El uso creciente de sistemas basados en inteligencia artificial generativa conlleva riesgos y desafíos nuevos para la seguridad de las organizaciones. La gestión de incidentes que involucran GenAI requiere directrices y herramientas operativas dedicadas, que tengan en cuenta las peculiaridades de los mecanismos generativos, la centralidad de los prompts y la posibilidad de daños reputacionales, operativos o regulatorios incluso en ausencia de ataques clásicos.

Definir el incidente de IA

Un incidente de IA es cualquier evento, circunstancia o sucesión de eventos en los que el desarrollo, el uso o el mal funcionamiento de uno o más sistemas de IA conduce directa o indirectamente a daños específicos. La guía subraya que la definición no se limita a la violación de las políticas tradicionales de ciberseguridad, sino que incluye también daños causados por la autonomía del sistema, sesgos, comportamientos no intencionados o errores generativos.

• Inyección de prompts (Prompt injection): instrucciones maliciosas insertadas en los prompts que llevan al modelo a realizar acciones no deseadas.
• Datos excesivamente sensibles o incorrectos proporcionados por chatbots o asistentes virtuales.
• Desinformación o envío de resultados erróneos, como en el caso de chatbots que proporcionan políticas corporativas inventadas.
• Comportamiento imprevisto debido a la autonomía operativa del sistema.

Distinción respecto a los incidentes informáticos tradicionales

Las diferencias están relacionadas con la imprevisibilidad del resultado generativo, el papel central de los prompts, la posibilidad de daños incluso en ausencia de atacantes externos y la complejidad del análisis de las causas (“caja negra”).

Preparación

Evaluación y gestión del riesgo

• Identificar los riesgos específicos de la IA respecto a la confidencialidad, integridad, disponibilidad y autonomía del sistema.
• Evaluar el impacto en activos, usuarios, operatividad y reputación.
• Desarrollar un marco de gestión de riesgos que incluya políticas, procedimientos de evaluación y estrategias de respuesta como mitigación, transferencia o aceptación del riesgo.
• Integrar los riesgos de GenAI en el registro de riesgos corporativo como una categoría específica, definiendo responsables y criterios homogéneos.

Inventario y clasificación de los activos de IA

• Construir y actualizar dinámicamente el inventario de todos los activos de IA y componentes relacionados, incluyendo modelos, datos, infraestructuras, API, software, usuarios y complementos (plugins).
• Clasificar los activos por funcionalidad (ej. PLN, recomendación), criticidad, sensibilidad de los datos y modalidad de despliegue (nube, integrado, híbrido).
• Mantener una documentación precisa de la procedencia de los conjuntos de datos, las arquitecturas de los modelos, las métricas de rendimiento y las evaluaciones de seguridad (incluidos los resultados de red teaming y auditorías).

Mapeo de partes interesadas y responsabilidades

• Mapear a las partes interesadas internas (TI, ciencia de datos, legal, relaciones públicas, propietarios de producto) y externas (proveedores de modelos, nube, autoridades, clientes).
• Definir responsabilidades mediante una matriz RACI y mantener actualizada una lista de contactos clave para cada activo o proceso.

Detección

Técnicas de detección

• Monitoreo avanzado de entrada/salida del modelo y prompts, incluyendo patrones de inyección de prompts, intentos de fuga de datos y análisis conductual.
• Análisis por lotes y detección en tiempo real de anomalías en los registros del sistema, interacciones de usuario, tuberías de datos y recursos computacionales.
• Deriva (drift) del rendimiento del modelo mediante el análisis de los cambios en las métricas.
• Integración con SIEM/SOAR, mapeo de las reglas de detección respecto a las principales vulnerabilidades de LLM de OWASP.

Paneles de control y alertas

• Crear paneles de control para el estado de salud del modelo, tuberías de datos, patrones de abuso y eventos de seguridad.
• Establecer umbrales de alerta individuales y compuestos, asociados a manuales de respuesta rápida (runbooks) y triaje.

Informes

Protocolos de comunicación y notificación

• Definir canales seguros (incluyendo alternativas fuera de banda) para la notificación de incidentes.
• Establecer disparadores para la notificación a las diferentes partes interesadas y métodos/tiempos de escalada.
• Mantener plantillas de informes internos con campos esenciales como impacto, sistema involucrado, acciones inmediatas y responsables asignados.
• Planificar la gestión de la comunicación pública y de crisis.

Matrices de severidad

• Aplicar matrices definidas para evaluar la severidad y urgencia en función de los impactos en la funcionalidad, los datos, el cumplimiento normativo y la reputación.
• Atribuir prioridades operativas, equipos interfuncionales y niveles específicos de comunicación según la criticidad.

Plan de respuesta

Radio de impacto y tiempos de respuesta

• Mapear el radio de impacto (blast radius) del incidente en modelos, conjuntos de datos, servicios posteriores, decisiones y pérdidas financieras/reputacionales.
• Establecer acuerdos de nivel de servicio (SLA) de respuesta (ej. contención en 15 minutos para incidentes críticos), recuperación y actualización de las partes interesadas.

Composición y formación del equipo

• Constituir un Equipo de Respuesta a Incidentes de IA con expertos en seguridad de IA, ingenieros de ML, analistas de abuso de prompts, científicos de datos, asesores de gobernanza y riesgos.
• Establecer manuales de respuesta específicos y programas de formación dedicados a los diferentes roles del equipo y a los usuarios finales sobre amenazas, errores y procesos de notificación.

Gestión de eventos específicos

Ataques a los sistemas de IA

• Inyección de prompts, ataques de evasión, envenenamiento de datos/modelos, exfiltración de datos, envenenamiento de RAG, explotación de agentes.
• Análisis de las fuentes de evidencia: registros de IA, registros de usuario, registros de infraestructura.
• Acciones: contención (aislamiento, limitación de accesos), erradicación (eliminación de artefactos comprometidos, saneamiento de datos), recuperación (auditoría funcional, marcas de agua, red-teaming post-recuperación).

Ataques a la cadena de suministro

• Envenenamiento de conjuntos de datos/modelos, puertas traseras (backdoors), manipulaciones en bibliotecas de terceros.
• Medidas estáticas (AI-BOM), controles en tiempo de ejecución, línea base conductual y mapeo de dependencias.
• Procedimientos de contención, análisis forense, relación con proveedores y actualización del inventario de activos.

Ataques a proveedores de modelos de terceros

• Monitoreo de anomalías en los resultados, deriva, registros del modelo y de la tubería.
• Restablecer la confianza mediante la revocación de claves/tokens, pruebas de validación, rendición de cuentas del proveedor y procesos de gobernanza de terceros.

Roles, IA física, recursos

Roles típicos: gestor de incidentes, analista, ingeniero de respuesta a incidentes, legal, oficial de comunicaciones, especialista en seguridad de IA, ingeniero de ML, analista de prompts, gobernanza, ética. Para la IA física: técnico de campo, forense de hardware, personal médico/de emergencia. También contribuyen a una respuesta eficaz el conocimiento de los campos de aplicación (robótica, transporte, logística), de los tipos de riesgo y de las posibles consecuencias (seguridad, privacidad, reputación, daños ambientales).

Recursos y profundizaciones

• Proyecto de Seguridad de IA Generativa de OWASP
• Intercambio de IA de OWASP
• Base de Datos de Incidentes de IA
• Marco de Gestión de Riesgos de Inteligencia Artificial del NIST
• Marco Multicapa de Buenas Prácticas de Ciberseguridad para la IA de ENISA
• OCDE – Marco Común de Notificación para Incidentes de IA

Este enfoque específico permite la gestión operativa, la transparencia y la continua adaptabilidad de las estrategias de respuesta ante los riesgos emergentes relacionados con el uso de sistemas de GenAI.