← Back to Blog
Pavol Bincik ·

Reduce Alertas, Mejora la Respuesta: Soluciona la Fatiga de On-Call

El 30% de los líderes de seguridad citan la fatiga de alertas como uno de sus mayores desafíos operacionales, y la mayoría de los equipos lo empeoran agregando más monitoreo cuando aumentan los incidentes. La solución contraintuitivia: menos alertas, pero más inteligentes, mejorará tus tiempos de respuesta ante incidentes más rápido que cualquier reestructuración de rotación on-call que jamás hagas.

Esto no se trata de ignorar problemas. Se trata de ingeniería de señal-a-ruido.

Por Qué Más Alertas Te Hacen Más Lento

Los ingenieros on-call que reciben altos volúmenes de alertas de baja calidad no se vuelven más vigilantes. Se desensibilizan. Este es un comportamiento documentado, no un defecto de carácter. Cuando tu cola de PagerDuty dispara 47 veces un martes y 43 de esas son ruido conocido, dejas de tratar la alerta número 44 con urgencia. Exactamente entonces es cuando ocurre el incidente real.

Las matemáticas operacionales son brutales: los equipos con altas tasas de falsos positivos tardan más en reconocer incidentes críticos, no menos. Una encuesta de 2023 encontró que los ingenieros que recibían más de 10 alertas no accionables por turno tenían puntuaciones de tiempo medio de reconocimiento (MTTA) casi el doble que los equipos con umbrales de alertas bien ajustados.

El agotamiento on-call sigue la misma curva. Los ingenieros no renuncian porque los incidentes sean difíciles. Renuncian porque los despiertan a las 2am por una advertencia de uso de disco que se resuelve sola a las 2:03am.

El Cambio de Cantidad a Calidad

El ajuste de alertas no es una tarea de limpieza única. Es una disciplina de ingeniería continua con principios claros.

1. Cada Alerta Debe Ser Accionable

Antes de que cualquier alerta se envíe a producción, debe pasar una prueba de una sola pregunta: ¿Qué hace el ingeniero on-call cuando esta dispara?

Si la respuesta es "verificar si se resuelve sola" o "reconocer y monitorear", esa alerta no debería notificar a nadie. Degradala a una entrada de log, una métrica en el dashboard, o un resumen semanal. Reserva PagerDuty (o equivalente) para alertas donde la respuesta es inequívoca y urgente.

Umbral práctico: si una alerta dispara y no requiere acción humana más del 20% de las veces, es candidata para degradación o eliminación.

2. Agrega Contexto en la Fuente

Una alerta que dice CPU alta en prod-web-03 obliga al ingeniero on-call a abrir tres dashboards antes de entender el alcance. Una alerta que dice CPU en prod-web-03 al 94% durante 8 minutos, sirviendo el 34% del tráfico de checkout, impacto potencial en ingresos puede triarse en 15 segundos.

El contexto no significa verbosidad. Significa incluir:

  • Valor actual y umbral superado
  • Duración de la condición
  • Impacto en negocio o usuarios si se conoce
  • Enlace a runbook o próximo paso sugerido

Los equipos que implementan alertas ricas en contexto reportan un 40% más de velocidad en MTTA en incidentes críticos. La reducción de carga cognitiva es real.

3. Implementa Niveles de Severidad de Alertas con Rigor

La mayoría de los equipos tienen niveles de severidad en teoría. Pocos los aplican en la práctica.

Un modelo de tres niveles viable:

Nivel Criterios Entrega
P1 Impacta usuarios, afecta ingresos, requiere acción inmediata Notificar on-call inmediatamente
P2 Rendimiento degradado, ruta no crítica, tendencia hacia P1 Notificación Slack + ticket
P3 Informacional, no requiere acción inmediata Dashboard + resumen diario

La disciplina está en negarse a dejar que los P2s se desplacen hacia arriba en las páginas. Si un servicio no está orientado al usuario, no justifica despertar a alguien.

Las Categorías de Infraestructura Sobre las que Probablemente Alertas en Exceso

DNS

Las fallas de DNS son en gran medida prevenibles, y sin embargo la mayoría de los equipos tienen alertas agresivas sobre síntomas (timeouts, errores 5xx) mientras ejecutan cero monitoreo proactivo sobre la salud del DNS en sí. Esto crea un patrón donde recibes notificaciones sobre efectos secundarios, a menudo minutos después de que los usuarios comenzaran a experimentar problemas.

El monitoreo continuo de DNS con resolvers redundantes elimina la mayoría de este ruido reactivo. Cuando monitorizas la salud del DNS proactivamente, atrapas configuraciones incorrectas y fallos de propagación antes de que se cascadeen. Los equipos que usan herramientas como PulseGuard para monitoreo de infraestructura frecuentemente descubren que recibían 15-20 alertas secundarias para lo que fue una única configuración incorrecta de DNS, una tormenta de alertas que colapsa en una notificación accionable con una arquitectura de monitoreo apropiada.

Certificados SSL

Las alertas de expiración de SSL son un contribuyente clásico a la fatiga de alertas. Los equipos establecen umbrales de advertencia temprana agresivos (90 días, 60 días, 30 días) y terminan con alertas recurrentes que nunca se actúan porque la expiración parece distante. Cuando llega la fecha límite real, la alerta ha sido archivada mentalmente como ruido de fondo.

Mejor enfoque: una alerta a los 30 días, escalando a los 7 días. Automatiza la renovación donde sea posible. Elimina completamente el ruido intermedio.

Monitoreo de Disponibilidad

Los intervalos de sondeo de cinco minutos que alertan sobre fallos de verificación única producen tasas significativas de falsos positivos debido a condiciones de red transitorias. Requiere dos o tres fallos consecutivos antes de alertar. Este único cambio puede reducir falsos positivos entre un 30-40% para la mayoría de configuraciones de infraestructura.

Páginas de Estado como Infraestructura de Respuesta ante Incidentes

El ajuste de alertas trata sobre lo que sucede dentro de tu equipo. Las páginas de estado tratan sobre lo que sucede fuera, y son una herramienta infrautilizada para reducir el volumen de alertas indirectamente.

Cuando los usuarios no tienen una fuente autorizada de información durante un incidente, presentan tickets de soporte, envían correos electrónicos, publican en redes sociales y envían mensajes a contactos de ventas. Esto crea una carga secundaria que recae en ingenieros que ya están triando el incidente principal.

Una página de estado actualizada proactivamente, cada 30 minutos durante incidentes activos con lenguaje honesto y específico, elimina la mayoría de este ruido entrante. Los equipos que mantienen páginas de estado públicas reportan reducciones del 20-30% en volumen de tickets de soporte durante incidentes.

La palabra clave es proactivamente. Una página de estado que solo se actualiza después de que los usuarios ya han notado el problema no proporciona beneficio de reducción de ruido. El objetivo es responder la pregunta antes de que se haga.

La funcionalidad de página de estado de PulseGuard está construida alrededor de este flujo de trabajo, haciendo que sea rápido publicar actualizaciones durante un incidente cuando tu equipo tiene ancho de banda limitado y carga cognitiva alta.

Puntos Prácticos

Comienza aquí esta semana:

  1. Audita tus últimos 30 días de páginas. Para cada alerta, registra si requirió acción humana inmediata. Cualquier cosa por debajo de una tasa de accionabilidad del 80% es un objetivo de ajuste.

  2. Agrega un contexto de negocio a tus cinco alertas más ruidosas. Impacto del usuario, ruta de ingresos, o porcentaje de tráfico afectado. Mide MTTA antes y después.

  3. Configura monitoreo proactivo de DNS separado de tus verificaciones de salud de aplicación. Los problemas de DNS nunca deberían aparecer primero como timeouts de aplicación.

  4. Crea o actualiza tu página de estado pública y documenta un proceso interno para publicar actualizaciones dentro de 15 minutos de la declaración del incidente.

  5. Revisa tu límite P1/P2. Si más del 20% de tus alertas P1 no causan que los ingenieros tomen acción inmediata, tus definiciones de nivel se han desviado.

La fatiga de alertas no es un problema de personas. Es un problema de instrumentación. Soluciona la instrumentación.