La seguridad de la IA abarca las prácticas, tecnologías y marcos que protegen los sistemas de IA frente a ataques, usos indebidos y comportamientos no deseados, a la vez que rigen cómo se utilizan las herramientas de IA dentro de las organizaciones. Tiene dos dimensiones diferenciadas: proteger los propios sistemas de IA (proteger los modelos frente a ataques adversarios, el envenenamiento de datos y el robo) y proteger a la empresa frente a los riesgos relacionados con la IA (gestionar la Shadow AI, prevenir la fuga de datos hacia las herramientas de IA y regir el comportamiento de los agentes de IA).
Las amenazas a los sistemas de IA incluyen los ataques de aprendizaje automático adversario (entradas diseñadas para engañar a los modelos), la inversión de modelos (extracción de datos de entrenamiento a partir de las salidas del modelo), el robo de modelos (replicación de modelos propietarios mediante consultas repetidas), el envenenamiento de datos (corrupción de los datos de entrenamiento para degradar el rendimiento del modelo o introducir puertas traseras) y la inyección de instrucciones (manipulación del comportamiento del modelo mediante entradas maliciosas).
Los riesgos de seguridad de la IA en la empresa se centran en la proliferación de herramientas de IA que los empleados utilizan sin supervisión. Según Gartner (2025), el 68% de los empleados utiliza herramientas de IA no autorizadas, lo que expone a las organizaciones a fugas de datos, infracciones de cumplimiento y vulnerabilidades de seguridad en plataformas de IA de terceros. El IBM Cost of Data Breach Report 2024 reveló que los incidentes relacionados con la IA cuestan a las organizaciones una media de 4,88 millones de dólares por filtración.
Los principales controles de seguridad de la IA incluyen: el descubrimiento e inventario de herramientas de IA (saber qué IA se utiliza en toda la organización); políticas de uso aceptable con mecanismos de aplicación; prevención de pérdida de datos (DLP) para las interacciones con IA; marcos de gobernanza de agentes de IA para sistemas autónomos; supervisión continua del uso de la IA para detectar infracciones de las políticas; ejercicios periódicos de red teaming de IA para identificar vulnerabilidades; y manuales de respuesta a incidentes diseñados específicamente para eventos de seguridad de la IA.
Los marcos regulatorios incorporan cada vez más requisitos de seguridad de la IA. El EU AI Act exige pruebas de seguridad para los sistemas de IA de alto riesgo, el NIST AI RMF incluye la seguridad como consideración fundamental, y los reguladores sectoriales, entre ellos APRA (Australia), FCA (Reino Unido) y OCC (EE. UU.), están publicando orientaciones sobre gestión de riesgos de IA para los servicios financieros.