Tarde o temprano alguien te va a pedir la lista de sistemas de IA que usa tu organización. Un auditor de ISO 42001. Un cliente haciendo due diligence. El regulador aplicando el EU AI Act. Y ese día vas a descubrir que tu inventario de sistemas de IA no existe. No porque seas mal CISO, sino porque casi nadie lo tiene.
No es un descuido menor. ISO 42001 te exige gestionar el riesgo de tus sistemas de IA, y el EU AI Act te obliga a clasificarlos por nivel de riesgo. Las dos normas dan por sentado lo mismo: que sabes qué sistemas de IA usas. Ese inventario de sistemas de IA es el paso cero, el control que va antes de todos los controles.
Y es justo el que casi todo el mundo se salta, porque parece aburrido y no luce en una diapositiva de comité. Pregunta en tu organización cuántos sistemas de IA hay en uso y te dirán tres o cuatro: el ChatGPT corporativo, el Copilot, quizá el asistente del CRM. La cifra real es mayor. Lo grave no es la cifra: es que nadie la tiene escrita en ningún sitio.
No puedes proteger lo que no sabes que existe
Es una frase vieja en seguridad, y tiene la mala costumbre de ser cierta. La gestión de activos lleva décadas siendo el primer dominio de cualquier marco serio, desde los CIS Controls hasta la familia ISO 27000. La IA no cambia el principio. Lo agrava.
Lo agrava porque la IA entra en la organización por puertas que no controla el departamento de compras. Un empleado se crea una cuenta gratuita de un modelo. Un SaaS que ya pagas activa una función de IA por defecto en su última actualización. Un equipo conecta una API a un modelo externo para un piloto que nunca se cerró. Ninguna de esas tres cosas aparece en una factura nueva, y ninguna pasa por tu proceso de evaluación de proveedores.
El inventario es la fuente única de verdad que reúne todo eso en un mismo sitio: lo corporativo y lo que se cuela. Es lo primero que pide cualquier auditoría seria, ya sea bajo ISO/IEC 42001, el NIST AI Risk Management Framework o el Reglamento Europeo de IA. Y es lo primero que falta cuando llega el auditor.
Por qué el inventario es el primer paso de ISO 42001
ISO/IEC 42001 es el estándar internacional del sistema de gestión de IA, lo que la jerga llama AIMS. Su Anexo A define 38 controles organizados en nueve objetivos de control, y uno de los primeros documentos imprescindibles de cualquier implantación es precisamente el inventario de sistemas de IA. No es un detalle administrativo: es el cimiento del que cuelga el resto del sistema.
Piénsalo en orden lógico. La evaluación de riesgos de IA necesita saber qué sistemas evaluar. La declaración de aplicabilidad necesita saber sobre qué se aplica cada control. Los objetivos del AIMS necesitan un universo de sistemas que medir. Las tres cosas dependen de una lista previa. Si esa lista no existe o está incompleta, todo lo que construyas encima hereda el agujero.
Por eso, cuando alguien me pregunta por dónde empezar con ISO 42001, la respuesta nunca es la política ni el comité. Es el inventario. Aburrido, sí. Imprescindible, también.
El inventario y la clasificación de riesgo del EU AI Act
El Reglamento Europeo de IA clasifica cada sistema en uno de cuatro niveles de riesgo: inaceptable, alto, limitado o mínimo. De esa clasificación dependen las obligaciones que te aplican: un chatbot de atención al cliente y un sistema de cribado de currículos no juegan en la misma liga regulatoria. El texto consolidado del Reglamento está publicado en EUR-Lex.
Aquí aparece el mismo problema de siempre. No puedes clasificar lo que no tienes registrado. La clasificación de riesgo es un paso posterior al inventario, no anterior. Primero sabes qué sistemas existen y qué hacen. Después decides en qué casilla de riesgo cae cada uno. El inventario es el formulario en blanco; la clasificación es lo que escribes en la columna correspondiente.
Las fechas concretas del EU AI Act se movieron con el Digital Omnibus, y conviene tenerlas claras para no preparar el calendario equivocado. Las repasé en detalle en las fechas reales del EU AI Act tras el Omnibus. Lo importante para este artículo es lo que no cambia: hagan lo que hagan con los plazos, el primer trabajo siempre es el mismo, tener el inventario.
El shadow AI: por qué tu inventario corporativo no basta
El shadow AI es toda la IA que se usa en tu organización sin que tú la hayas aprobado. Cuentas personales de modelos, extensiones de navegador, plugins, funciones activadas por defecto en herramientas que ya tenías y aplicaciones internas montadas con herramientas de vibe coding. No aparece en el CASB, no aparece en las compras, no aparece en el inventario corporativo. Pero está dentro, procesando datos.
Es el mismo patrón que vimos con las aplicaciones OAuth conectadas a los tenants corporativos, que analicé en Shadow AI 2.0 y los scopes de OAuth: cosas que entran con un clic de un empleado y se quedan años sin que seguridad lo sepa. Un inventario que solo recoge lo contratado oficialmente nace incompleto. La parte que importa, la que no controlas, es justo la que no está en ninguna factura.
Por eso un buen inventario de IA distingue de forma explícita lo corporativo de lo detectado, y trata el shadow AI como una categoría más que hay que registrar, no como una anomalía que se ignora. Lo que no se registra, no se gobierna.
Qué registrar: las 13 columnas de un inventario usable
Un inventario sirve cuando es suficiente para gobernar el riesgo y no tan pesado que nadie lo mantenga. El punto medio que funciona en la práctica son trece columnas. Ni una ficha de cien campos que se abandona al mes, ni una lista de nombres que no dice nada.
| # | Columna | Qué anotar |
|---|---|---|
| 1 | ID del sistema | Código único interno. No se reutiliza al retirar un sistema. |
| 2 | Nombre | Producto del proveedor más el alias interno si lo tiene. |
| 3 | Categoría de activo | Qué es: modelo, dataset, prompt de sistema, guardrail, RAG, log, API o pipeline. |
| 4 | Función de negocio | Para qué se usa de verdad, no para qué se compró. |
| 5 | Proveedor | Interno o externo, con el nombre legal. |
| 6 | Datos que procesa | Nivel: PII, confidencial o público. Marca las categorías especiales del artículo 9 del RGPD. |
| 7 | Usuarios | Perfil y número aproximado. |
| 8 | Volumen | Peticiones por día, sesiones por mes o equivalente. |
| 9 | Clasificación EU AI Act | Mínimo, limitado, alto, inaceptable, GPAI o no clasificado (el shadow AI). |
| 10 | EIPD | Sí con fecha, no, o no aplica. Obligatoria en alto riesgo y en los tratamientos del artículo 35 del RGPD. |
| 11 | Guardrails | Sí (input, output o contexto), no, o por defecto del proveedor. |
| 12 | Owners | Dos personas: quién lo opera (técnico) y quién responde del resultado (negocio). |
| 13 | Fechas y estado | Alta, última revisión y estado: activo, en pausa o retirado. |
La columna que más gente se salta es la 12. Un sistema sin propietario es un riesgo sin responsable, y cuando algo falla, lo primero que ocurre es la búsqueda de a quién preguntar. Si ya está escrito en el inventario, te ahorras la peor reunión de la semana.
Descarga la plantilla de inventario de sistemas de IA
Las 13 columnas que acabas de ver, ya montadas y listas para usar: con dos ejemplos rellenados (uno corporativo y uno de shadow AI) y la guía para arrancar tu inventario en un día. Gratis, a cambio de tu email.
Quiero la plantilla¿Cómo queda en la práctica un inventario de sistemas de IA?
La teoría se entiende mejor con dos filas reales. La primera es un sistema corporativo de manual. La segunda es el tipo de hallazgo que aparece cuando de verdad cazas el shadow AI.
AI-007, Copilot M365 (corporativo)
Categoría: API más modelo. Función: productividad ofimática. Proveedor: externo, Microsoft. Datos: confidencial. Usuarios: oficina, unos 250. Clasificación EU AI Act: limitado. EIPD: no. Guardrails: por defecto del proveedor. Owners: responsable de IT y dirección de operaciones. Estado: alta en marzo, revisado en junio, activo. Es el caso ordenado: comprado, conocido, con dueño.
AI-013, ChatGPT en cuentas personales (shadow AI)
Categoría: API o modelo. Función: varias, desde marketing hasta desarrollo. Proveedor: externo, OpenAI en cuentas gratuitas. Datos: PII y confidencial, sin control. Clasificación EU AI Act: no clasificado. EIPD: no. Guardrails: no. Owners: sin asignar. Estado: detectado, a regularizar. Es el caso que duele: nadie lo aprobó, procesa datos sensibles y, hasta que lo registras, no existe para tu organización aunque exista para OpenAI.
La diferencia entre las dos filas no es la tecnología. Es la visibilidad. Una está gobernada y la otra solo está ocurriendo.
Mi opinión como CISO
Voy a ser honesto: la primera vez que me senté a hacer un inventario de IA en serio, el mío tampoco estaba completo. Sabía de los sistemas grandes, los que pasan por presupuesto. El shadow AI fue otra historia, y la lista creció cada vez que preguntaba a un equipo distinto.
Trabajo en el sector nuclear, un entorno determinista, auditado y procedimentado. Exactamente lo opuesto a la IA. Esa tensión entre dos mundos es la que me da la perspectiva para decir esto: la IA llega a la organización mucho más rápido de lo que la gobiernas, y el inventario es el único punto desde el que puedes empezar a recuperar el control. No porque la lista en sí proteja nada, sino porque sin ella no sabes ni qué estás dejando sin proteger.
Lo incómodo del inventario es que su valor no se ve hasta que falta. Nadie felicita al CISO por tener la lista al día. Pero el día que el regulador, un cliente o un incidente te pide qué sistemas de IA usas, esa lista es la diferencia entre responder en una tarde y empezar de cero bajo presión.
Curso · Ciberseguridad de la IA para CISOs
5 módulos disponibles ya: La IA como nuevo dominio de riesgo · Amenazas y vulnerabilidades · Gobernanza y cumplimiento (EU AI Act, NIST, ISO 42001) · Operación segura · Caso práctico integrador. 100% online, vídeos más manual completo y autoevaluación. Acceso durante un año. Diploma al finalizar.
Ver el curso¿Cómo arrancar tu inventario de IA en un día?
No necesitas una herramienta cara ni un proyecto de seis meses. Necesitas una hoja de cálculo, las trece columnas y una tarde bien aprovechada. Estos son los cuatro pasos.
Paso 1: vuelca lo que ya conoces
Empieza por lo fácil. Lista las herramientas de IA contratadas oficialmente: licencias, suscripciones corporativas y, sobre todo, los módulos de IA embebidos en SaaS que ya pagas. Muchos productos han activado funciones de IA en sus últimas versiones sin que nadie lo decidiera de forma consciente. Eso ya cuenta como sistema de IA en uso.
Paso 2: caza el shadow AI
Esta es la parte que separa un inventario de verdad de una lista de compras. Combina dos fuentes: una encuesta anónima al personal sobre qué herramientas de IA usan en su día a día, y el análisis del tráfico de proxy y DNS buscando dominios de los grandes proveedores de modelos. Apunta categorías de uso, no personas concretas. El objetivo es visibilidad, no caza de brujas, y si la gente cree que es lo segundo, dejará de contártelo.
Paso 3: asigna un owner a cada sistema
Recorre la lista y pon dos nombres en cada fila: quién lo opera y quién responde de los resultados. Sin dueño, no hay control ni hay a quién preguntar cuando algo se tuerce. Es la columna más incómoda de rellenar porque obliga a tener conversaciones, y es exactamente por eso la más valiosa.
Paso 4: clasifica el riesgo
Con la lista poblada, marca para cada sistema su nivel de riesgo del EU AI Act y el tipo de datos que procesa. Esa combinación te dice de un vistazo qué sistemas necesitan una evaluación de impacto, cuáles piden guardrails reforzados y cuáles puedes dejar en vigilancia ligera. Ahí es donde el inventario deja de ser una lista y se convierte en una herramienta de decisión.
Para cerrar
El inventario no es el trabajo glamuroso de la seguridad de IA. No sale en titulares y no impresiona en una sala de juntas. Pero es el cimiento sobre el que se construye todo lo demás: ISO 42001 lo pide, el EU AI Act lo presupone y cualquier auditor lo busca el primer día. Con el inventario hecho, el siguiente documento que toca es la política de uso aceptable de la IA.
La pregunta para tu próximo comité es sencilla: ¿cuántos sistemas de IA tenemos en uso ahora mismo, y cuántos están en una lista con propietario y nivel de riesgo asignado? Si las dos cifras no coinciden, y no van a coincidir, ya tienes tu primera tarea. Y para no empezar con el folio en blanco, tienes la plantilla de inventario lista para descargar.
Preguntas frecuentes
¿Qué es un inventario de sistemas de IA?
Es el registro único de todos los sistemas de IA que una organización usa, desarrolla o despliega, tanto los corporativos como el shadow AI. Recoge para cada sistema su propietario, los datos que procesa, su nivel de riesgo y su estado. Es el primer control de cualquier programa de seguridad de IA y la fuente de verdad sobre la que se apoyan ISO 42001 y el EU AI Act.
¿Por qué el inventario es el primer paso de ISO 42001?
Porque el resto del sistema de gestión depende de él. La evaluación de riesgos, la declaración de aplicabilidad y los objetivos del AIMS necesitan saber qué sistemas existen antes de poder evaluarlos. ISO/IEC 42001 lo recoge en su Anexo A de 38 controles y lo sitúa entre los documentos imprescindibles de cualquier implantación.
¿Qué relación tiene el inventario con el EU AI Act?
El EU AI Act clasifica cada sistema de IA por nivel de riesgo: inaceptable, alto, limitado o mínimo. No puedes clasificar lo que no tienes registrado. El inventario es el paso previo que permite asignar a cada sistema su categoría y decidir qué obligaciones le aplican.
¿Qué es el shadow AI y por qué complica el inventario?
El shadow AI son las herramientas de IA que se usan en la organización sin aprobación ni control: cuentas personales de ChatGPT, extensiones de navegador, módulos de IA activados por defecto en SaaS. No aparecen en ninguna compra ni en el CASB, así que el inventario corporativo siempre está incompleto si no se busca activamente.
¿Cuántas columnas necesita un inventario de IA?
Una plantilla práctica funciona con trece columnas: identificador, nombre, categoría de activo, función de negocio, proveedor, datos que procesa, usuarios, volumen, clasificación de riesgo del EU AI Act, evaluación de impacto, guardrails, propietarios y fechas con estado. Es suficiente para gobernar el riesgo sin convertir el inventario en burocracia inmanejable.
Fuentes
- ISO/IEC 42001:2023: estándar internacional del sistema de gestión de inteligencia artificial (AIMS) y su Anexo A de 38 controles.
- EU Artificial Intelligence Act, resumen de alto nivel: niveles de riesgo (inaceptable, alto, limitado, mínimo) y obligaciones asociadas.
- NIST AI Risk Management Framework: marco de gestión de riesgos de IA con el inventario como práctica base.
- CIS Critical Security Controls: la gestión de activos como primer dominio de cualquier programa de seguridad.
- EU AI Act high risk: las fechas reales tras el Omnibus: el calendario de cumplimiento actualizado.
- Shadow AI 2.0 y los scopes de OAuth: cómo entra en la organización lo que nadie aprobó.