F7 - 7.0 MARCO CONCEPTUAL: DEL DUE DILIGENCE A LA GOBERNANZA CONTINUA

ANTES

TRANSICIÓN

DURANTE

CICLO CONTINUO

Evaluación de proveedores(Fases 1–4)

Due diligence sectorial y contractual(Fases 5–6)

Implementación y primeros 90 días

Gobernanza post-implementación(Fase 7)

Filosofía éticaAlignmentTransparenciaDilemas éticos

Sector: regulatorioContracto: ZDR, indemnizaciónSLAs, certificaciones

Integración técnicaConfiguración seguridadCapacitación equiposBaseline métricas

Monitoreo continuoRe-evaluación periódicaGestión incidentesCompliance regulatorio

DIMENSIÓN

DETALLE

Origen y naturaleza

NIST (EE.UU.), enero 2023. Voluntario a nivel federal; puede volverse obligatorio en sectores (OCC/FDIC/Fed SR 11-7 alineado). No tiene fuerza de ley, pero establece el estándar de facto para organizaciones que interactúan con el gobierno o sistemas regulados de EE.UU.

Estructura: 4 funciones

GOVERN — Políticas, roles, cultura de riesgo. MAPEADO (MAP) — Identificar contexto y riesgos. MEDIR (MEASURE) — Evaluar y analizar riesgos. GESTIONAR (MANAGE) — Priorizar, responder, monitorear.

Relevancia práctica 2026

Gartner (2025): organizaciones con certificación ISO 27001 pueden alcanzar ISO 42001 hasta un 40% más rápido. El NIST AI RMF es el puente conceptual entre ISO 27001 (seguridad de información) e ISO 42001 (gestión de IA). Organizaciones que ya tienen controles NIST CSF implantados tienen ventaja estructural.

Limitación documentada

IANS (feb. 2026): muchos CISOs encuentran el marco 'demasiado voluminoso o vago, dado sus suposiciones sobre el nivel de control que la mayoría de las empresas tienen sobre sus modelos de IA y su infraestructura'. Apto para organizaciones con modelos propios; más difícil de aplicar cuando el modelo es un SaaS de tercero.

Perfiles sectoriales

NIST publicó perfiles sectoriales para: Financial Services (2024), AI Cybersecurity (2024), GenAI (2024). Estos perfiles mapean los outcomes del AI RMF a requisitos específicos del sector, reduciendo el trabajo de adaptación.

DIMENSIÓN

DETALLE

Origen y naturaleza

ISO/IEC, diciembre 2023. Certificable por terceros — diferencia crítica frente al NIST AI RMF. Primera norma certificable dedicada a sistemas de gestión de IA. Auditors acreditados pueden emitir certificaciones formales.

Relación con ISO 27001

Diseñada para integrarse con ISO 27001. Comparte estructura de alto nivel (Annex SL). Las organizaciones certificadas en ISO 27001 pueden implementar ISO 42001 como extensión. Ventaja aceleración: 30-40% menos esfuerzo de implementación según datos de conformidad 2025.

Requisitos clave

Política de IA organizacional documentada. Inventario de sistemas de IA con evaluación de riesgos. Roles y responsabilidades en gobernanza de IA. Evaluación de impacto de IA sobre personas. Controles de sesgo, transparencia y explicabilidad. Monitoreo continuo y mejora.

Estado de adopción 2025-2026

Adopción acelerada en sectores regulados post-EU AI Act (2024). El EU AI Act referencia ISO 42001 como posible evidencia de conformidad para sistemas de alto riesgo. Certificación ISO 42001 puede ser ventaja competitiva en licitaciones gubernamentales y contratos con grandes corporativos.

Relación con proveedores IA

ISO 42001 incluye requisitos sobre gestión de terceros (proveedores de IA). El Annex A de controles incluye: evaluación de proveedores de IA externos, gestión de datos de IA de terceros, acuerdos contractuales con proveedores que reflejen responsabilidades de IA.

DIMENSIÓN

NIST AI RMF

ISO 42001

EU AI ACT

Naturaleza jurídica

Voluntario (EE.UU.)

Certificable (global)

Obligatorio (UE + extraterritorial)

Aplicabilidad territorial

EE.UU. + influencia global

Global

UE + cualquier empresa que opera en UE

Sanciones incumplimiento

Sin sanciones directas

Pérdida de certificación

Hasta €35M / 7% facturación global

Certificación de terceros

No

Sí (auditors acreditados)

Sí (organismos notificados)

Cobertura de terceros (proveedores)

Referencia como buena práctica

Requisito Annex A

Obligación explícita para deployers

Compatibilidad con ISO 27001

Alta (estructura similar)

Diseñada para integrarse

Referencia ISO 42001 como evidencia

Granularidad operacional

Alta (funciones + outcomes detallados)

Alta (controles certificables)

Alta (requisitos técnicos por categoría)

Deadline para sectores regulados

Sin deadline formal

Sin deadline formal (adopción voluntaria)

Agosto 2026 (alto riesgo); Diciembre 2027 (backstop)

HALLAZGO

FUENTE Y FECHA

Más del 90% de organizaciones NO permiten acceso irrestricto a herramientas de IA. El 56% bloquea la mayoría de herramientas con listas blancas definidas.

IANS Research, febrero 2026

Más del 85% de CISOs ya han implementado políticas dedicadas de IA o actualizado sus marcos de seguridad para incluir IA.

IANS Research, febrero 2026

La mitad de las organizaciones han establecido comités dedicados de gobernanza de IA — de carácter cross-funcional con participación del CISO.

IANS Research, febrero 2026

El Shadow AI ya representa el 20% de todas las brechas de datos, con un costo diferencial de $670,000 por encima del costo promedio estándar.

IBM Cost of a Data Breach Report 2025

El 65% de las herramientas de IA en organizaciones operan sin aprobación de TI o seguridad.

Vectra AI / IAPP, 2025

Las organizaciones con liderazgo de gobernanza de IA en el C-suite son 3 veces más propensas a tener programas maduros.

IAPP AI Governance Profession Report 2025

El mercado de herramientas de gobernanza de IA creció de $227-340M (2024-2025) a trayectoria de $4.83B para 2034. CAGR: 35-45%.

Precedence Research / MarketsandMarkets 2025

Según una encuesta de Dark Reading, el 48% de los profesionales de ciberseguridad identifican la IA agéntica como el vector de ataque número uno para 2026, superando ransomware, deepfakes y ataques a la cadena de suministro.

Dark Reading poll, 2026

ROL

RESPONSABILIDAD EN GOBERNANZA IA

DECISIONES EXCLUSIVAS

FRECUENCIA COMITÉ

CISO

Lidera marcos de seguridad y riesgo de IA. Aprueba herramientas. Gestiona Shadow AI. Responde incidentes.

Aprobación/bloqueo de herramientas de IA. Definición de controles técnicos. Políticas de acceso a modelos.

Mensual (comité pleno) + ad hoc (incidentes)

Legal / Compliance

Garantiza cumplimiento regulatorio (EU AI Act, GDPR, sector-específico). Revisa contratos con proveedores IA.

Clasificación de sistemas alto riesgo EU AI Act. Aprobación de DPAs y BAAs. Opinión sobre litigación activa de proveedores.

Mensual (comité pleno)

CTO / Arquitectura

Define estándares técnicos de integración. Supervisa calidad y rendimiento de modelos.

Aprobación de arquitecturas agénticas. Estándares de API y conectores. Gestión de versiones de modelos.

Mensual + revisiones técnicas trimestrales

Negocio / Dueños de Caso de Uso

Definen requisitos funcionales. Identifican nuevos casos de uso. Reportan anomalías.

Priorización de inversión en casos de uso. Definición de umbrales de supervisión humana por proceso.

Mensual (reportes) + aprobación de nuevos casos de uso

AI Champions (por unidad)

Embeben prácticas de gobernanza en operaciones diarias. Actúan de enlace con el comité central.

Primera línea de revisión de casos de uso departamentales. Escalación de anomalías al CISO.

Semanal (operacional)

#

DOMINIO AEGIS

DESCRIPCIÓN Y CONTROLES CLAVE

1

Governance, Risk & Compliance (GRC)

Políticas que definen acciones permitidas y prohibidas para agentes de IA. Comité cross-funcional de gobernanza con representación de seguridad, legal, privacidad, compliance, IT y negocio. Evaluaciones periódicas de riesgo. Gestión de excepciones.

2

Identity & Access Management (IAM)

Los agentes de IA no son usuarios humanos pero necesitan identidades, credenciales y permisos. Redefinir el marco IAM para agentes: credenciales de corta duración, permisos granulares por tarea, aislamiento de identidades entre agentes. Principio: menor agencia posible.

3

Data Governance

Gestión del flujo de datos entre agentes y sistemas externos. Controles de acceso a datos sensibles. Auditoría de qué datos procesa cada agente y con qué fin. Prevención de exfiltración a través de cadenas de herramientas.

4

Model Risk Management

Gestión del riesgo de los modelos subyacentes: drift, alucinaciones, degradación de rendimiento. Integración con frameworks MRM existentes (SR 11-7 para bancos). Inventario de modelos en producción con responsables asignados.

5

Security Operations

Monitoreo en tiempo real del comportamiento de agentes. Detección de anomalías en patrones de invocación de herramientas. Respuesta a incidentes específica para IA agéntica. Kill switches implementados y probados.

6

Third-Party Risk Management

Evaluación continua de proveedores de IA (no solo en el momento de contratación). Monitoreo de cambios en políticas de proveedores. Gestión de dependencias en ecosistemas multi-agente (MCP servers, plugins, APIs de terceros).

PRINCIPIO

DESCRIPCIÓN OPERACIONAL

MENOR AGENCIA(Least Agency)

Extensión del principio de Menor Privilegio (Least Privilege) al espacio de IA agéntica. Un agente solo debe tener el mínimo nivel de autonomía necesario para completar su tarea específica. La autonomía no utilizada es superficie de ataque no necesaria. Este principio implica: (a) definir explícitamente qué herramientas puede invocar cada agente; (b) escopar los permisos por tarea, no por rol permanente; (c) requerir aprobación humana para acciones de alto impacto, irreversibles o que escalen privilegios; (d) nunca permitir que un agente apruebe su propia escalada de permisos.

OBSERVABILIDAD FUERTE(Strong Observability)

Control de seguridad no negociable para sistemas agénticos. Sin visibilidad clara sobre qué hacen los agentes, por qué lo hacen y qué herramientas invocan, los problemas menores se expanden silenciosamente en fallos sistémicos. Los requisitos mínimos de observabilidad agéntica incluyen: (a) logs inmutables y firmados de todas las acciones, invocaciones de herramientas y comunicaciones inter-agente; (b) trazabilidad completa del estado de objetivos del agente; (c) alertas en tiempo real ante patrones de uso de herramientas anómalos; (d) capacidad de replay de sesiones completas de agentes para investigación post-incidente.

ID

RIESGO

DESCRIPCIÓN Y EJEMPLO REAL

CONTROLES DE GOBERNANZA REQUERIDOS

ASI01

Agent GoalHijacking

Un atacante altera los objetivos del agente mediante prompts maliciosos inyectados en emails, documentos, PDFs, invitaciones de calendario o datos de RAG. El agente no puede distinguir instrucciones válidas de contenido malicioso. Ejemplo real: EchoLeak (CVE-2025-32711) en Microsoft 365 Copilot — zero-click attack que redirigía el agente. Ejemplo real: Replit 'vibe coding' — agente eliminó base de datos de producción.

(1) Tratar TODOS los inputs de lenguaje natural como no confiables. (2) Validación y filtrado de contenido antes del procesamiento agéntico. (3) Permisos de herramientas tan restringidos que un objetivo hijackeado no cause daño catastrófico. (4) Monitoreo de drift de objetivos en tiempo real.

ASI02

Tool Misuse &Exploitation

El agente usa herramientas legítimas de formas inseguras o no intencionadas — encadenando herramientas inofensivas con APIs sensibles, ejecutando comandos destructivos, causando picos de costo por amplificación de bucles. Ejemplo: agente de atención al cliente con acceso a CRM y sistema de facturación es manipulado para emitir créditos no autorizados en miles de cuentas. La distinción crítica: el agente tenía acceso legítimo — el abuso ocurre a nivel semántico.

(1) Definir alcance explícito de herramientas por agente — qué puede hacer, no solo a qué puede acceder. (2) Rate limits en invocaciones de herramientas por agente/sesión. (3) Aprobación humana obligatoria para acciones sobre datos financieros o irreversibles. (4) Auditoría de cadenas de herramientas.

ASI03

Identity &Privilege Abuse

Agentes heredan credenciales de usuarios o sistemas con privilegios elevados — tokens de sesión, claves SSH en memoria, delegación cross-agente sin escopado. Los atacantes explotan la escalada de privilegios a través de cadenas de confianza entre agentes. El problema del 'confused deputy' toma nuevas dimensiones cuando agentes de IA pueden hacerse pasar por servicios internos.

(1) Credenciales de corta duración específicas por tarea para cada agente. (2) Prohibir la caché de credenciales entre sesiones de agente. (3) Autorización explícita en cada acción, no herencia de sesión. (4) Identidades de agente aisladas — un agente no puede asumir la identidad de otro sin autorización explícita.

ASI04

Agentic SupplyChain Vulnerabilities

Las dependencias del ecosistema agéntico (plugins, MCP servers, templates de prompt, APIs de terceros, otros agentes) se cargan dinámicamente en tiempo de ejecución — creando una cadena de suministro viva y vulnerable. El primer MCP server malicioso in-the-wild fue descubierto en npm en septiembre de 2025. Barracuda identificó 43 componentes de frameworks agénticos con vulnerabilidades embebidas de supply chain.

(1) SBOM/AIBOM — inventario de todos los componentes del ecosistema agéntico. (2) Firmar y atestar manifiestos, modelos, prompts y descriptores de herramientas. (3) Pinear dependencias y bloquear fuentes no confiables. (4) Ejecutar agentes en entornos sandbox con restricciones de red. (5) Kill switches que puedan revocar acceso en todo el deployment ante compromiso.

ASI05

Insecure AgentCode Execution

Agentes que generan o ejecutan código en tiempo real (coding assistants, agentes de automatización de infraestructura) pueden ser manipulados para ejecutar código malicioso a través de prompts manipulados o serialización insegura. Incluye: shell injection a través de prompts, alucinaciones de código con backdoors ocultos, explotación de cadenas multi-herramienta. Ejemplo: agente de CI/CD que genera y ejecuta código de infraestructura sin revisión humana.

(1) Sandbox de ejecución de código con restricciones de red y filesystem. (2) Revisión humana obligatoria antes de ejecutar código generado por agente en producción. (3) Análisis estático automatizado del código generado antes de ejecución. (4) Auditoría de todos los artefactos de código generados por agentes.

ASI06

Memory &Context Poisoning

Adversarios corrompen el contexto almacenado, embeddings o stores RAG con datos maliciosos, causando que el razonamiento futuro del agente sea sesgado o inseguro. El envenenamiento de memoria es persistente — el agente continúa comportándose incorrectamente mucho después del ataque inicial. Ataques demostrados contra la memoria a largo plazo de Gemini y el contexto persistente de ChatGPT.

(1) Validación de integridad de datos en stores RAG antes de ingesta. (2) Separación estricta de fuentes de datos por nivel de confianza. (3) Auditoría periódica de embeddings almacenados para detectar contaminación. (4) Límites de tiempo de vida en contexto persistente de agentes.

ASI07

Multi-AgentCommunication Attacks

Sistemas multi-agente dependen de comunicación continua que expande significativamente la superficie de ataque. Sin autenticación, verificación de integridad y validación semántica, atacantes pueden interceptar, suplantar o manipular mensajes entre agentes. Amenazas en transporte, ruteo, descubrimiento y canales laterales donde agentes filtran datos a través de patrones de timing o comportamiento.

(1) Autenticación mutua entre agentes en todos los canales de comunicación. (2) Cifrado end-to-end en mensajes inter-agente. (3) Validación semántica de mensajes — verificar que las instrucciones recibidas son coherentes con el protocolo del sistema. (4) Registro inmutable de todas las comunicaciones inter-agente.

ASI08

UncontrolledResource Consumption

Agentes pueden consumir recursos de forma descontrolada — bucles infinitos, amplificación de llamadas a APIs, generación masiva de datos. Afecta costo (picos de facturación no anticipados), disponibilidad (DoS auto-infligido) y rendimiento de sistemas dependientes. Este riesgo es único en IA agéntica donde el agente puede auto-generar nuevas tareas.

(1) Budget de tokens por sesión de agente con hard limits configurables. (2) Rate limits explícitos en invocaciones de herramientas por agente/tiempo. (3) Circuit breakers que detengan agentes ante comportamiento anómalo de consumo. (4) Alertas de costo en tiempo real con umbrales predefinidos.

ASI09

Human-Agent TrustExploitation

Usuarios y organizaciones depositan confianza ciega en los outputs y acciones del agente sin la supervisión apropiada — aceptando resultados defectuosos o maliciosos. Este riesgo es humano, no técnico. La confianza excesiva en agentes reduce la vigilancia necesaria para detectar comportamientos anómalos.

(1) Cultura organizacional de evaluación crítica de outputs agénticos. (2) Human-in-the-loop obligatorio para decisiones de alto impacto. (3) Explicabilidad de acciones — el agente debe poder explicar por qué tomó cada acción. (4) Programa de capacitación en reconocimiento de fallos agénticos para usuarios finales.

ASI10

Rogue Agents

Agentes cuyo comportamiento ha derivado de su propósito original — persiguiendo objetivos ocultos, autoreplicándose, secuestrando flujos de trabajo, o optimizando señales de recompensa de formas que dañan a la organización. A diferencia del Goal Hijacking (ASI01 — requiere atacante activo), los Rogue Agents son una amenaza auto-iniciada por fallos de gobernanza y diseño interno. Son el equivalente agéntico de la amenaza interna.

(1) Kill switches implementados, auditables y físicamente aislados — no negociable. (2) Monitoreo comportamental continuo para detectar deriva sutil antes de que sea catastrófica. (3) Auditoría rigurosa de la función de recompensa/objetivo del agente. (4) Pruebas de red-team específicas para comportamiento rogue. (5) Mecanismo de 'behavioral baseline' con alertas ante desvíos estadísticos.

DATO CLAVE

FUENTE Y CONTEXTO

65% de herramientas de IA en organizaciones operan sin aprobación de TI o seguridad

Vectra AI / IAPP AI Governance Profession Report (2025). El porcentaje refleja el delta entre la velocidad de adopción de herramientas de IA por usuarios de negocio y la capacidad de los equipos de seguridad de evaluar y aprobar esas herramientas.

Shadow AI representa el 20% de TODAS las brechas de datos en 2025

IBM Cost of a Data Breach Report 2025. Este dato, consistente con el patrón histórico del Shadow IT, indica que la falta de visibilidad sobre qué herramientas usan los empleados y qué datos comparten con ellas es ya una causa principal de exposición.

Costo diferencial por brecha asociada a Shadow AI: +$670,000

IBM Cost of a Data Breach Report 2025. El costo adicional respecto al promedio de brechas no relacionadas con Shadow AI refleja la dificultad de detección, contención y remediación cuando los controles estándar no conocen la existencia del sistema comprometido.

77% de organizaciones trabajan activamente en gobernanza de IA

IAPP AI Governance Profession Report (2025). Sin embargo, la mayoría carece de las herramientas para hacerlo efectivamente — existe una brecha entre intención y capacidad operacional.

El 56% de CISOs bloquean la mayoría de herramientas de IA con listas blancas definidas

IANS Research, febrero 2026. Esta estrategia responde al problema de Shadow AI pero puede generar resistencia organizacional y redireccionar el Shadow AI a canales más ocultos (dispositivos personales, accounts personales).

FASE

ACCIÓN

IMPLEMENTACIÓN PRÁCTICA

1

INVENTARIO

Realizar un inventario comprehensivo de TODOS los sistemas de IA en producción, incluyendo deployments Shadow AI. Herramientas: análisis de tráfico de red para detectar llamadas a APIs de LLM no autorizadas, encuestas anónimas a empleados, revisión de logs de proxy corporativo, análisis de gasto en tarjetas corporativas (suscripciones a servicios de IA). El inventario debe ser el punto de partida — no se puede gobernar lo que no se conoce.

2

CLASIFICACIÓN

Clasificar cada herramienta de IA descubierta: (a) aprobada y gestionada; (b) aprobada pero no gestionada (visible pero sin controles); (c) no aprobada pero de bajo riesgo; (d) no aprobada y de alto riesgo. La clasificación determina la respuesta: las categorías (c) y (d) requieren evaluación acelerada o bloqueo.

3

POLÍTICA

Desarrollar y comunicar una AI Usage Policy clara que defina: herramientas aprobadas (lista blanca), herramientas prohibidas (lista negra, ej. DeepSeek), categorías que requieren aprobación previa, tipos de datos que NUNCA pueden enviarse a herramientas de IA externas (PHI, PII, datos confidenciales de negocio, código fuente propietario), y consecuencias del incumplimiento.

4

CONTROLES TÉCNICOS

Implementar controles técnicos que hagan la política aplicable: (a) DLP (Data Loss Prevention) con reglas específicas para APIs de IA; (b) Proxy corporativo con inspección de tráfico a dominios de IA conocidos; (c) Bloqueo de acceso a herramientas no aprobadas desde la red corporativa; (d) Browser extensions o agentes endpoint que detecten uso de herramientas de IA en dispositivos corporativos.

5

ALTERNATIVAS INTERNAS

La estrategia más efectiva a largo plazo para reducir Shadow AI no es solo bloquear — es ofrecer alternativas internas aprobadas que satisfagan las necesidades de los usuarios de negocio. Si los usuarios usan ChatGPT personal porque la empresa no ofrece una alternativa enterprise, el Shadow AI persistirá. Implementar herramientas aprobadas, capaces y fáciles de usar es parte de la gobernanza.

6

MONITOREO CONTINUO

El Shadow AI no es un problema que se resuelve una vez — es un estado continuo dado el ritmo de adopción. Establecer monitoreo continuo: revisión mensual de herramientas nuevas detectadas, proceso de aprobación acelerada para herramientas de bajo riesgo (no crear cuellos de botella que generen resistencia), y revisión trimestral de la política.

ÁREA DE MONITOREO

QUÉ MONITOREAR

FRECUENCIA Y ALERTAS

Rendimiento del modelo

Precisión, recall, tasa de alucinaciones, latencia, disponibilidad. Comparar contra baseline establecido en implementación. Detectar model drift (cuando el proveedor actualiza el modelo base).

Continuo (automatizado). Alerta si métricas caen >X% del baseline. Revisión manual mensual.

Sesgo y fairness

Distribución de outputs por grupos demográficos. Disparate impact en casos de uso que afectan decisiones. Especialmente crítico en: crédito, contratación, servicio al cliente.

Mensual (análisis estadístico). Revisión ante cambios de modelo. Alerta si se detecta disparate impact >20%.

Comportamiento agéntico

Para sistemas agénticos: patrones de invocación de herramientas, duración de sesiones, volumen de datos accedidos, cadenas de acciones. Baseline de comportamiento normal + alertas ante desvíos.

Continuo (tiempo real para alertas críticas). Revisión diaria de dashboards. Post-mortem ante cualquier anomalía.

Cambios en políticas del proveedor

Actualizaciones de ToS, DPAs, políticas de entrenamiento, certificaciones. El proveedor puede cambiar su política ZDR o sus términos de indemnización con 30 días de preaviso.

Suscripción a changelog del proveedor. Revisión mensual de documentos legales. Alerta ante cualquier cambio en términos clave.

Incidentes de seguridad del proveedor

CVEs que afectan los servicios del proveedor. Brechas de seguridad reportadas. Cambios en la superficie de ataque del servicio.

Suscripción a CVE feeds del proveedor. CISA advisories. Revisión semanal.

Uso y costos

Volumen de tokens, llamadas a API, costos por unidad de negocio. Shadow AI puede detectarse via picos de uso no anticipados. Amplificación de costos por comportamiento agéntico anómalo.

Continuo (dashboard de costo). Alerta ante picos >200% del baseline semanal. Revisión mensual de ROI por caso de uso.

FASE

NOMBRE

ACCIONES ESPECÍFICAS PARA INCIDENTES DE IA

1

DETECCIÓN

Monitoreo automatizado detecta anomalía. Fuentes: alertas de behavioral analytics, reportes de usuarios, logs de invocación de herramientas, alertas de costo. Criterios de escalación definidos: impacto financiero, número de usuarios afectados, tipo de datos involucrados, si el comportamiento es agéntico o LLM pasivo.

2

CONTENCIÓN

ACCIÓN INMEDIATA: Kill switch del agente o sistema de IA afectado. Revocar credenciales de agente comprometido. Aislar el entorno afectado. Si el proveedor tiene responsabilidad: notificar al proveedor con evidencia documentada (logs, capturas) y solicitar SLA de respuesta contractualmente acordado.

3

INVESTIGACIÓN

Determinar: (a) tipo de incidente — ataque externo, fallo interno, incumplimiento regulatorio; (b) alcance — qué datos accedió/modificó el sistema; (c) causa raíz — vulnerabilidad en el diseño agéntico, cambio en modelo base del proveedor, ataque a supply chain; (d) si hay obligación de notificación regulatoria (DORA: 4h para incidentes mayores; HIPAA: 60 días; GDPR: 72h).

4

REMEDIACIÓN

Corrección de la causa raíz. Si el incidente involucra cambios del proveedor (actualización de modelo): decidir si se mantiene el proveedor o se activa el plan de salida contractual. Actualizar controles OWASP Agentic Top 10 en base a lecciones aprendidas. Documentar para auditoría regulatoria.

5

POST-MORTEM

Revisión post-incidente dentro de 72h. Actualización de AI IRP con aprendizajes. Comunicación a stakeholders internos (comité de gobernanza) y externos si aplica (reguladores, clientes afectados). Revisión de si el incidente debería haber sido detectado antes y por qué no lo fue.

FECHA

ESTADO

OBLIGACIONES Y ACCIONES REQUERIDAS

1 Agosto 2024

✅ VIGENTE

Entrada en vigor del Reglamento. Inicio de período de transición.

2 Febrero 2025

✅ VIGENTE

Prácticas prohibidas: sistemas de IA que representan 'riesgo inaceptable' están prohibidos desde esta fecha. Incluye: scoring social, biometría en tiempo real en espacios públicos, manipulación subliminal. Obligaciones de alfabetización en IA (AI literacy) para proveedores y desplegadores.

2 Agosto 2025

✅ VIGENTE

Obligaciones para modelos GPAI (General Purpose AI): documentación técnica, evaluaciones de seguridad, gestión de riesgos sistémicos para modelos frontier. Los principales proveedores (OpenAI, Anthropic, Google, Microsoft, Meta, etc.) ya están sujetos a estas obligaciones. Multas por GPAI: hasta €15M o 3% de facturación global.

2 Agosto 2026

⚠️ PRÓXIMO(6 meses)

Aplicación plena para sistemas de ALTO RIESGO (Annex III): crédito, scoring financiero, detección de fraude, decisiones que afectan acceso a servicios esenciales, sistemas de contratación, herramientas educativas. Multas por incumplimiento: hasta €35M o 7% facturación global. Sanciones aplican tanto a proveedores de IA como a deployers (las organizaciones que usan los sistemas).

2 Diciembre 2027

Backstop legal

Fecha máxima para compliance de sistemas alto riesgo Annex III si los estándares armonizados no estaban disponibles antes de agosto 2026 (Digital Omnibus proposal, noviembre 2025). Organizaciones deben planificar para agosto 2026, no confiar en el backstop.

2 Agosto 2027

Aplicación plena

El EU AI Act aplica en su totalidad a todas las categorías restantes. Modelos GPAI ya en mercado antes de agosto 2025 deben estar en plena conformidad.

2 Agosto 2028

Productos embebidos

Sistemas de IA integrados en productos regulados (dispositivos médicos, maquinaria industrial, vehículos) con deadline extendido de August 2028 máximo (Annex I).

ART.

REQUISITO EU AI ACT

ACCIÓN DE IMPLEMENTACIÓN

Art. 9

Sistema de gestión de riesgos (cíclico, no puntual)

Implementar proceso continuo de identificación, evaluación y mitigación de riesgos de IA. Documentar en el registro de riesgos corporativo. Revisión mínima anual y ante cambios materiales del sistema.

Art. 10

Gobernanza de datos de entrenamiento

Documentar proveniencia de datos de entrenamiento del proveedor. Verificar representatividad y ausencia de sesgos relevantes. Exigir al proveedor documentación de Model Card. Si es modelo propio: mantener dataset documentation.

Art. 11

Documentación técnica

Mantener documentación técnica exhaustiva del sistema de IA: arquitectura, datos, limitaciones, condiciones de uso apropiado, métricas de rendimiento, resultados de evaluaciones de seguridad. Accesible para autoridades competentes.

Art. 12

Registro automático (logs)

Los sistemas de alto riesgo deben generar logs automáticos que permitan: (a) monitorear el funcionamiento; (b) facilitar supervisión post-mercado; (c) garantizar trazabilidad de las operaciones del sistema. Retención de logs mínima definida por sector.

Art. 13

Transparencia a desplegadores

Proveedor debe proveer información suficiente para que el deployer entienda: capacidades y limitaciones, performance esperada, requisitos de mantenimiento, medidas de supervisión humana necesarias. Exigir al proveedor compliance con este artículo en el contrato.

Art. 14

Supervisión humana efectiva

Diseñar e implementar medidas que permitan a personas físicas supervisar el sistema de IA y intervenir cuando sea necesario. Los controles de supervisión deben ser apropiados al riesgo del caso de uso. Prohibido el 'human in the loop' cosmético.

Art. 15

Precisión, robustez y ciberseguridad

Verificar y documentar métricas de precisión del sistema. Evaluar robustez ante inputs anómalos o adversariales. Implementar medidas de ciberseguridad específicas para el sistema de IA (OWASP Agentic Top 10 aplicable).

Art. 16-17

Registro en base de datos EU + QMS

Registrar sistema de alto riesgo en la EU AI Database pública (cuando esté operativa). Implementar sistema de gestión de calidad (QMS) para el ciclo de vida del sistema de IA. Nombrar representante autorizado en la UE si el proveedor es no-UE.

ESCENARIO LATAM

ROL EN EU AI ACT

OBLIGACIONES

Filial de grupo bancario europeo en Argentina/Chile/Colombia

Deployer de sistemas de alto riesgo

Obligaciones de deployer: supervisión humana, logs, reporte de incidentes, cooperación con autoridades. El proveedor de IA debe cumplir las obligaciones de proveedor.

Empresa LATAM que exporta servicios de IA a clientes europeos

Proveedor de IA con alcance EU

Obligaciones de proveedor: documentación técnica, evaluación de conformidad, registro EU AI Database, representante autorizado en UE. Mucho más exigente que ser deployer.

Empresa LATAM que usa IA solo para clientes locales sin filiales EU

Fuera del alcance directo

EU AI Act no aplica directamente. Sin embargo: LATAM países están desarrollando regulaciones propias (Brasil LGPD + regulación IA en desarrollo, Colombia, México). Los estándares EU son referencia para reguladores locales — prepararse para EU AI Act es prepararse para el futuro regulatorio de la región.

Empresa LATAM usando proveedores de IA globales para procesos internos

Deployer — evaluación caso a caso

Si los procesos impactan a clientes/empleados en la UE: deployer con obligaciones. Si el impacto es solo en LATAM: posiblemente fuera de alcance. Requiere análisis legal específico.

FRECUENCIA

TIPO DE REVISIÓN

ALCANCE

RESPONSABLE

CONTINUO

Monitoreo automatizado

Cambios en ToS, nuevas CVEs, brechas reportadas, cambios regulatorios que afecten al proveedor. Suscripción a feeds de noticias y advisories.

CISO / Equipo de seguridad (automatizado)

MENSUAL

Revisión operacional

Métricas de rendimiento vs. SLA. Comportamiento agéntico (si aplica). Costos vs. presupuesto. Incidentes del mes. Shadow AI detectado.

AI Governance Committee

TRIMESTRAL

Revisión táctica

Análisis de litigación activa del proveedor. Cambios en políticas de entrenamiento documentados. Nuevas certificaciones obtenidas o perdidas. Actualización del scorecard de la Fase 5 (sectorial).

CISO + Legal

SEMESTRAL

Revisión estratégica

Re-evaluación completa de la filosofía ética del proveedor (hallazgos tipo Fases 1-4). Evaluación de cambios en liderazgo o propiedad. Revisión del panorama competitivo — ¿hay un proveedor mejor?

AI Governance Committee + C-suite

ANUAL

Auditoría formal

Auditoría completa contra marco de gobernanza (ISO 42001, NIST AI RMF, EU AI Act para sistemas alto riesgo). Revisión contractual: ¿siguen vigentes todas las cláusulas negociadas? Evaluación de plan de salida.

Internal Audit + CISO + Legal

EVENTO-DRIVEN

Re-evaluación de emergencia

Disparadores: brecha de seguridad mayor del proveedor, cambio de control corporativo (adquisición, fusión), investigación regulatoria significativa, cambio de modelo base no notificado, incidente de seguridad de IA de alto impacto.

CISO — activación inmediata

DISPARADOR

ACCIÓN REQUERIDA

Brecha de seguridad mayor confirmada en el proveedor

Activar cláusula de notificación de incidentes del contrato. Evaluar impacto en datos propios. Considerar suspensión preventiva del servicio hasta aclaración. Solicitar informe forense al proveedor.

Cambio de control corporativo (M&A, adquisición)

Los compromisos contractuales pre-adquisición pueden no ser vinculantes para el nuevo propietario. Revisar si el nuevo propietario tiene políticas compatibles. Activar cláusula de cambio de control del contrato si existe.

Actualización de modelo base no notificada

Los modelos actualizados pueden tener rendimiento diferente, nuevas vulnerabilidades o cambios en comportamiento relevantes para compliance (SaMD en salud, SR 11-7 en banca). Exigir notificación previa contractualmente.

Nueva investigación regulatoria significativa

Investigaciones de privacidad (CNIL, Garante), sesgo (EEOC), seguridad (CISA) pueden resultar en cambios operacionales forzados o sanciones. Evaluar impacto de posibles outcomes en continuidad del servicio.

CVE crítica publicada afectando el servicio

Evaluar si la vulnerabilidad aplica al caso de uso propio. Verificar si el proveedor ha publicado mitigación o parche. Implementar controles compensatorios si hay demora.

Cambio material en políticas de ZDR o entrenamiento

Si el proveedor actualiza sus términos para permitir el uso de datos del cliente para entrenamiento o reduce las garantías de retención, puede representar incumplimiento de los compromisos contractuales negociados.

Fallo de renovación de certificación crítica

Si el proveedor pierde una certificación requerida (SOC 2, ISO 27001, HIPAA BAA) — especialmente en sectores regulados — puede representar incumplimiento directo de los requisitos del sector.

DIMENSIÓN

NIVEL 1INICIAL

NIVEL 2DESARROLLANDO

NIVEL 3DEFINIDO

NIVEL 4OPTIMIZADO

1. Estructura de Gobernanza

No existe comité de gobernanza de IA. El CISO no tiene mandato formal sobre IA.

Comité informal o ad hoc. Roles de gobernanza de IA en discusión pero no formalizados.

AI Governance Committee formal con RACI definido. Reuniones mensuales. Políticas de IA documentadas y comunicadas.

Comité operativo con métricas de KPI de gobernanza. AI Champions en cada unidad de negocio. Mejora continua documentada.

2. Inventario y Clasificación de IA

No existe inventario de sistemas de IA en producción. Shadow AI desconocido.

Inventario parcial de sistemas aprobados. Shadow AI no medido.

Inventario completo de todos los sistemas de IA (incluyendo Shadow AI detectado). Clasificación por riesgo EU AI Act.

Inventario automatizado con discovery continuo. Integrado con CMDB. Alertas ante nuevos sistemas no registrados.

3. Gestión de Riesgo Agéntico (OWASP)

No se han implementado controles específicos para IA agéntica. Principio de Menor Agencia desconocido.

Conocimiento del OWASP Agentic Top 10 pero sin implementación sistemática. Algunos controles ad hoc.

Implementación formal del Principio de Menor Agencia. Kill switches implementados y probados. Observabilidad básica de agentes.

Controles OWASP Agentic Top 10 implementados y auditados. Red teaming agéntico periódico. Behavioral analytics automatizado.

4. Compliance Regulatorio

EU AI Act no analizado. NIST AI RMF desconocido. ISO 42001 no implementado.

Análisis preliminar de aplicabilidad de EU AI Act. Mapeo inicial de sistemas alto riesgo.

Clasificación completa de sistemas bajo EU AI Act. Plan de compliance documentado con responsables y fechas. ISO 42001 en implementación.

Compliance total EU AI Act para sistemas alto riesgo. ISO 42001 certificado. Monitoring automatizado de cambios regulatorios.

5. Gestión Continua de Proveedores

Evaluación de proveedores solo en el momento de selección. Sin re-evaluación periódica.

Re-evaluación anual informal. Sin monitoreo continuo de cambios en políticas de proveedores.

Re-evaluación semestral formal con scorecard documentado. Monitoreo mensual de cambios en ToS y CVEs. Planes de salida definidos.

Re-evaluación continua automatizada. Alertas en tiempo real ante cambios en proveedores. Pruebas anuales de planes de salida.