leak between product promise and revenue realization? Every fintech has a gap between the value the product promises and the revenue the customer generates. Mapping that gap precisely is not a marketing exercise — it is the foundation of every improvement initiative worth funding.

How much of our AI model performance can we explain to a regulator? Not in general terms — in specific terms, for the last 90 days, for the specific population segment the regulator is asking about. If the answer is "we'd need to check with the data team," the compliance architecture is not integrated with the operational reality.

If the two engineers who built the core of our platform left tomorrow, what would break and why? This is the knowledge architecture question. In most fintechs, the answer is "more than we'd like to admit." The technical debt in the knowledge layer is almost always larger than the technical debt in the code.

The fintech market is not over. The $1.5 trillion opportunity by 2030 is real. The 3% penetration of a $13 trillion banking and insurance market means there is more room to grow than there is market already captured. But capturing it profitably requires something the first era of fintech consistently underinvested in: the operational and architectural coherence that turns a user acquisition machine into a financial institution.

The companies that figure that out — not the ones with the best product or the most capital, but the ones with the clearest view of how their business actually works and the discipline to build systems that reflect that — are the ones that will still be here at the end of the decade. The ones that don't will have contributed impressive user growth metrics to the industry's story and burned through their investors' capital doing it.

That "afterward" doesn't have to be a mystery. It just has to be designed.

Sources: BCG / QED Investors "Fintech's Next Chapter" 2025 · WEF "Future of Global Fintech: From Rapid Expansion to Sustainable Growth" 2025 (Cambridge Centre for Alternative Finance, Cambridge Judge Business School) · FT Partners FinTech Strategic Insights 2025 · Finnovista Fintech Radar Mexico 2024 / 2025 · CNBV · Mexico Business News 2025 · Chambers & Partners Fintech 2025 Mexico · Galileo Financial Technologies 2025 · Miranda Intelligence 2025 · IBM Cost of a Data Breach Report 2025 · Statista / Mordor Intelligence · QED Investors blog "Fintech's Next Chapter" Q1 2025 · The Digital Banker / ABA Banking Journal June 2025.

Jorge Mercado · #JMCoach
Certified Professional Coach · CTO · Enterprise Architecture · C-Level
CNBV-regulated fintech · PCI-DSS · KYC · Face-ID · AWS Bedrock + Anthropic + MCP in production
SOFOM/SOFIPO migration · Data Lake · AI in production · Regulated sectors across Mexico and LATAM

twitter.com/JormerMx  ·  linkedin.com/in/mxjormer  ·  jmcoach-mx.blogspot.com

Realidades de seguridad con la IA en producción

 

La IA que defiende:
casos que ya
funcionan en producción

Existen casos interesantes de uso real de la IA, ahora en este artículo comaprto algo que me gusto en El Foro Económico Mundial que publicó en mayo de 2026 su White Paper más relevante sobre ciberseguridad: la IA no es solo una herramienta para después del despliegue #JMCoach. Es la columna vertebral de un sistema de defensa que debe construirse desde que nace el primer línea de código, el primer proceso y el primer dato. Estos ocho casos lo demuestran con resultados reales.

Jorge Mercado · #JMCoach 

La primera vez que alguien me explicó el principio del defensor asimétrico, lo entendí de inmediato al iniciar mi formación en Hackeo ético a inicios del 2000: el atacante solo necesita encontrar una grieta. El defensor tiene que cubrir todo el sistema, todo el tiempo. Esa desigualdad existía mucho antes de la inteligencia artificial, pero la IA la hace más brutal — porque ahora lo que antes requería semanas de reconocimiento, generación de malware y evasión de controles, puede ejecutarse en minutos. La buena noticia, documentada con datos verificables de IBM, el Foro Económico Mundial, KPMG y las firmas de ciberseguridad más importantes del mundo, es que la misma tecnología que potencia a los atacantes es la que está invirtiendo esa ecuación para los defensores. Pero solo cuando se usa bien. Solo cuando se incorpora desde el inicio, no como parche después de que el daño ya ocurrió. Prevenir, trazabilidad y observabilidad ayudan, más aún ayuda hacer bien las cosas desde un incio.

$4.44Mcosto promedio global de una brecha de datos en 2025 — primer descenso en cinco años gracias a IA defensivaIBM Cost of a Data Breach Report 2025

$10.22Mcosto promedio de una brecha en EE.UU. — récord histórico, impulsado por multas regulatorias y detección tardíaIBM · 2025

$1.9Men ahorros por brecha que logran las organizaciones con uso extensivo de IA y automatización en seguridadIBM Cost of a Data Breach Report 2025

97%de las brechas relacionadas con IA ocurrieron en organizaciones que no tenían controles de acceso para sus sistemas de IAIBM · 2025

80 díasde reducción en el ciclo de vida de una brecha cuando la organización usa IA extensivamente en su operación de seguridadIBM · 2025

Un SOC moderno con IA incorporada no reemplaza al analista humano — lo multiplica. Mientras un analista revisa un caso, la IA está procesando miles de señales en paralelo, generando hipótesis, priorizando amenazas y ejecutando respuestas en los casos donde la velocidad lo requiere y el riesgo lo permite. Esa combinación es la que está reduciendo los tiempos de contención a los niveles más bajos de la última década.

Por qué la seguridad desde el inicio no es opcional — es rentable

El reporte del Foro Económico Mundial de mayo de 2026, elaborado en colaboración con KPMG con la participación de más de 105 representantes de 84 organizaciones en 15 industrias, parte de una premisa que los profesionales de tecnología conocemos pero que los consejos directivos raramente entienden en términos financieros: la IA defensiva no es una capa que se agrega encima de lo que ya existe. Es un principio de diseño que debe estar presente desde que se concibe el primer proceso, se escribe el primer código o se define la primera arquitectura de datos.

El costo de no hacerlo es medible. El 63% de las organizaciones investigadas por IBM no tiene ninguna política de gobernanza de IA — ni para gestionar sus propios sistemas de IA ni para prevenir que los empleados usen herramientas no autorizadas. El resultado directo: la IA en la sombra (shadow AI) estuvo involucrada en el 20% de todas las brechas de datos de 2025, añadiendo un costo adicional promedio de $670,000 dólares por incidente en comparación con brechas sin ese componente. Adicionalmente, la mayoría no lleva gobierno de IT o Datos, tampoco gestión de riesgos y seguridad formalmente. No hablamos de deuda técnica, sino de pérdidas económicas, de tiempo y reputacionales en las empresas, que se cuantifican en millones de pesos. De hecho muchos de los problemas de sus sistemas son el reflejo de esta forma de no definir y alinear adecuadamente las áreas de la empresa.

La diferencia entre una organización que incorpora seguridad con o sin IA desde el diseño y una que la agrega como parche no es solo técnica. Es financiera, operativa, regulatoria y de confianza. Y los ocho casos que siguen son la evidencia de que se puede hacer — con método, con propósito y sin convertir la seguridad en un obstáculo para el negocio.

La seguridad incorporada desde el diseño no es más cara que la seguridad agregada después de un incidente. El análisis de IBM muestra que el enfoque DevSecOps reduce el costo de una brecha en $227,192 dólares en promedio. Una línea de código segura escrita hoy cuesta infinitamente menos que una brecha contenida en 241 días.

Los ocho casos — de la gobernanza a la recuperación

El WEF organizó los casos según el marco NIST Cybersecurity Framework 2.0: Gobernar, Identificar, Proteger, Detectar, Responder y Recuperar. Lo que sigue son ocho casos seleccionados porque ilustran con precisión el principio de que la IA bien aplicada no es sofisticación innecesaria — es simplicidad que funciona a escala.

Caso 01 — Rubrik: Revisión de seguridad que antes tomaba semanas, ahora toma horas

Gobernanza · Threat Modeling · Certificación · WEF Partner

Tres agentes de IA reemplazan semanas de revisión manual de seguridad en el portafolio de productos

El modelo de revisión de seguridad tradicional de Rubrik era intensivo en tiempo, difícil de escalar y con cobertura inconsistente. Construyeron una plataforma de revisión con tres agentes de IA que trabajan en secuencia: el primero ingiere documentos de diseño y diagramas arquitectónicos, ejecuta threat modeling con STRIDE, OWASP ASVS 4.0 y el contexto específico de Rubrik, y genera hallazgos priorizados con clasificaciones CWE y mapeos a MITRE ATT&CK. El segundo agente cruza esos hallazgos contra el código real del repositorio, detectando remediaciones implementadas, implementaciones parciales y hallazgos no atendidos. El tercero agrega todo, aplica scoring de riesgo y genera reportes de certificación con cadenas de evidencia completas desde el diseño hasta la implementación.

La clave aquí es que este proceso no espera a que el producto esté en producción. Se ejecuta durante el ciclo de desarrollo. La seguridad no es una auditoria final — es parte del proceso de construcción.

Resultado: 3x la cobertura de revisión · −50% en tiempo de revisión · Hallazgos más precisos y accionables · WEF White Paper May 2026

Caso 02 — Microsoft DCU: Inteligencia de amenazas de horas a minutos

Identificación de Riesgos · Threat Intelligence · Digital Crimes Unit

Haystack: IA que encuentra lo que los analistas tardan horas en localizar dentro de millones de documentos

La Unidad de Crímenes Digitales de Microsoft enfrenta un problema de escala: los indicadores de amenaza relevantes están enterrados dentro de respuestas legales, documentos de proveedores de hosting y terabytes de datos de investigación. Encontrarlos manualmente toma horas. Haystack es una aplicación de IA basada en Azure OpenAI que etiqueta automáticamente los indicadores probables de inteligencia de amenazas y permite a los analistas usar un chatbot para curarlo en segundos o minutos en lugar de horas.

El resultado no es solo velocidad. Es claridad: la inteligencia compleja se convierte en información accionable que puede comunicarse tanto a los defensores internos como a los clientes afectados, en el momento en que importa.

Resultado: Investigaciones forenses de horas a minutos · Comunicación más clara de amenazas complejas a clientes · WEF White Paper May 2026

El analista de ciberseguridad de 2026 no es el que más memoriza — es el que mejor trabaja con IA. Las herramientas que reducen el tiempo de investigación de horas a minutos no reemplazan el juicio humano: liberan al analista para aplicarlo donde más importa, en los casos de alta complejidad que ningún modelo puede resolver solo.

Caso 03 — Accenture: 100,000 sitios revisados — cada uno en menos de un minuto

Identificación · Testing de Seguridad · Superficie de Ataque Externa

Agent Oliver: de 15 minutos por sitio a menos de 1 minuto — en 100,000 sitios simultáneos

El equipo de seguridad de Accenture enfrentaba un problema de escala matemáticamente inmanejable: revisar manualmente los problemas de seguridad comunes en cientos de miles de sitios orientados a internet requería 15 minutos por sitio. Hacerlo completo a ese ritmo tomaría años. Agent Oliver combina un crawler de sitios automatizado que escanea y detecta problemas de compliance (como MFA faltante) con un probador de aplicaciones web que usa cuatro agentes coordinados: crawlers que mapean la aplicación, agentes de configuración que verifican ajustes, agentes de inyección que prueban vulnerabilidades y un consolidador que genera el reporte de hallazgos con recomendaciones.

Esto ilustra con precisión el principio correcto: no se trata de reemplazar al ingeniero de seguridad. Se trata de multiplicar su cobertura por un factor que ningún equipo humano puede alcanzar de otra forma.

Resultado: −93% en esfuerzo manual · 100,000+ sitios revisados · Ingenieros enfocados en casos complejos · WEF 2026

Caso 04 — Santander: Detección de phishing que va más allá del indicador técnico

Detección · Phishing · Análisis Semántico · LLM Multilingüe

Un LLM entrenado para detectar persuasión psicológica — no solo indicadores técnicos de phishing

El phishing moderno no funciona por fallas técnicas. Funciona por ingeniería social: falsa urgencia, autoridad, reciprocidad, escasez. Los sistemas tradicionales basados en reputación del remitente, firmas o reglas estáticas no detectan campañas nuevas, altamente dirigidas y multilingüe. Santander desarrolló e implementó una solución de IA como capa adicional en las operaciones del SOC global, con un LLM interno multilingüe entrenado específicamente para identificar los rasgos de persuasión psicológica embebidos en los mensajes: escasez, autoridad, reciprocidad, compromiso. En lugar de buscar indicadores técnicos de compromiso, el sistema analiza la intención semántica del mensaje y los patrones de manipulación centrados en el humano.

Este caso es relevante porque la mayoría de los ataques que funcionan no son sofisticados técnicamente. Son psicológicamente precisos. Una defensa técnica que no entiende ese vector siempre tendrá puntos ciegos.

Resultado: +10% en efectividad de detección de phishing · Detección más temprana de campañas de ingeniería social previamente no detectadas · WEF 2026

Caso 05 — IBM ATOM: 95% de las investigaciones diarias, sin agregar personal

Detección y Respuesta · Managed Security Services · Agentic AI

ATOM: el motor que maneja el 95% de las investigaciones diarias de seguridad de IBM con IA agéntica explicable

IBM necesitaba expandir su capacidad de investigación de amenazas 24x7 sin comprometer la calidad ni el gobierno — y sin crecer el headcount de analistas a la misma velocidad que el volumen de amenazas. ATOM (Autonomous Threat Operations Machine) investiga, enriquece y puntúa alertas de forma autónoma usando IA agéntica, con los analistas humanos enfocados en supervisión y escalación. ATOM aplica contexto profundo, correlación y IA explicable para fortalecer la detección, siempre bajo un modelo de gobierno con humano en el circuito para los casos de alto impacto.

Lo que hace relevante a este caso en la discusión de "desde el inicio" es que IBM opera como su propio Cliente Cero — sus managed security services globales corren sobre ATOM. Antes de ofrecer la tecnología a sus clientes, la probó en producción real en su propio entorno.

Resultado: +850 horas de analista automatizadas/mes · −37% en tiempo de investigación · +40% velocidad en anotación · 6,700+ actividades de alto riesgo detectadas en muestra · WEF 2026

La automatización inteligente en seguridad no elimina al analista — lo redirige. Cuando el 95% de las investigaciones rutinarias son manejadas por IA, el analista humano aplica su juicio donde ningún modelo tiene suficiente contexto para decidir solo. Esa combinación produce resultados que ninguno de los dos podría lograr por separado.

Caso 06 — PETRONAS: Respuesta 30–40% más rápida en tres meses

Respuesta a Incidentes · SOC · Reducción de Tiempo · Analistas Junior

IA integrada directamente en los flujos de trabajo del analista — no como herramienta separada

PETRONAS integró capacidades de IA directamente en los flujos de trabajo del SOC: resúmenes de incidentes en tiempo real, guía de próximos pasos, traducción de lenguaje natural a consultas y recopilación automática de contexto. Esto estandarizó la calidad de las investigaciones y permitió que analistas junior contribuyeran efectivamente desde etapas más tempranas de su carrera. Los agentes de IA se desplegaron sin nuevo hardware, escalando incrementalmente con base en métricas de desempeño real y retroalimentación de los analistas. El tiempo de ramp-up de nuevos analistas se redujo en un 50%.

El punto clave que este caso ilustra: la IA no solo ayuda a los expertos. Democratiza la capacidad defensiva dentro del equipo. Un analista junior con buen soporte de IA produce resultados que antes requerían años de experiencia acumulada.

Resultado: −30 a 40% en tiempo de respuesta y resolución de incidentes en 3 meses · −50% en tiempo de ramp-up de nuevos analistas · WEF 2026

Caso 07 — Standard Chartered: Automatización con guardrails — no automatización ciega

Hiper-automatización · SOC · Gestión de Casos · Gobierno

IA con kill-switch y observabilidad completa: eficiencia sin sacrificar accountability humano

Standard Chartered implementó una estrategia de hiper-automatización en los flujos de trabajo del SOC y de gestión de casos, con un enfoque explícito en gobierno y accountability. La plataforma aplica machine learning y LLMs para puntuar riesgos dinámicamente, priorizar alertas y enriquecer detecciones con inteligencia contextual. El triage de IA clasifica eventos automáticamente y evita duplicaciones antes de crear casos. La IA generativa produce resúmenes concisos de casos y borradores de comunicaciones. Un co-piloto de IA en consola provee guía en tiempo real y recomendaciones de siguiente mejor acción — pero bajo un modelo estricto de humano en el circuito.

Lo que distingue este caso es lo que no se sacrificó: el gobierno. La plataforma se desplegó incrementalmente con guardrails completos, observabilidad total y controles kill-switch. Esa combinación de agilidad con control es exactamente lo que separa una transformación sostenible de un proyecto de IA que crea nuevos riesgos mientras resuelve los viejos.

Resultado: −25 a 35% en esfuerzo de triage manual · −20 a 30% en tiempo a triage · Casos de bajo riesgo auto-resueltos dentro de umbrales definidos · WEF 2026

Caso 08 — Google: Parches en código antes de que las vulnerabilidades sean explotadas

Protección · Desarrollo Seguro · Detección de Vulnerabilidades · Remediación Autónoma

Big Sleep y CodeMender: IA que encuentra y parchea vulnerabilidades antes de que los atacantes las encuentren

Google desplegó dos agentes de IA complementarios para fortalecer la seguridad del software a escala. Big Sleep es un agente de seguridad que busca activamente vulnerabilidades desconocidas en el código, incluyendo proyectos de código abierto ampliamente usados, y permite a los equipos actuar antes de que las fallas sean explotadas. CodeMender, desarrollado por Google DeepMind, genera parches automáticamente para las vulnerabilidades identificadas. Todos los parches son revisados por investigadores humanos antes de ser enviados upstream — exactamente el balance correcto entre velocidad de IA y juicio humano.

Este caso es el más claro ejemplo del principio "desde el inicio": no se espera a que el código esté en producción para auditar su seguridad. La IA busca problemas durante el ciclo de desarrollo, antes de que estén en manos de ningún usuario.

Resultado: +100 vulnerabilidades críticas parcheadas por CodeMender desde su lanzamiento · Reducción de latencia de detección en codebases complejas como el motor V8 de JavaScript · WEF 2026

El código seguro no es el que nunca tiene vulnerabilidades. Es el que tiene los mecanismos para encontrarlas y corregirlas antes de que lleguen a producción. Un agente de IA que busca vulnerabilidades durante el desarrollo — no durante una auditoría de seguridad post-lanzamiento — cambia fundamentalmente el costo y el riesgo de cualquier sistema.

El problema que ningún caso menciona explícitamente — pero que todos implican

Hay un patrón que atraviesa los ocho casos anteriores y que el informe del WEF documenta con datos de 600 organizaciones investigadas por el Instituto Ponemon: la brecha entre la adopción de IA y su gobierno. El 97% de las brechas relacionadas con IA ocurrieron en organizaciones que no tenían controles de acceso para sus sistemas de IA. El 63% no tenía ninguna política de gobernanza de IA — ni para manejar sus propios modelos ni para prevenir que los empleados usaran herramientas no autorizadas.

Eso no es un problema de tecnología. Es un problema de diseño organizacional. Cada vez que una empresa adopta IA en sus operaciones sin definir simultáneamente quién tiene acceso a qué, qué datos pueden procesarse por cuáles modelos, qué acciones puede tomar la IA autónomamente y cuáles requieren aprobación humana — está creando una superficie de ataque nueva, más opaca y más costosa que cualquier vulnerabilidad técnica tradicional.

"El gap entre la adopción de IA y su supervisión ya existe, y los actores de amenazas están comenzando a explotarlo. La falta de controles básicos de acceso para sistemas de IA deja datos altamente sensibles expuestos y modelos vulnerables a manipulación. A medida que la IA se integra más en las operaciones de negocio, la seguridad de IA debe tratarse como fundacional."— Suja Viswesan, VP Security and Runtime Products, IBM · IBM Cost of a Data Breach Report 2025

Lo que las buenas firmas de ciberseguridad están proponiendo para la vida real

El WEF, KPMG, IBM, Google, Microsoft, Santander, Allianz, PETRONAS y Standard Chartered — todos los actores que contribuyeron a este reporte — convergen en las mismas cuatro recomendaciones prácticas para organizaciones que quieren hacer las cosas bien desde el inicio sin volverse rígidas ni cerradas:

Las cuatro prácticas que reducen el riesgo y el costo — antes, durante y después

1. Alinear la IA con prioridades estratégicas de negocio, no con tendencias tecnológicas. La IA defensiva no se adopta porque todos la adoptan. Se adopta cuando hay un problema real de escala, velocidad o consistencia que ningún proceso manual puede resolver a tiempo. El CISO que puede articular eso en términos de reducción de riesgo financiero y mejora de disponibilidad del servicio obtiene el presupuesto y el apoyo ejecutivo que los proyectos técnicos aislados nunca consiguen.

2. Evaluar la madurez organizacional antes de desplegar. ¿Los workflows de seguridad están documentados? ¿Los datos de seguridad están disponibles, limpios y estructurados? ¿Existe un marco de identidades que pueda manejar identidades de máquina y de agente? La IA es tan buena como los datos y los procesos que la alimentan. Desplegarla sobre procesos mal definidos produce caos automatizado.

3. Validar con pilotos estructurados antes del despliegue completo. Criterios de éxito definidos antes de empezar, no después de ver los resultados. Estrategias de rollback documentadas. Puntos de decisión go/no-go claros. Los proyectos que no tienen esa estructura terminan en el cementerio de transformaciones digitales que prometieron mucho y entregaron poco.

4. Escalar y monitorear con observabilidad desde el inicio. Un modelo de IA que no se monitorea se degrada. Sus salidas se alejan del objetivo. Las amenazas evolucionan y el modelo que funcionaba hace seis meses puede generar falsos negativos hoy. La observabilidad no es una capa adicional — es parte del diseño de cualquier sistema de IA defensiva bien construido.

La IA agéntica — donde los sistemas actúan de forma autónoma en lugar de solo recomendar — es el siguiente horizonte. El 88% de las empresas ya están invirtiendo en agentes de IA y el 92% de los ejecutivos de tecnología considera que la gestión de agentes de IA será una habilidad no negociable para la fuerza de trabajo de ciberseguridad en los próximos cinco años (KPMG Global Tech Report 2026). Pero con mayor autonomía vienen nuevos riesgos: superficies de ataque ampliadas, comportamientos no intendidos a velocidad de máquina y brechas de gobierno donde los agentes se despliegan sin validación adecuada. El antídoto no es menos autonomía — es más diseño.

Hacer las cosas bien desde el inicio no significa hacerlas lentamente. Significa incorporar el gobierno, la observabilidad y los guardrails como parte del proceso de construcción — no como auditoría posterior al daño. Ese principio es el que separa a las organizaciones que reducen sus costos de brecha en $1.9 millones de las que los aumentan en $670,000 por no haber pensado en la gobernanza de su IA antes de activarla.

Fuentes: WEF "Empowering Defenders: AI for Cybersecurity" White Paper May 2026 (en colaboración con KPMG) · IBM Cost of a Data Breach Report 2025 · Ponemon Institute 2025 · KPMG Global Tech Report 2026 · Darktrace "The State of AI Cybersecurity 2025" · Palo Alto Networks Global Incident Response Report 2026 · ISACA State of Cybersecurity 2025 · Sophos "The Human Cost of Vigilance" 2025 · WEF Global Cybersecurity Outlook 2026 · NIST Cybersecurity Framework 2.0.

Jorge Mercado · #JMCoach
Coach Profesional Certificado · CTO · Arquitectura Empresarial · C-Level
Sectores regulados: CNBV · COFEPRIS · ASEA · Fintech · Salud · IA en producción
PCI-DSS · KYC · Seguridad desde el diseño · Multicloud · AWS Bedrock + Anthropic + MCP

twitter.com/JormerMx  ·  linkedin.com/in/mxjormer  ·  jmcoach-mx.blogspot.com

 

Cómo las aerolíneas
pierden lo que ganan
— hay horizonte con experiencia real

Una industria que movió a más de 5,000 millones de pasajeros en 2024 y que gana menos de $8 dólares por cada uno. Sistemas que no se hablan entre sí. Revenue que se escapa por las grietas de la operación. Silos que solo complican. Clientes que no vuelven. El diagnóstico es claro. Las soluciones también.

Jorge Mercado · #JMCoach ·ANALIZANDO Y RECOPILANDO SOBRE LA INDUSTRIA

Delta Air Lines ganó $1.27 mil millones en 2024. Sin su programa de millas, habría perdido dinero transportando pasajeros. Lo mismo aplica a United, American y Southwest. El sector farmacéutico factura $1.7 billones con márgenes de 3% y nadie lo descalifica — porque entiende que cada punto porcentual ganado dominio por dominio vale cientos de millones. Las aerolíneas tienen exactamente la misma ecuación: 5,000 millones de pasajeros, márgenes delgados, y sistemas que en lugar de multiplicar el ingreso lo filtran por silos, retrasos, cobros opacos y atención que no resuelve. Resolver eso no es un proyecto de transformación digital. Es la estrategia de rentabilidad de toda la industria.

El avión en tierra no produce. Cada minuto de retraso operacional no gestionado acumula al costo de los $30 mil millones que la industria pierde anualmente por ineficiencias en tierra, mantenimiento reactivo y falta de visibilidad en tiempo real. Resolver eso, dominio por dominio, es donde se construye la rentabilidad que el ticket no da.

Los números reales: México y EE.UU.

Antes del diagnóstico, los datos de las aerolíneas que el lector conoce — con fuentes oficiales, reportes a la SEC y datos de la IATA y el BTS (Bureau of Transportation Statistics de EE.UU.).

México: tres operadoras dominantes, un mercado que crece con los pies en el suelo

En 2025, las tres grandes aerolíneas mexicanas transportaron en conjunto más de 82 millones de pasajeros solo de enero a octubre, con un crecimiento de 3.61% respecto al año anterior y 18.8% por encima de niveles prepandemia (IATA, datos México ene–oct 2025). Volaris lideró en pasajeros totales con 30.45 millones en 2025 (+3.2%), seguido de Viva con 27.24 millones (+8.6%) y Aeroméxico con 24.59 millones (−3.0%). Aeroméxico regresó al NYSE en noviembre de 2024 tras cuatro años de restructuración post-Capítulo 11.

El desafío operacional fue real y documentado: Volaris promedió 30.5 aeronaves en tierra por mes durante 27 meses por inspecciones de motores Pratt & Whitney PW1100G; Viva promedió 21.3. Ambas recurrieron a wet leases y ajustes de capacidad en temporadas de alta demanda. La presión en costos fue directa — y la respuesta fue el anuncio de fusión de las empresas controladoras de Volaris y Viva, con cierre esperado en 2026.

EE.UU.: la industria que no es rentable con solo vender boletos

El BTS reportó que las 25 aerolíneas de pasajeros programadas de EE.UU. generaron una utilidad neta de $6.7 mil millones en 2024 y una utilidad operativa de $13.5 mil millones (BTS, mayo 2025). Pero el análisis de márgenes por aerolínea revela algo estructural y perturbador:

DeltaMargen operativo 10.1% en Q3 2025. La aerolínea más rentable de EE.UU. Ingresos de $16.67B en Q3 2025 (+3% YoY). Sin programas de lealtad: margen sería −2.5%IBA Group · AviationA2Z · BTS · 2025

UnitedMargen operativo 9.2% Q3 2025. Ingresos $15.23B (+3.1% YoY). Sin programas de lealtad: margen sería −1.9%IBA Group · BTS · 2025

AmericanMargen operativo 1.1% Q3 2025. Pérdida neta de $114M en Q3. Sin programas de lealtad: margen sería −8.3%IBA Group · AviationA2Z · 2025

SouthwestIngreso récord $6.9B en Q4 2024 pero EBIT 2025 cortado a menos de la mitad de la proyección original: $600–800M vs. $1.7BAirInsight · BTS · 2025

El hallazgo más revelador lo documenta Aviation A2Z con datos BTS 2024: ninguna aerolínea de red importante en EE.UU. alcanzó un margen operativo positivo exclusivamente del transporte de pasajeros en 2024. Sin los programas de lealtad y las millas de tarjetas de crédito, Delta estaría en −2.5%, United en −1.9%, American en −8.3% y Southwest en −19.9%. El boleto de avión es, en los hechos, el producto de entrada que financia el programa de lealtad que en realidad genera la utilidad.

Ese es el contexto correcto para hablar de eficiencia operacional: en una industria donde el margen bruto del transporte de pasajeros es negativo y el negocio rentable está en los ancilares, la lealtad y la carga, cada punto porcentual de mejora en la operación — menos AoG, menos retrasos, menos llamadas de servicio mal resueltas, más ancilares capturados en el momento correcto — se convierte directamente en utilidad neta.

La carga aérea: el segmento que pocos nombran y que hace rentable a la industria

La carga aérea representa $142 mil millones en ingresos proyectados para 2025 — el 14.1% del total de ingresos de la industria global (IATA, jun 2025). Es el segundo motor de ingresos después de los pasajeros, con márgenes significativamente mejores que el transporte de personas, y con ciclos de demanda menos sensibles a las variaciones de precio de boleto al consumidor final.

En 2024, la carga creció 11.3% impulsada por e-commerce, semiconductores y el front-loading de mercancías antes de los plazos arancelarios de la administración Trump. En México, la carga doméstica aérea creció 1.9% YoY en 2025. AIFA (Aeropuerto Internacional Felipe Ángeles) y el AICM compiten por rutas de carga con capacidades y conectividades distintas.

Los sistemas de gestión de carga de la mayoría de las aerolíneas son incluso más fragmentados que los de pasajeros. Un operador que puede integrar su sistema de carga con el de operaciones de tierra, la torre de control, los sistemas de aduana y el portal de cliente en tiempo real tiene una ventaja competitiva que se traduce directamente en eficiencia de bodega, menos daño de mercancía y fidelización de embarcadores que mueven volumen constante.

La carga aérea generó $142 mil millones en ingresos en 2025. En muchas aerolíneas, los sistemas de carga son incluso más obsoletos que los de pasajeros — y la oportunidad de integrarlos con operaciones, aduana y cliente en tiempo real es uno de los diferenciadores menos explotados del sector.

Los seis problemas que drenan la operación

1. Sistemas que no se hablan — silos que solo complican

El problema documentado

McKinsey entrevistó a 15 CIOs de aerolíneas globales en 2023. La respuesta unánime: sistemas monolíticos que llevan más de 20 años en operación, que no comparten datos en tiempo real entre booking, operaciones, mantenimiento, customer service y revenue management. Amadeus, Sabre y SITA controlan aproximadamente el 70% del mercado PSS (Passenger Service System). Muchos de esos sistemas tienen arquitecturas que datan de décadas. El CCO de una aerolínea de primer nivel lo resumió con precisión: "No podemos ofrecer una experiencia sin fricciones si nuestros sistemas no se pueden hablar entre sí." American Airlines, Air Canada y Sun Country Airlines citaron explícitamente legacy IT y datos fragmentados como sus principales restricciones operacionales (SITA Passenger IT Insights 2024).

2. Revenue inteligente que no se implementa

El problema documentado

Los ingresos ancilares de la industria alcanzaron $145 mil millones en 2025 — el 14.4% del total. Pero la mayoría de las aerolíneas captura solo una fracción de lo que el pasajero pagaría con una oferta personalizada en el momento correcto. Los sistemas legacy no hacen pricing dinámico de ancilares en tiempo real. El pasajero ve precios fijos que no responden a su perfil ni al momento del viaje. Estadísticas de industria 2024 documentan que un sistema de revenue management bien implementado aumenta la rentabilidad por ruta en un promedio de 14%. Una aerolínea que implementó modernización de arquitectura documentó +50% en ingreso ancilario por pasajero (McKinsey 2023).

3. Operación que reacciona cuando debería anticipar

El problema documentado

Los retrasos operacionales cuestan a la industria $30 mil millones de dólares anuales en costos directos (Symphony Solutions / IATA 2024). Un Aircraft on Ground (AoG) no planeado pierde entre $10,000 y $150,000 USD por hora según tipo y ruta. Sin visibilidad unificada de flota, tripulaciones, slots y condiciones en tiempo real, la respuesta es siempre tardía. El caso Volaris es ilustrativo: 30.5 aeronaves en tierra por mes durante 27 meses por inspecciones de motor documentaron el costo de no tener sistemas de mantenimiento predictivo conectados a la operación global desde antes de que el problema ocurriera.

4. Atención al cliente sin información oportuna

El problema documentado

SITA Passenger IT Insights 2024: el 90% de los pasajeros usa tecnología para reservaciones. El 64% identifica las filas largas y la falta de resolución ágil como el principal dolor de su experiencia. Cuando ocurre una irregularidad, el agente de servicio no tiene el historial del pasajero, la app no refleja el estado real y el call center opera con información desactualizada. Cada interacción mal resuelta es un pasajero que documenta su experiencia en redes sociales y no vuelve.

5. Seguridad que se agrega al final, no desde el diseño

El problema documentado

Los sistemas PSS manejan datos de pasajero, datos de pago, información de itinerario y documentos de identidad. Una arquitectura con huecos de seguridad no detectados a tiempo tiene consecuencias que van desde brechas de datos hasta compromisos de continuidad operacional. BCG documentó en su Airlines Tech Survey 2025 que la nueva infraestructura de plataforma cloud requiere herramientas de monitoreo y mitigación de amenazas en tiempo real. Agregar seguridad al final de una implementación es entre 6 y 10 veces más caro que diseñarla desde el inicio — y considerablemente más riesgoso cuando los sistemas no tienen observabilidad integrada.

6. Cobros opacos que erosionan la confianza

El problema documentado

El yield de pasajero cayó 5.6% en 2024 y se proyecta otro −3.7% en 2025 (IATA/BCG). El pasajero que busca un boleto a $89 y termina pagando $340 después de equipaje, asiento, seguro e impuestos no explicados no percibe precio competitivo — percibe opacidad. Ese modelo de cobros fragmentados sin transparencia ha generado en mercados como EE.UU. regulación emergente (USDOT) para disclosure obligatorio de tarifas completas desde el inicio de la búsqueda. La aerolínea que ofrece precio claro, sin sorpresas, con valor bien comunicado captura una prima de confianza que los yield models no suelen medir pero que vive en el NPS y en la tasa de recompra.

Un centro de control de operaciones con visibilidad en tiempo real de flota, tripulaciones, meteorología, slots y estado de mantenimiento puede reducir el impacto de un retraso de horas a minutos. La diferencia no está en la tecnología disponible — está en si los sistemas de cada dominio comparten información o cada uno opera en su propio silo.

La vuelta: procesos simples, sistemas integrados, dominio por dominio

La transformación de una aerolínea no es un proyecto de seis meses ni un big bang tecnológico. Es la aplicación consistente del principio que ya demostró funcionar en industrias con sistemas igual de complejos: el Strangler Fig, o técnica de ahorcamiento gradual. No se apaga el PSS el viernes para encender el nuevo el lunes. Se construyen capacidades nuevas alrededor de lo que existe, dominio por dominio, con cada etapa validada en producción antes de avanzar. Y con observabilidad desde el inicio — para detectar problemas antes de que ocurran, no después de que duelan.

"La aerolínea que integra sus sistemas por dominio de negocio, con observabilidad incorporada y revenue inteligente, no está haciendo transformación digital. Está construyendo la única ventaja competitiva que importa en un sector de margen delgado: la eficiencia que se acumula un punto porcentual a la vez."— Jorge Mercado · #JMCoach

La arquitectura: 8 dominios conectados, no aislados

BOOKING ── TICKETING ── CHECK-IN ── OPS TIERRA ── MANTENIMIENTO │ │ │ │ │ └──────────────┴─────────────┴──────────────┴───────────────┘ │ PLATAFORMA DE DATOS + OBSERVABILIDAD EN TIEMPO REAL │ ┌──────────────┬─────────────┬──────────────┬───────────────┐ │ │ │ │ │ REVENUE MGT ── CARGA ── CUSTOMER EXP ── POSVENTA ── LEALTAD

Booking y distribución

NDC (New Distribution Capability de IATA) + motor de ofertas dinámicas reduce costos de distribución GDS (que cobran entre $3 y $12 por segmento) entre un 15% y 25% mientras aumenta la conversión. IATA ONE Order — que reemplaza el PNR fragmentado con un registro único — simplifica settlement, servicing y analítica. Riyadh Air arrancó operaciones directamente en SabreMosaic, sin legado. British Airways migra gradualmente a Amadeus Nevio. El mismo patrón de ahorcamiento aplicado al dominio de distribución.

Revenue management inteligente

PROS, Amadeus y FLYR ofrecen pricing dinámico de tarifas y ancilares en tiempo real, considerando perfil del pasajero, histórico, momento del viaje y competencia. McKinsey documentó una aerolínea que logró +50% en ingreso ancilario por pasajero y −20% en costos aeroportuarios por pasajero simultáneamente. Virgin Atlantic seleccionó FLYR para optimización de ancilares en canales móviles, kiosco y agente. El mercado PSS creció a $11.99 mil millones en 2025 y proyecta $30.46 mil millones en 2031 (CAGR 16.83%, Mordor Intelligence). La inversión está ocurriendo — la pregunta es si produce resultado de negocio medible.

Operaciones y mantenimiento predictivo

Mantenimiento predictivo con sensores de aeronave puede reducir eventos AoG no planeados entre 20% y 35% (GE Aviation, Airbus Skywise). Un motor de orquestación operacional que integra flota, tripulaciones, slots y meteorología en tiempo real convierte la respuesta de horas a minutos. La diferencia entre un retraso de 25 minutos y uno de 3 horas frecuentemente no está en la complejidad del problema — está en si la información correcta llegó a quien podía resolver en el momento correcto.

Observabilidad y seguridad desde el diseño

Incorporar observabilidad — trazas, métricas, logs en tiempo real con alertas tempranas — al inicio de cada implementación de dominio, no al final, es la diferencia entre detectar un problema en 3 minutos y detectarlo cuando ya afectó al pasajero. Herramientas como Datadog, Grafana, OpenTelemetry o equivalentes integradas a la plataforma de orquestación crean la visibilidad operacional que permite estabilizar dominio por dominio con evidencia, no con intuición. La seguridad diseñada desde el inicio, con control de acceso por dominio y cifrado de datos en tránsito y en reposo, no sacrifica costos ni performance — y evita el costo de reparar brechas que en una aerolínea pueden significar regulaciones de aviación, sanciones de protección de datos y daño reputacional simultáneo.

Customer experience integrado

Una plataforma CX que da al agente de servicio la historia completa del pasajero — vuelos, preferencias, incidencias anteriores, estado actual — transforma la interacción. La resolución de primera contacto puede reducir el costo de atención hasta en 35% mientras mejora el NPS en 40 a 50 puntos porcentuales (McKinsey 2023). El pasajero que tiene un problema resuelto con agilidad es más leal que el que nunca tuvo un problema.

El mantenimiento predictivo conectado a sensores de aeronave puede reducir los eventos de aeronave en tierra no planeados entre 20% y 35%. En el caso Volaris, 30.5 aeronaves en tierra por mes durante 27 meses documentaron el costo directo de no anticipar — y la fusión con Viva fue en parte consecuencia de esa presión financiera acumulada.

Jets privados: el segmento que crece mientras el comercial lucha con sus márgenes

Mientras las aerolíneas comerciales debaten cómo ganar un dólar más por pasajero, la aviación privada construye un modelo de negocio diferente — y lo hace a velocidad notable. El mercado global de jets de negocios fue de $72.15 mil millones en 2024 y proyecta $113.48 mil millones para 2030 (CAGR 7.9%, Grand View Research). El mercado de charter y renta de jets privados pasó de $21.24 mil millones en 2024 a $24.12 mil millones proyectados en 2025 (CAGR 13.5%, Business Research Company).

En Norteamérica, los vuelos en jets privados sumaron 1,312,317 salidas en la primera mitad de 2025 — un incremento de 3.5% respecto a 2024 y 27.4% arriba de 2019 pre-pandemia (WINGX 2025). El segmento de propiedad fraccional creció 75.5% respecto a 2019. NetJets (Berkshire Hathaway) promedia 1,970 horas de vuelo por día. Flexjet firmó en febrero de 2025 un pedido de 182 jets Embraer por $7 mil millones. El segmento no está en recesión — está en expansión acelerada.

Lo que el segmento de aviación privada resolvió que la comercial no ha terminado de resolver es exactamente lo que el pasajero de negocio más valora: disponibilidad flexible, proceso sin filas, personalización completa del viaje, puntualidad garantizada y experiencia controlada de inicio a fin. El modelo de jet card y propiedad fraccional — donde se paga por acceso a una flota en lugar de por poseer un avión — democratizó parcialmente esa experiencia hacia el segmento de ejecutivos que no justifican propiedad completa pero sí vuelan con frecuencia suficiente para que el charter justifique su costo frente al tiempo perdido en aeropuertos comerciales.

La convergencia que comienza a ocurrir: aerolíneas comerciales que lanzan productos de aviación regional en jets privados o turbohélices para tramos cortos, integrando la reservación directamente en su plataforma de lealtad. El pasajero premium que antes elegía entre su aerolínea preferida y un charter privado empieza a encontrar productos que no lo obligan a elegir.

El mercado global de jets de negocios proyecta $113.48 mil millones para 2030 con CAGR de 7.9%. El cliente que elige aviación privada no está pagando solo por el vuelo — está pagando por la ausencia de las fricciones que la aviación comercial no ha resuelto: colas, retrasos, sistemas que no funcionan, servicio que no conoce su historial.

$72Bmercado global de jets de negocios en 2024 — proyectado a $113.48B en 2030Grand View Research · 2024

+75.5%crecimiento de vuelos en propiedad fraccional respecto a 2019 en NorteaméricaWINGX / SherpaReport · 2025

$6.7Butilidad neta 2024 de las 25 aerolíneas de pasajeros programadas en EE.UU. — sobre $287B en ingresos totalesBTS · mayo 2025

−19.9%margen operativo de Southwest si se excluyen ingresos de programas de lealtad — la misma historia en todas las grandes aerolíneas de redAviationA2Z · BTS · 2024

El resumen ejecutivo: lo que se puede construir sin apagar nada

Resumen — para el directivo y el consejo

El problema central no es uno solo. Es la suma de silos que drenan un punto porcentual a la vez en un sector donde el margen neto global es de 3.9% y donde los programas de lealtad son, literalmente, los que hacen rentable al negocio en EE.UU.

La solución no es un proyecto único de transformación. Es la aplicación del método de ahorcamiento gradual — Strangler Fig — dominio por dominio, con observabilidad incorporada desde el inicio, con seguridad diseñada desde el origen y con cada etapa validada en producción antes de avanzar.

Los resultados documentados son reales: +50% en ingreso ancilario por pasajero, −20% en costos aeroportuarios por pasajero, +40–50 puntos en NPS de experiencia digital, −20 a 35% en eventos AoG no planeados con mantenimiento predictivo. Cada uno de esos resultados se consigue en un dominio específico, con un equipo cross-funcional que entiende el negocio y la tecnología simultáneamente — y que construye el siguiente dominio sobre la base estabilizada del anterior.

El jet privado no es competencia directa de la comercial — es la señal de lo que el pasajero de mayor valor está dispuesto a pagar cuando la experiencia comercial no responde a sus necesidades. La aerolínea que resuelve esa experiencia para su segmento premium, con los sistemas correctamente integrados, retiene ese pasajero sin perderlo al charter.

La carga aérea — $142 mil millones en 2025 — es el segmento con mejor margen relativo y los sistemas más fragmentados. La aerolínea que integra su operación de carga con el ecosistema de pasajeros, aduana y cliente en tiempo real construye un diferenciador competitivo que la mayoría no ha explorado en profundidad.

No se vende humo aquí. Se vende método: procesos simples, sistemas alineados al negocio, integración sin silos, datos en tiempo real para decidir bien. Gradual. Comprobable. Rentable.

La pregunta que vale la pena hacer en cualquier aerolínea, cualquier consejo o cualquier equipo de operaciones: ¿cuánto de la utilidad que deberíamos tener ya existe en la operación — y simplemente nadie ha conectado las piezas para capturarla?

Fuentes: IATA Industry Statistics dic 2025 · IATA Global Outlook Air Transport 2025–2026 · Bureau of Transportation Statistics (BTS) EE.UU. mayo 2025 · McKinsey "How Airline CIOs Can Turn IT From a Cost Center to a Profit Center" 2023 · BCG Airlines Tech & Digital Benchmarking Survey 2025 · SITA Passenger IT Insights 2024 · Mordor Intelligence PSS Market 2026 · Aviation A2Z / Visual Approach airline margins 2024 · IBA Group Q3 2025 Airline Earnings · AirInsight Q2 2025 Airline Earnings · Mexico Business News / IATA México 2025 · Grand View Research Business Jet Market 2024 · WINGX Business Aviation 2025 · SherpaReport Private Jet Flights 2025 · Business Research Company Private Jet Charter 2025 · Argus TRAQPak 2024–2025 · Honeywell Global Business Aviation Outlook 2025.

Jorge Mercado · #JMCoach
Coach Profesional Certificado · CTO · Arquitectura Empresarial · C-Level
Sectores regulados: CNBV · COFEPRIS · ASEA · Fintech · Salud · Aviación · PMO
IA en producción · Multicloud · Transformación con criterio de negocio

twitter.com/JormerMx  ·  linkedin.com/in/mxjormer  ·  jmcoach-mx.blogspot.com