{"id":19156,"date":"2025-11-20T17:21:08","date_gmt":"2025-11-20T23:21:08","guid":{"rendered":"https:\/\/onesec.mx\/?p=19156"},"modified":"2025-11-20T17:33:26","modified_gmt":"2025-11-20T23:33:26","slug":"trazabilidad-o-confianza-por-que-el-ai-bom-marcara-el-futuro-del-gobierno-de-ia","status":"publish","type":"post","link":"https:\/\/onesec.mx\/en\/trazabilidad-o-confianza-por-que-el-ai-bom-marcara-el-futuro-del-gobierno-de-ia\/","title":{"rendered":"Trazabilidad o confianza: \u00bfPor qu\u00e9 el AI BOM marcar\u00e1 el futuro del gobierno de IA?"},"content":{"rendered":"
\n\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n

En muy poco tiempo la inteligencia artificial pas\u00f3 de ser una promesa a convertirse en una realidad omnipresente. Hoy escribimos, dise\u00f1amos, analizamos y decidimos con apoyo de algoritmos que aprenden de millones de datos que no siempre comprendemos ni controlamos. La confianza en sus resultados crece m\u00e1s r\u00e1pido que nuestra capacidad para entender c\u00f3mo llegan a ellos, y ese desequilibrio se ha convertido en uno de los mayores desaf\u00edos tecnol\u00f3gicos y \u00e9ticos de esta d\u00e9cada.<\/p>\n\n

Las organizaciones empiezan a depender de estos sistemas para clasificar informaci\u00f3n, evaluar candidatos, predecir fraudes o generar contenidos. Sin embargo, la mayor\u00eda no podr\u00eda explicar con precisi\u00f3n qu\u00e9 modelo est\u00e1 detr\u00e1s, con qu\u00e9 datos fue entrenado ni bajo qu\u00e9 controles opera. Esa confianza sin trazabilidad se ha vuelto el punto ciego de la nueva era digital:<\/p>\n\n

\n

Creemos en lo que produce la IA, pero no sabemos qu\u00e9 la alimenta.<\/p>\n<\/blockquote>\n\n

Y es justamente ah\u00ed donde surge el AI Bill of Materials<\/strong>, o AI BOM<\/strong>. Nace como respuesta a esa necesidad urgente de volver visible lo que se volvi\u00f3 invisible: la composici\u00f3n, el origen y el funcionamiento de la inteligencia artificial. Su prop\u00f3sito es crear un registro estructurado de todo lo que forma parte de un sistema de IA, desde los datos y modelos hasta las librer\u00edas, la infraestructura y los responsables que intervienen.<\/p>\n\n

El concepto es reciente, pero est\u00e1 madurando con rapidez. En manufactura, un bill of materials<\/em> garantiza que cada componente de un producto est\u00e9 documentado antes de salir al mercado. En ciberseguridad, el Software BOM<\/em> permite rastrear versiones y dependencias. El AI BOM aplica la misma l\u00f3gica al ecosistema de la inteligencia artificial, pero con una diferencia esencial: aqu\u00ed los componentes no son piezas ni l\u00edneas de c\u00f3digo, sino datos, procesos y decisiones humanas.<\/p>\n\n

El NIST AI Risk Management Framework, la ISO IEC 42001:2023, los Principios de la OECD y regulaciones europeas como el AI Act o DORA coinciden en una idea central:<\/p>\n\n

\n

La trazabilidad no es opcional.<\/p>\n<\/blockquote>\n\n

En Am\u00e9rica Latina, el debate sigue la misma direcci\u00f3n. En M\u00e9xico<\/strong>, el organismo Transparencia para el Pueblo (antes INAI), actualmente en proceso de transici\u00f3n administrativa y sectorizado bajo la Secretar\u00eda de Anticorrupci\u00f3n y Buen Gobierno, ha emitido lineamientos y criterios sobre decisiones automatizadas dentro del marco de la LFPDPPP, subrayando la importancia de la transparencia, la capacidad de explicaci\u00f3n y la revisi\u00f3n humana, mientras avanzan propuestas legislativas para actualizar la ley frente al uso de inteligencia artificial. Brasil <\/strong>avanza con su Marco Legal de IA; Chile <\/strong>y Colombia <\/strong>desarrollan proyectos centrados en responsabilidad algor\u00edtmica y equidad; y Argentina <\/strong>ha incorporado la trazabilidad y la supervisi\u00f3n humana en su agenda digital. Todo apunta hacia una misma exigencia: las organizaciones deben poder demostrar de d\u00f3nde provienen los datos, c\u00f3mo se procesan y qui\u00e9n responde por los resultados que genera la IA.<\/p>\n\n

Sin embargo, las regulaciones por s\u00ed solas no crean trazabilidad; si bien establecen principios, no establecen los mecanismos para cumplirlos; esa brecha entre lo normativo y lo operativo es precisamente donde el AI BOM adquiere relevancia. Permite transformar las obligaciones legales en evidencia pr\u00e1ctica, convirti\u00e9ndose en la herramienta que une el discurso de cumplimiento con la realidad t\u00e9cnica de los modelos. A partir de ah\u00ed, el desaf\u00edo no es legal, sino estructural.<\/p>\n\n

Ahora, es muy improtante saber que no todos los modelos pueden documentarse con el mismo nivel de detalle:<\/p>\n\n

Soluciones comerciales como Copilot, ChatGPT o Gemini operan bajo arquitecturas cerradas que impiden conocer la totalidad de sus datasets o par\u00e1metros.<\/em><\/strong><\/p>\n\n

En esos casos, el AI BOM no busca auditar lo inaccesible, sino documentar lo controlable: qu\u00e9 datos se comparten, qu\u00e9 dependencias se introducen, qu\u00e9 condiciones contractuales existen y qu\u00e9 medidas de mitigaci\u00f3n se aplican. En cambio, los modelos desarrollados internamente, los agentes corporativos y las IA entrenadas con datos propios s\u00ed deben contar con un AI BOM completo. Es el equivalente moderno de una bit\u00e1cora t\u00e9cnica: evidencia de responsabilidad, transparencia y control operativo.<\/p>\n\n

Tambien debemos entender que las inteligencias artificiales no son todas iguales, y por tanto su trazabilidad tampoco lo es, por ejemplo, una IA descriptiva analiza y clasifica informaci\u00f3n; una IA generativa crea contenido nuevo, desde texto hasta im\u00e1genes o c\u00f3digo; y una IA especializada automatiza decisiones de impacto directo, como diagn\u00f3sticos m\u00e9dicos o aprobaciones financieras. En todas, el AI BOM cumple el mismo prop\u00f3sito: dejar constancia de los insumos, las condiciones y las consecuencias de cada modelo.<\/p>\n\n

Aun as\u00ed, cada tipo de IA exige un enfoque de cumplimiento distinto. Las mejores pr\u00e1cticas recogidas por el NIST AI RMF, la ISO IEC 42001, la OECD, la UNESCO y el IEEE definen seis principios que deben cumplirse en toda IA responsable:<\/p>\n\n

    \n
  1. Privacidad.<\/strong> Los datos deben utilizarse de forma l\u00edcita, con consentimiento informado, y eliminarse o anonimizarse cuando su prop\u00f3sito haya concluido.<\/li>\n\n
  2. Equidad.<\/strong> Los modelos deben evitar sesgos y garantizar resultados consistentes y justos en contextos equivalentes.<\/li>\n\n
  3. Transparencia.<\/strong> Toda IA debe ofrecer informaci\u00f3n clara sobre su funcionamiento, prop\u00f3sito y limitaciones, sobre todo en decisiones que afecten personas.<\/li>\n\n
  4. Capacidad de explicaci\u00f3n.<\/strong> Los resultados deben ser comprensibles y justificables ante auditores, usuarios o reguladores.<\/li>\n\n
  5. Seguridad y resiliencia.<\/strong> Los sistemas deben protegerse frente a manipulaci\u00f3n, vulnerabilidades o usos indebidos, manteniendo integridad y disponibilidad.<\/li>\n\n
  6. Supervisi\u00f3n humana.<\/strong> Ning\u00fan modelo deber\u00eda actuar sin posibilidad de revisi\u00f3n o intervenci\u00f3n humana.<\/li>\n<\/ol>\n\n

    En una IA descriptiva, estos principios se centran en el control de datos y la minimizaci\u00f3n de sesgos. En una IA generativa, se extienden a la trazabilidad del contenido, la verificaci\u00f3n de derechos y la transparencia sobre las fuentes. En una IA especializada, el foco est\u00e1 en la capacidad de explicaci\u00f3n, la validaci\u00f3n de resultados y la revisi\u00f3n humana de decisiones cr\u00edticas.<\/p>\n\n

    \n

    Cumplir con estos principios no es un requisito moral: es una condici\u00f3n operativa. Sin un AI BOM que documente datos, dependencias, accesos y controles, ninguno puede demostrarse de forma verificable.<\/p>\n<\/blockquote>\n\n

    Un AI BOM bien implementado permite responder preguntas que hoy muchas organizaciones evaden por desconocimiento:<\/p>\n\n

      \n
    • \u00bfQu\u00e9 modelos existen realmente y qui\u00e9n los opera? El AI BOM crea un cat\u00e1logo verificable de modelos, versiones, responsables y v\u00ednculos con procesos de negocio.<\/li>\n\n
    • \u00bfCon qu\u00e9 datos fueron entrenados y validados? Identifica origen, licencias, consentimiento, sesgos y calidad (asegurando adem\u00e1s su correcta clasificaci\u00f3n y protecci\u00f3n bajo un marco de Data Governance)<\/em>.<\/li>\n\n
    • \u00bfQu\u00e9 dependencias externas intervienen? Documenta librer\u00edas, APIs, frameworks y hardware para anticipar vulnerabilidades o impactos ante un cambio de proveedor.<\/li>\n\n
    • \u00bfQui\u00e9n puede modificar los modelos? Registra aprobaciones, revisiones y controles de cambio, asignando trazabilidad a cada acci\u00f3n humana o automatizada.<\/li>\n\n
    • \u00bfBajo qu\u00e9 pol\u00edticas y normas operan? Relaciona cada sistema con los est\u00e1ndares y leyes que lo regulan, como ISO 42001, NIST AI RMF, LFPDPPP, GDPR o DORA, seg\u00fan el sector y la regi\u00f3n.<\/li>\n<\/ul>\n\n

      Estas respuestas no son t\u00e9cnicas, son estrat\u00e9gicas. Demuestran que la IA no opera en un vac\u00edo, sino dentro de una estructura de responsabilidad y control que puede ser auditada y mejorada. Y como lo mencion\u00e9 anteriormente, ya existen marcos, est\u00e1ndares y mejores pr\u00e1cticas que nos pueden apoyar. Los marcos internacionales no existen de forma aislada; todos comparten un prop\u00f3sito com\u00fan: asegurar que la inteligencia artificial pueda ser comprendida, controlada y auditada.<\/p>\n\n

      Por ejemplo, el NIST AI RMF define c\u00f3mo identificar, medir y mitigar riesgos algor\u00edtmicos. La ISO IEC 42001 establece controles formales para trazabilidad, transparencia y responsabilidad. Los Principios de la OECD promueven capacidad de explicaci\u00f3n y rendici\u00f3n de cuentas. Y regulaciones como el AI Act o DORA traducen estos principios en obligaciones concretas para los sectores financiero, tecnol\u00f3gico y p\u00fablico.<\/p>\n\n

      Pero ning\u00fan marco por s\u00ed solo garantiza trazabilidad.<\/strong> Ah\u00ed es donde el AI BOM se convierte en el punto de integraci\u00f3n. Funciona como el conector operativo que traduce las exigencias regulatorias en acciones verificables: documentar el ciclo de vida de los modelos, registrar los datos y dependencias, identificar responsables y mantener evidencia de cumplimiento. Sin ese registro, todos los marcos quedan en intenci\u00f3n, no en pr\u00e1ctica.<\/p>\n\n

      El AI BOM, bien implementado, es el lenguaje com\u00fan entre la estrategia y la evidencia. Permite demostrar ante cualquier auditor\u00eda o autoridad que los principios \u00e9ticos y normativos de la IA, como la privacidad, la equidad, la transparencia y la supervisi\u00f3n humana, no son solo declaraciones, sino realidades medibles dentro de cada modelo. Y una vez que podemos demostrar esa trazabilidad, el siguiente paso natural es integrar ese conocimiento dentro de un marco que ordene responsabilidades, decisiones y controles:<\/strong><\/p>\n\n

      \n

      El Gobierno de IA.<\/strong><\/p>\n<\/blockquote>\n\n

      El Gobierno de IA no sustituye a los marcos existentes: los integra. Es la evoluci\u00f3n natural del Gobierno de Datos, del Gobierno de Identidades y de la Protecci\u00f3n de la Informaci\u00f3n en entornos con inteligencia artificial. El primero define qu\u00e9 puede usarse y bajo qu\u00e9 condiciones, el segundo controla qui\u00e9n puede hacerlo y con qu\u00e9 privilegios y el tercero demuestra c\u00f3mo esas identidades y esos datos se combinan dentro de los modelos y qu\u00e9 decisiones generan.<\/p>\n\n

      El AI BOM es el punto donde todo converge. Si el Gobierno de IA define el marco y las responsabilidades, el AI BOM aterriza esa estructura en evidencia concreta. En el \u00e1mbito de los datos, permite verificar que los conjuntos de entrenamiento y validaci\u00f3n respeten las pol\u00edticas de clasificaci\u00f3n y uso leg\u00edtimo. En el de las identidades, vincula cada acci\u00f3n con un responsable humano o de m\u00e1quina, reforzando la segregaci\u00f3n de funciones y la revisi\u00f3n peri\u00f3dica. Y en la protecci\u00f3n de la informaci\u00f3n, aporta pruebas de que la privacidad y la confidencialidad se mantienen durante todo el ciclo de vida del modelo.<\/p>\n\n

      Su implementaci\u00f3n no depende de tecnolog\u00eda nueva, sino de voluntad y disciplina. Comienza con un inventario b\u00e1sico, asigna responsables, define pol\u00edticas de actualizaci\u00f3n y evoluciona hacia un proceso automatizado y auditable.<\/p>\n\n

      Para quienes desean iniciar de forma ordenada, cuatro pasos resultan particularmente \u00fatiles:<\/p>\n\n

        \n
      • Identificar los modelos de IA existentes y clasificarlos por nivel de impacto y sensibilidad.<\/li>\n\n
      • Documentar el origen y tratamiento de los datos que los alimentan (asegurando adem\u00e1s su correcta clasificaci\u00f3n y protecci\u00f3n bajo un marco de Data Governance)<\/em>.<\/li>\n\n
      • Definir roles y responsabilidades claras, tanto humanas como automatizadas.<\/li>\n\n
      • Relacionar cada modelo con las normas y principios aplicables para asegurar coherencia con su marco regulatorio.<\/li>\n<\/ul>\n\n

        A partir de ah\u00ed, el AI BOM deja de ser una hoja de c\u00e1lculo y se convierte en una pr\u00e1ctica viva de gobernanza.<\/p>\n\n

        \n

        Gobernar la IA no significa frenarla o detener la innovac\u00f3n, significa acompa\u00f1arla con responsabilidad y acompa\u00f1arla implica saber de qu\u00e9 est\u00e1 hecha, qui\u00e9n la alimenta, c\u00f3mo evoluciona y qu\u00e9 impacto genera.<\/strong><\/p>\n<\/blockquote>\n\n

        La verdadera confianza no est\u00e1 en lo que la IA acierta, sino en lo que somos capaces de explicar de ella. El AI BOM es esa explicaci\u00f3n: la trazabilidad que la inteligencia artificial no ten\u00eda y que hoy define la frontera entre automatizar y gobernar.<\/p>\n\n

        Gracias por leer. Si este tema despierta dudas o te interesa explorarlo m\u00e1s a fondo, siempre estoy abierto a conversar y compartir perspectivas que puedan ayudar a tomar decisiones mejor informadas en materia de gobierno de IA.<\/p>\n\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>","protected":false},"excerpt":{"rendered":"

        En muy poco tiempo la inteligencia artificial pas\u00f3 de ser una promesa a convertirse en una realidad omnipresente. Hoy escribimos, dise\u00f1amos, analizamos y decidimos con apoyo de algoritmos que aprenden de millones de datos que no siempre comprendemos ni controlamos. La confianza en sus resultados crece m\u00e1s r\u00e1pido que nuestra capacidad para entender c\u00f3mo llegan […]<\/p>\n","protected":false},"author":3,"featured_media":19157,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"content-type":"","footnotes":""},"categories":[9],"tags":[],"class_list":["post-19156","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberseguridad"],"_links":{"self":[{"href":"https:\/\/onesec.mx\/en\/wp-json\/wp\/v2\/posts\/19156","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/onesec.mx\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/onesec.mx\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/onesec.mx\/en\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/onesec.mx\/en\/wp-json\/wp\/v2\/comments?post=19156"}],"version-history":[{"count":4,"href":"https:\/\/onesec.mx\/en\/wp-json\/wp\/v2\/posts\/19156\/revisions"}],"predecessor-version":[{"id":19167,"href":"https:\/\/onesec.mx\/en\/wp-json\/wp\/v2\/posts\/19156\/revisions\/19167"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/onesec.mx\/en\/wp-json\/wp\/v2\/media\/19157"}],"wp:attachment":[{"href":"https:\/\/onesec.mx\/en\/wp-json\/wp\/v2\/media?parent=19156"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/onesec.mx\/en\/wp-json\/wp\/v2\/categories?post=19156"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/onesec.mx\/en\/wp-json\/wp\/v2\/tags?post=19156"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}