LUDUS
Guía para CISO · CTO · Seguridad

Gobernar la IA antes de que la IA te gobierne a vos

La IA generativa se adopta más rápido de lo que se controla. Esta guía te lleva de la amenaza real —el prompt injection— al modelo de gobierno y control que un CISO puede empezar a armar hoy, con marcos reconocidos y una hoja de ruta accionable.

Recurso informativo y gratuito. Sin registro. Basado en marcos públicos (NIST, ISO, OWASP, MITRE, CIS).

El problema

El riesgo de la IA es inherente, no un bug que se parchea

La razón de fondo es simple y estructural: los modelos de lenguaje no separan las instrucciones de los datos. Procesan cualquier texto que reciben —incluido texto malicioso oculto en una web, un correo, un documento o hasta una invitación de calendario— como si fuera una orden legítima. Por eso OWASP clasifica el prompt injection como el riesgo #1 de las aplicaciones con LLM, y por eso hoy existen “formas limitadas o nulas de prevenirlo” con un solo control.

Inyección directa

El atacante habla directo con el modelo (jailbreaking) para saltarse o sobrescribir los guardrails.

Inyección indirecta

El prompt malicioso se esconde en una fuente externa (web, email, documento) que el agente lee después. No requiere acceso directo — es el vector más peligroso.

Por qué le importa a un CISO: los agentes de IA suelen tener acceso privilegiado a sistemas y datos, y el ataque requiere poca habilidad — “basta con tener acceso”. Cada integración de IA amplía la superficie de ataque sin que nadie lo note.

La prueba

Esto ya está pasando (2025–2026)

Casos reales documentados. Cada uno deja una lección de gobierno.

EXFILTRACIÓNIDE de código con IA

Google Antigravity exfiltró claves AWS

Un prompt oculto (fuente de 1 pt) en una “guía de integración” hizo que el agente recolectara credenciales de archivos .env y las enviara a un webhook del atacante — que venía allowlisteado por defecto.

Lección: revisá los allowlists por defecto de tus herramientas de IA.

DESTRUCCIÓNCadena de suministro

Amazon Q para VS Code — CVE-2025-8217

Un pull request malicioso inyectó un prompt “wiper” que ordenaba al asistente borrar archivos del equipo y destruir recursos AWS. Se distribuyó en un release; no ejecutó por un error de sintaxis.

Lección: la IA tiene cadena de suministro; revisá el código con humanos.

ZERO-CLICKIA empresarial + RAG

GeminiJack en Gemini Enterprise

Instrucciones ocultas en un documento con la palabra “finanzas” se ejecutaban al hacer una búsqueda normal —sin un solo clic— exfiltrando emails, calendarios y documentos.

Lección: el riesgo vive en los datos a los que la IA accede, no solo en el modelo.

AUTO-PROPAGACIÓNEcosistema GenAI

Morris II — el gusano de IA

Un email con un prompt auto-replicante se almacena en la base RAG del asistente de correo, roba datos y, al responder otros correos, infecta a los nuevos destinatarios sin intervención humana.

Lección: pensá en el ecosistema, no en la app aislada.

El lenguaje común

El mapa de riesgos: OWASP LLM Top 10 + MITRE ATLAS

Antes de gobernar, hay que nombrar el riesgo. Dos marcos dan el vocabulario que comparten Seguridad, Arquitectura y Red Team.

OWASP Top 10 para aplicaciones LLM (2025)

Los 10 riesgos más críticos de las apps con IA generativa.

  1. 01Prompt Injection — entradas que alteran el comportamiento del modelo.
  2. 02Divulgación de información sensible.
  3. 03Cadena de suministro (modelos y dependencias).
  4. 04Envenenamiento de datos y del modelo.
  5. 05Manejo inseguro de las salidas.
  6. 06Exceso de permisos y autonomía del agente.
  7. 07Filtración del system prompt.
  8. 08Debilidades de vectores y embeddings (RAG).
  9. 09Desinformación y alucinaciones.
  10. 10Consumo sin límites (costo y DoS).

MITRE ATLAS

El equivalente de MITRE ATT&CK, adaptado a la IA: tácticas (objetivos del adversario) y técnicas (métodos concretos) contra sistemas de IA/ML.

Sirve para modelar amenazas sobre tus sistemas de IA —entrenamiento, RAG, despliegue, inferencia—, ver dónde faltan controles y alinear la defensa con patrones de ataque reales.

LLM Prompt Injection (directo · indirecto · disparado)
LLM Jailbreak
RAG Poisoning · envenenamiento de contexto del agente
El corazón

El modelo de gobierno: tres capas que ensamblás

Ningún control alcanza solo. Un modelo de gobierno de IA combina un marco de proceso, un estándar certificable y controles técnicos.

1

NIST AI RMF — el sistema operativo del gobierno

Marco voluntario del NIST para incorporar confiabilidad en todo el ciclo de vida de la IA. Se organiza en cuatro funciones. El Generative AI Profile (NIST-AI-600-1) las aterriza a los riesgos específicos de la IA generativa.

GOVERN

Políticas, tolerancia al riesgo, roles y rendición de cuentas. Quién es dueño de cada sistema de IA y quién responde. Es transversal a las otras tres.

MAP

Contexto: stakeholders, límites del sistema, casos de uso y daños potenciales. Habilita la decisión inicial go / no-go.

MEASURE

Evaluar, hacer benchmark y monitorear el sistema y sus impactos, con métodos cuantitativos y cualitativos.

MANAGE

Tratar el riesgo: priorizar, asignar recursos y preparar respuesta, recuperación y comunicación ante incidentes.

2

ISO/IEC 42001 — el gobierno certificable

Primer estándar internacional para un sistema de gestión de IA (AIMS). Convierte las buenas intenciones en un sistema auditable.

  • Comparte la estructura de ISO 27001 → se integra con tu ISMS sin duplicar.
  • Añade lo que 27001 no cubre: sesgo, evaluación de impacto, transparencia y desarrollo responsable.
  • Es la vía para certificar el gobierno de IA ante reguladores, clientes y comités de riesgo.
3

CIS Controls v8 — el puente táctico

Los controles de seguridad de siempre, con lente de IA. Así se aterriza el gobierno a acciones concretas:

  • CIS 2Inventario de modelos, plugins y servidores MCP conectados.
  • CIS 3Clasificar qué datos entran al prompt/RAG y qué puede salir.
  • CIS 5Identidades de servicio para agentes y conectores, con baja controlada.
  • CIS 6Privilegio mínimo sobre las herramientas que el agente puede invocar.
  • CIS 8Registrar prompts, respuestas e invocaciones; alertar sobre anomalías.
  • CIS 14Formar al personal sobre prompt injection y datos que no deben compartir.
  • CIS 16Validar y sanitizar las salidas del LLM antes de usarlas.
Controles fundacionales

Los controles técnicos que implementás

La defensa es en capas. Estos son los controles de mayor retorno contra el prompt injection y el exceso de permisos de los agentes.

Humano en el loop

Aprobación humana explícita para acciones de riesgo: enviar datos, borrar, ejecutar cambios.

Privilegio mínimo

El agente accede solo a lo estrictamente necesario. Los permisos se manejan en código, no delegados al modelo.

Sin ejecución de código libre

Nada de ejecutar código sin aprobación; acceso a backend solo con claves válidas y trazables.

Inventario de accesos

Saber qué sistemas y datos puede tocar cada IA. Lo que no está inventariado, no se puede proteger.

Higiene de RAG

Limitar qué contenido se guarda en bases RAG para evitar que se almacenen prompts maliciosos.

MCP para auth/autorización

Estandarizar la conexión modelo↔datos (Model Context Protocol) concentra dónde imponer autenticación y control de acceso.

Defensa en capas: el ejemplo de Google (Gemini)

Ningún proveedor confía en una sola defensa. Google publicó cinco capas de referencia contra la inyección indirecta:

1. ClasificadoresDetectan y filtran instrucciones maliciosas en el contenido externo.
2. RefuerzoInstrucciones de seguridad alrededor del contenido no confiable (spotlighting).
3. SanitizaciónRedacta URLs sospechosas y bloquea exfiltración vía imágenes/enlaces.
4. ConfirmaciónPide aprobación humana antes de acciones riesgosas.
5. NotificaciónAvisa al usuario cuando bloquea un ataque — convierte el bloqueo en aprendizaje.
Tu punto de partida

Una hoja de ruta de 30 · 60 · 90 días

No hace falta un programa perfecto para empezar. Hace falta empezar.

30

Días — Visibilidad

  • Publicar una política de uso aceptable de IA.
  • Inventariar qué IA se usa y a qué datos accede.
  • Nombrar dueños y patrocinador ejecutivo (GOVERN).
60

Días — Control

  • Aplicar privilegio mínimo y humano en el loop.
  • Activar logging de prompts e invocaciones.
  • Clasificar datos permitidos/prohibidos en IA.
90

Días — Madurez

  • Modelar amenazas con MITRE ATLAS y probar (pentest).
  • Alinear a NIST AI RMF y evaluar ISO 42001.
  • Capacitar al equipo (CIS Control 14).

Plantilla: Política de Uso Aceptable de IA

Una plantilla adaptable con las secciones esenciales —alcance, datos permitidos y prohibidos, herramientas aprobadas, revisión humana, responsabilidades— más la hoja de ruta 30/60/90 completa. Lista para imprimir o guardar como PDF.

Abrir la plantilla

Preguntas frecuentes

¿Qué es el gobierno de IA y por qué lo necesito?

Es el conjunto de políticas, roles, controles y procesos que definen cómo tu organización adopta, opera y supervisa la IA de forma segura y responsable. Lo necesitás porque la IA se adopta más rápido de lo que se controla, tiene acceso privilegiado a sistemas y datos, y presenta riesgos inherentes —como el prompt injection— que exigen un modelo de defensa en capas, no un solo control.

¿Qué es un ataque de prompt injection?

Una técnica que manipula a un LLM o su agente para ejecutar instrucciones maliciosas. Ocurre porque los LLM no separan las instrucciones de los datos: procesan cualquier texto —incluido texto oculto en una web, un email o un documento— como si fuera una orden legítima. OWASP lo clasifica como el riesgo #1 de las apps con LLM.

¿Por dónde empiezo a armar el modelo de gobierno?

Combiná tres marcos: NIST AI RMF (GOVERN/MAP/MEASURE/MANAGE) como proceso, ISO/IEC 42001 para un sistema de gestión certificable integrado con tu ISO 27001, y CIS Controls v8 con lente de IA para lo técnico. Como primer paso: publicá una política de uso aceptable, inventariá qué IA se usa y a qué accede, y aplicá privilegio mínimo y revisión humana. La hoja de ruta 30/60/90 de esta página te ordena el arranque.

¿NIST AI RMF o ISO/IEC 42001?

Son complementarios. NIST AI RMF es un marco voluntario que ordena el proceso de gestión de riesgo. ISO/IEC 42001 es un estándar certificable que formaliza el sistema de gestión y se integra con ISO 27001. Muchas organizaciones usan NIST para operar el riesgo e ISO 42001 para certificar el gobierno ante reguladores y clientes.

Para ir más profundo

Marcos y fuentes de referencia

Todo el contenido de esta guía se apoya en marcos públicos y reportes verificables.

Ancla de amenaza: informe “Prompt Injections — The Inherent Threat to Generative AI” (MS-ISAC / CIS, marzo 2026, TLP:CLEAR). Casos citados: PromptArmor, 404 Media / CVE-2025-8217, Noma Security (GeminiJack) y el estudio Morris II (arXiv 2403.02817).

La última capa

El factor humano es la capa que ninguna tecnología reemplaza

Todos los marcos coinciden en un punto: la concientización del personal (CIS Control 14) es una defensa de primer orden. La persona que reconoce un prompt sospechoso, o que sabe qué datos nunca pegar en una IA, evita el incidente antes de que ocurra.

En LUDUS entrenamos exactamente esa capa: concientización gamificada, simulaciones y retos prácticos, con métricas y evidencia para el CISO.

Conocer cómo entrenamos al equipo