[ LJM ]
← todos los artículos
[ lJm ]

Tu ventaja ya no está en /utils. Está en CLAUDE.md.

El moat técnico se movió de las funciones internas a los procesos como código (CLAUDE.md, AGENTS.md, skills). Y eso es mucho más fácil de leakear que tu codebase.

  • agentic-programming
  • moat
  • seguridad
  • opinion

Por décadas, el moat técnico de un equipo de software vivía en src/utils/, src/lib/, o el equivalente — funciones internas, abstracciones únicas, librerías que reflejaban años de aprendizajes. “Construimos nuestro propio framework de validation”. “Tenemos un retry handler que ningún competidor tiene”. Esa era la ventaja, y se defendía bajo NDA y secret scanning.

En 2026 ese moat se evaporó. La IA puede reescribir tu utils/ en una tarde. El competidor con Claude Code reproduce 90% de tu “framework propio” leyendo tu propia documentación pública.

El moat se movió. Ahora vive en otro lado, y es mucho más fácil de robar.

El nuevo moat: process-as-code

Lo que de verdad diferencia a equipos productivos en 2026 no es qué helpers tienen, es cómo dirigen a sus agentes. Eso vive en:

  • CLAUDE.md — convenciones del repo que el agente debe respetar
  • AGENTS.md — comportamientos esperados de cada tipo de agente
  • skills.md o equivalente — capabilities del equipo + cómo desplegarlas
  • ADRs vivos en decisions/
  • Prompts curados, templates de PR, plantillas de spec
  • Scripts custom que orquestan agentes para tareas comunes

Eso es process-as-code: el conocimiento operacional del equipo, codificado en archivos texto que la IA lee antes de trabajar.

Ese conocimiento — “cómo decidimos cuándo refactorizar vs añadir”, “qué prompts producen resultados consistentes en nuestro stack”, “cómo coordinamos features cross-team” — es lo que de verdad hace 10x al equipo. No el código.

Por qué es más leakable que tu codebase

Hay tres razones que casi nadie está pensando:

1. Vive en texto plano legible. Tu /utils requiere stack traces de meses para entender. Tu CLAUDE.md se lee en 10 minutos. El competidor que lo robe puede empezar a usarlo el mismo día.

2. No requiere copy-paste literal. Si un dev sale y se lleva mentalmente la lógica de tu retry handler, le falta el contexto para reproducirlo bien. Si se lleva mentalmente la estructura de tu CLAUDE.md, lo recuerda casi verbatim. El conocimiento de procesos es más compacto y más memorizable.

3. Cabe en un screenshot. Tu codebase tiene 200k líneas. Tu CLAUDE.md tiene 200. Un dev descontento con un screenshot lo lleva al competidor en su CV.

El vector de leak que ya está pasando

Cuatro escenarios reales que estamos viendo:

  • El ex-empleado: dev senior renuncia, lleva su CLAUDE.md mental al nuevo trabajo. Reproduce 80% del proceso en su primer mes. Tu ventaja operacional se diluyó.
  • El consultor: contratas a un freelance que ve tu AGENTS.md durante un proyecto. Cuando trabaja para tu competidor el próximo trimestre, lleva el conocimiento.
  • El commit público accidental: alguien commitea un repo privado con CLAUDE.md rico, lo borra después de mergear a main, pero GitHub indexó y los crawlers ya lo tienen. Game over.
  • El que ni te diste cuenta: el servidor sirve tu repo entero como directorio público. Tu CLAUDE.md está en https://tuapp.com/CLAUDE.md. Apache/nginx default-config no filtra .md. Hay literalmente miles de sites en producción ahora mismo exponiendo su metodología de equipo a cualquiera con un Google dork: inurl:CLAUDE.md te devuelve la ingeniería operativa de empresas que pagan 6 cifras en seguridad perimetral.

Lo que NO sirve para defenderlo

  • NDA: trabajaba para código tangible. No tanto para procesos internalizados en la cabeza de un dev.
  • Secret scanning: detecta API keys, no detecta tu metodología.
  • Repos privados: no protegen contra el dev que se va y recuerda.
  • Patentes: no aplican a workflows.

Lo que sí ayuda (pero no resuelve)

Lo que vemos funcionar parcialmente en equipos que reconocen el problema:

Process-as-code que se actualiza más rápido que se puede copiar. Si tu metodología cambia cada 2 semanas, el competidor que la robó en enero ya está usando una versión obsoleta en marzo. La ventaja se vuelve velocidad de evolución, no secreto.

Conocimiento tácito que no se escribe. Parte del moat permanece sin codificar — intuiciones, juicios, “cuándo escalar”. Eso no cabe en CLAUDE.md, vive en la cabeza del equipo. Mantener ese balance —suficiente codificado para que la IA funcione, suficiente tácito para que sea robable— es el nuevo arte.

Compensación que retiene a los curadores. El dev que mantiene tu CLAUDE.md actualizado es más valioso que el dev que escribe features. Pagar de acuerdo con esa nueva realidad — y muchos equipos no lo hacen.

Cultivar relación, no contrato. El dev que se va por buena razón a veces no replica tu proceso por respeto. El que se va enojado, lo replica entero.

El reframe

Pasar de “protegemos nuestro código” a “velocidad de iteración de proceso supera al copy” es difícil porque va contra 30 años de cómo se pensaba IP en software.

Pero el reframe es necesario. El equipo que sigue tratando /utils como su crown jewel y dejando CLAUDE.md en cualquier repo ya está expuesto, sin saberlo.

La pregunta para tu equipo

Si mañana tu ingeniero senior renuncia y se lleva todo lo que recuerda — ¿qué pieza específica de tu ventaja competitiva duele más perder: el código de /utils, o los archivos de CLAUDE.md + AGENTS.md + workflows que ya internalizó?

Si la respuesta es la segunda, ese es tu nuevo moat. Y casi nadie lo está defendiendo todavía.

Si tu equipo está pensando en cómo proteger procesos internalizados en agentes sin perder velocidad de iteración, conversemos — el chat está abierto.