Mapa de riesgos de IA generativa
Un sistema de IA no es seguro porque “parece contestar bien”. Es seguro cuando sabes qué puede fallar, cómo lo mides, quién responde y qué controles reducen el daño.
Objetivos de aprendizaje
- Separar riesgos técnicos, legales, operativos y de usuario.
- Usar un mapa simple inspirado en NIST: gobernar, mapear, medir y gestionar.
- Decidir cuándo una app de IA puede publicarse y cuándo debe quedarse en piloto.
En cristiano: gestión de riesgo. No es eliminar todos los fallos. Es saber cuáles importan, medirlos, reducirlos y tener una respuesta preparada si aparecen.
Cuatro preguntas antes de publicar
- Gobernar: quién decide, quién revisa y qué está prohibido.
- Mapear: qué usuarios, datos, herramientas y decisiones toca el sistema.
- Medir: qué tests prueban errores, sesgos, privacidad y abuso.
- Gestionar: qué límites, logs, permisos y procesos reducen el riesgo.
Idea clave. NIST AI RMF no es una lista de magia: es una forma ordenada de no olvidar gobierno, medición e incidentes.
Ficha de riesgo mínima
Terminal
riesgo:
nombre: "responder con información médica inventada"
sistema: "chatbot de atención"
usuarios_afectados: ["clientes", "equipo soporte"]
datos: ["preguntas", "historial de tickets"]
probabilidad: media
impacto: alto
controles:
- limitar dominio
- responder con fuentes
- abstención si no hay evidencia
- revisión humana en casos sensibles
tests:
- preguntas sin evidencia
- instrucciones maliciosas
- datos personales en prompt
responsable: "equipo producto"
fecha_revision: "2026-07-03" Cuidado. En Europa, el AI Act ya aplica por fases. Las prácticas prohibidas y alfabetización en IA empezaron el 2 de febrero de 2025; las obligaciones para modelos de propósito general aplican desde el 2 de agosto de 2025. No conviertas esto en asesoría legal: úsalo como señal para revisar casos de uso.
Comprueba que funciona. Coge una app de IA de Aulafy, por ejemplo un RAG con PDFs, y escribe tres riesgos: uno de privacidad, uno de respuesta incorrecta y uno de uso malicioso.
Guardar y reabrir el proyecto.
El mapa de riesgos es el primer archivo de producción. Si no sabes qué puede salir mal, no sabes qué estás desplegando.