Hitachi Vantara potencia el almacenamiento híbrido en Azure
La lista de materiales de IA documenta componentes, datos y dependencias de sistemas de IA para reforzar seguridad, auditoría y cumplimiento normativo.
En el ecosistema de ciberseguridad, la transparencia sobre los componentes de un sistema es de obligado cumplimiento. Las listas de materiales de software (Software Billing Of Materials) se convirtieron en un estándar de facto para gestionar la cadena de suministro de aplicaciones, en parte porque ataques como el de SolarWinds en 2019 demostraron el costo de ignorar las dependencias de terceros. Ahora, con la expansión de la Inteligencia Artificial generativa, ese mismo principio está migrando hacia los sistemas de IA bajo un nuevo marco de definiciones: el AIBOM (AI Bill of Materials).
Nihad Hassan, consultor independiente de ciberseguridad con más de 15 años de experiencia en análisis forense digital, publicó en TechTarget una guía detallada sobre el concepto, sus aplicaciones prácticas y las herramientas disponibles para implementarlo. El análisis sirve como punto de partida concreto para equipos de desarrollo y seguridad que aún no han formalizado este proceso.
VIDEO: Seguridad de datos en aseguradoras mexicanas
Qué documenta un AIBOM y para qué sirve
Un AIBOM es un inventario estructurado de todos los elementos que intervienen en el desarrollo, entrenamiento e implementación de un sistema de IA: modelos y algoritmos, conjuntos de datos de entrenamiento, bibliotecas de software, requisitos de hardware, parámetros del modelo, especificaciones de entrada y salida, licencias, y mecanismos de seguridad como cifrado y control de acceso. También incluye los escenarios de uso previstos, las limitaciones del sistema y los posibles sesgos.
La utilidad no es abstracta. Un equipo que integra un modelo de procesamiento de lenguaje natural en un chatbot corporativo puede usar el AIBOM para rastrear dependencias, anticipar problemas de compatibilidad y detectar sesgos antes de que lleguen a producción. Un equipo que da respuesta a incidentes puede usarlo para identificar qué componente fue comprometido y acotar el radio de daño en minutos, no en días.
Desde la perspectiva del cumplimiento normativo, la presión regulatoria ya está materializándose. La FDA exige documentación de componentes en dispositivos médicos con IA. La Orden Ejecutiva 14028 de la administración Biden convirtió los SBOM en requisito para proveedores del gobierno federal estadounidense. Es razonable anticipar que los AIBOM seguirán el mismo camino regulatorio.
Herramientas disponibles para empezar
El ecosistema de herramientas para generar AIBOM todavía está madurando, pero ya existen opciones funcionales:
- CycloneDX, del proyecto OWASP, es el marco más consolidado: ofrece capacidades de gestión de cadena de suministro y reducción de riesgos cibernéticos con soporte explícito para componentes de IA.
- El Visualizador AIBOM de AI Security Research permite representar gráficamente los componentes del sistema, lo que facilita auditorías visuales.
- El Intercambio de Datos de Paquetes de Sistemas de IA genera inventarios completos de versiones y dependencias.
- Las AI Factsheets de IBM cubren la dimensión del ciclo de vida del modelo, monitorizando su rendimiento y recopilando metadatos relevantes.
La diferencia clave entre un SBOM y un AIBOM no es solo de alcance: es de naturaleza. Los SBOM rastrean código. Los AIBOM rastrean también datos de entrenamiento, hiperparámetros, sesgos potenciales y el historial de evolución del modelo. Un sistema de IA mal documentado no solo es un riesgo de seguridad: es una caja negra que ningún equipo de cumplimiento o auditoría puede evaluar con rigor.
Para los CIOs y responsables de seguridad que están escalando proyectos de IA en sus organizaciones, la adopción de AIBOM no debería esperar a que una regulación la exija. La transparencia sobre los componentes de un sistema de IA es, antes que cualquier otra cosa, una condición para poder gestionarlo.
