La inteligencia artificial se está integrando a una velocidad sorprendente en los procesos clave de las organizaciones. Lo que hace poco eran proyectos experimentales —modelos generativos, agentes autónomos o sistemas de decisión basados en datos— hoy forma parte del corazón operativo de muchas empresas. Este salto obliga a los equipos de ciberseguridad a replantear sus modelos de gestión del riesgo.
Consciente de esta realidad, el National Institute of Standards and Technology (NIST) ha publicado un borrador preliminar del Cybersecurity Framework Profile for Artificial Intelligence, una guía que busca ayudar a las organizaciones a adoptar la IA de manera segura y coherente desde la perspectiva de la ciberseguridad.
El nuevo perfil, conocido como Cyber AI Profile, no parte de cero. Su valor está en adaptar la estructura del NIST Cybersecurity Framework 2.0 al ecosistema de la inteligencia artificial. Mantiene sus seis funciones clásicas —gobernar, identificar, proteger, detectar, responder y recuperar—, pero las reinterpreta ante los desafíos específicos que plantea la IA.
Tres ejes para entender el riesgo
El documento organiza sus recomendaciones en torno a tres grandes áreas que reflejan cómo la IA interactúa con la seguridad desde distintos ángulos.
- Secure: se centra en proteger los propios componentes de la IA: modelos, algoritmos, agentes, datos, pipelines de entrenamiento e infraestructuras asociadas. El NIST advierte que estos entornos tienen superficies de ataque más amplias y cambiantes que los sistemas tradicionales, y que muchas vulnerabilidades surgen del diseño mismo del modelo o de la calidad de los datos empleados.
- Defend: analiza el papel de la IA como herramienta defensiva. El marco reconoce su creciente uso en los SOC para filtrar ruido, priorizar alertas, apoyar la respuesta a incidentes y automatizar tareas de cumplimiento. Incluso plantea escenarios de IA agentiva, donde varios agentes colaboran y se supervisan entre sí, aunque subraya que este tipo de modelos exige entender bien sus limitaciones y riesgos operativos.
- Thwart: aborda el uso de la IA por parte de los adversarios. El NIST asume que los atacantes ya emplean soluciones de IA para escalar ataques, automatizar campañas o evadir controles tradicionales, lo que obliga a avanzar en resiliencia y anticipación frente a amenazas impulsadas por inteligencia artificial.
Integración, no sustitución
Uno de los puntos clave del Cyber AI Profile es su espíritu integrador. No busca reemplazar otros marcos como el AI Risk Management Framework del propio NIST o los estándares federales de control. Su función es complementar y adaptar: ayudar a las organizaciones a incorporar las particularidades de la IA en sus programas de ciberseguridad ya existentes.
El documento está pensado tanto para quienes recién empiezan a explorar el uso de la IA como para quienes ya trabajan con sistemas generativos o multiagente. En todos los casos, busca crear un lenguaje común entre equipos de ciberseguridad, responsables de negocio y desarrolladores.
El Cyber AI Profile se presenta como un borrador preliminar abierto a consultas públicas hasta el 30 de enero de 2026. El NIST reconoce que el documento refleja el consenso actual, pero que aún quedan áreas por madurar, sobre todo en escenarios donde la IA actúa de forma autónoma o en coordinación con otros sistemas.
A fin de cuentas, el perfil pone sobre la mesa una pregunta cada vez más urgente: ¿hasta qué punto los marcos clásicos de ciberseguridad pueden adaptarse a una inteligencia artificial cada vez más independiente? Más que ofrecer una lista cerrada de controles, el mensaje del NIST es claro: la IA ya forma parte del perímetro de seguridad, y gestionarla como tal es una cuestión impostergable.
