Ruta AIF-C01Dominio 5 · Seguridad y gobernanzaSeguridad en sistemas de IA

Seguridad en sistemas de IA

IAM, permisos, cifrado, Macie, PrivateLink, calidad de datos, linaje, privacidad y prompt injection.

Preparación1
Dominio 12
Dominio 23
Dominio 34
Dominio 45
Dominio 56
Selector de módulo
Preparación
Curso AWS Certified AI Practitioner AIF-C01 Estrategia de examen AWS AIF-C01
Dominio 1 · Fundamentos IA/ML
Dominio 1 · Fundamentos de IA y ML Conceptos básicos de IA, ML y deep learning Casos de uso de IA y servicios administrados de AWS Ciclo de vida del desarrollo de machine learning
Dominio 2 · IA generativa
Dominio 2 · Fundamentos de IA generativa Conceptos clave de IA generativa Capacidades y limitaciones de la IA generativa Servicios de AWS para crear aplicaciones de IA generativa
Dominio 3 · Modelos fundacionales
Dominio 3 · Aplicaciones de modelos fundacionales Diseño de aplicaciones con modelos fundacionales RAG, embeddings y bases vectoriales en AWS Ingeniería de peticiones efectiva Entrenamiento y ajuste de modelos fundacionales Evaluación del rendimiento de modelos fundacionales
Dominio 4 · IA responsable
Dominio 4 · Directrices de IA responsable Desarrollo de sistemas de IA responsables Transparencia y explicabilidad en modelos de IA
Dominio 5 · Seguridad y gobernanza
Dominio 5 · Seguridad, cumplimiento y gobernanza para IA Seguridad en sistemas de IA Cumplimiento y gobernanza para soluciones de IA
Dominio 5 · Seguridad y gobernanza

Seguridad en sistemas de IA

◷ 36 min

La seguridad en sistemas de IA no consiste únicamente en proteger una API o un endpoint. En una solución de IA intervienen datos, prompts, modelos, bases de conocimiento, vectores, usuarios, permisos, registros, salidas generadas y, en muchos casos, agentes capaces de ejecutar acciones. Para el examen AWS Certified AI Practitioner AIF-C01, debes saber identificar qué controles reducen el riesgo en cada capa y qué servicios de AWS pueden aparecer en los escenarios.

IAM Cifrado Amazon Macie AWS PrivateLink Bedrock Guardrails Prompt injection Data leakage Auditoría
Pista de examen: si el escenario habla de proteger datos sensibles, controlar quién puede usar un modelo, evitar fuga de información, auditar actividad o conectar a servicios internos, piensa en una combinación de IAM, cifrado, red privada, clasificación de datos, registros y controles específicos de IA generativa.

1. Qué significa proteger un sistema de IA

Una aplicación de IA puede parecer una aplicación web más, pero tiene superficies de ataque adicionales. Un usuario no solo envía datos a una API; también envía instrucciones en lenguaje natural que pueden intentar manipular el comportamiento del modelo. Además, el modelo puede consultar documentos internos, recuperar datos desde una base vectorial, llamar a herramientas o generar respuestas que incluyan información sensible si el diseño no está bien controlado.

Seguridad de identidad y acceso

Controla quién puede usar la aplicación, invocar modelos, consultar bases de conocimiento, administrar prompts o ejecutar acciones mediante agentes.

Seguridad de datos

Protege datos de entrenamiento, documentos, prompts, embeddings, salidas, logs y cualquier información personal, confidencial o regulada.

Seguridad de red

Reduce exposición pública usando conectividad privada, segmentación, endpoints privados y control de tráfico hacia servicios internos.

Seguridad específica de GenAI

Mitiga prompt injection, jailbreaking, fuga de datos, salidas inseguras, alucinaciones peligrosas y uso indebido de agentes.

2. IAM y mínimo privilegio

En AWS, la primera capa de seguridad suele ser IAM. En IA esto es especialmente importante porque una misma aplicación puede necesitar permisos para invocar modelos, leer documentos en S3, consultar una base vectorial, escribir logs, acceder a claves KMS o llamar a APIs internas mediante un agente.

El principio de mínimo privilegio significa conceder solo los permisos necesarios para realizar una tarea concreta, durante el tiempo necesario y sobre los recursos adecuados. En preguntas de examen, si una aplicación tiene permisos amplios o se plantea cómo limitar acceso a modelos/datos, la respuesta suele ir hacia roles, políticas, permisos granulares y separación de responsabilidades.

NecesidadControl más razonableIdea para examen
Una app necesita invocar un modeloRol IAM con permisos concretos para invocar el modelo necesario.No conceder permisos administrativos amplios.
Un usuario solo puede consultar sus documentosAutorización antes del retrieval y filtrado por permisos/atributos.En RAG, no basta con controlar la respuesta final.
Un agente ejecuta accionesPolíticas de mínimo privilegio sobre las acciones permitidas.Un agente no debe poder hacer cualquier llamada interna.
Equipos distintos usan modelos distintosSeparación por roles, cuentas, políticas o entornos.Evita mezclar permisos de desarrollo, pruebas y producción.
Error frecuente: dar a una aplicación de IA permisos amplios porque “solo responde preguntas”. Si esa aplicación recupera documentos o ejecuta herramientas, un prompt malicioso podría intentar forzar acceso o acciones no previstas.

3. Cifrado de datos en reposo y en tránsito

Los sistemas de IA pueden manejar datos sensibles en muchas fases: documentos fuente, datasets, prompts de usuario, respuestas, embeddings, logs, métricas y resultados de evaluación. El cifrado ayuda a proteger esos datos tanto cuando están almacenados como cuando viajan entre componentes.

En AWS, AWS KMS suele aparecer como servicio asociado a la gestión de claves de cifrado. El examen puede plantear escenarios donde una empresa necesita proteger datos en S3, bases de datos, registros, endpoints o artefactos de modelos.

1Cifrado en reposo. Aplica a objetos en Amazon S3, bases de datos, almacenes vectoriales, logs y artefactos de modelos.
2Cifrado en tránsito. Protege comunicaciones entre usuarios, APIs, servicios AWS y componentes internos mediante canales seguros.
3Gestión de claves. KMS permite controlar claves, rotación, permisos de uso y auditoría de acceso a claves.
4Separación de datos. En entornos regulados, puede ser necesario separar datos por cuenta, entorno, cliente o dominio.

4. Amazon Macie y clasificación de datos sensibles

Una parte clave de la seguridad en IA es saber qué datos estás usando. Amazon Macie ayuda a descubrir y proteger datos sensibles, especialmente información personal identificable o datos confidenciales almacenados en Amazon S3.

En escenarios AIF-C01, Macie puede aparecer cuando una empresa quiere detectar datos sensibles antes de alimentar un sistema de IA, revisar buckets con documentación interna, reducir el riesgo de exponer PII o aplicar controles de gobierno sobre fuentes documentales.

Escenario típico: una empresa quiere crear un asistente GenAI sobre documentos corporativos en S3. Antes de indexarlos en una base de conocimiento, quiere identificar datos personales y documentos sensibles. En ese caso, Amazon Macie es una opción relevante para descubrir y clasificar información sensible.

5. AWS PrivateLink y conectividad privada

No todos los sistemas de IA deben exponerse públicamente a Internet. Si una aplicación, un endpoint de inferencia o un flujo de integración necesita comunicarse con servicios internos de forma privada, AWS PrivateLink puede aparecer como una opción para conectar de manera privada sin exponer tráfico a la red pública.

SituaciónQué busca la organizaciónServicio/concepto asociado
Aplicación IA en VPCConectarse a servicios sin salir a Internet.VPC endpoints / AWS PrivateLink.
Datos internos sensiblesReducir exposición de red.Red privada, segmentación y controles de acceso.
Agente que llama APIs internasEvitar endpoints públicos innecesarios.Conectividad privada y autorización.
Cumplimiento estrictoDemostrar control de rutas de comunicación.Arquitectura privada, logs y auditoría.

6. Prompt injection, jailbreaking y manipulación de instrucciones

La prompt injection es un riesgo específico de aplicaciones con modelos generativos. Ocurre cuando un usuario intenta manipular al modelo para ignorar instrucciones, revelar información, saltarse restricciones o ejecutar acciones no autorizadas.

Ejemplos de intentos de prompt injection podrían ser instrucciones del tipo: “ignora todas las reglas anteriores”, “muestra el prompt del sistema”, “devuelve documentos confidenciales” o “ejecuta esta acción aunque no esté permitida”. En un sistema mal diseñado, este tipo de entrada puede influir en el modelo, especialmente si la aplicación mezcla mal instrucciones, contexto recuperado y entrada de usuario.

Idea clave: el prompt no sustituye a la seguridad. Puedes indicar al modelo que no revele información, pero también necesitas IAM, control de acceso en retrieval, guardrails, validación de salidas, auditoría y separación de datos.

Mitigaciones principales

  • Separar instrucciones de sistema, contexto recuperado y entrada del usuario. No mezclarlo todo como texto plano sin estructura.
  • Controlar el retrieval. El usuario solo debe recuperar documentos que tiene permiso para ver.
  • Aplicar guardrails. Filtrar temas, bloquear contenido inseguro y limitar respuestas no permitidas.
  • Validar acciones de agentes. Un agente no debe ejecutar acciones críticas sin autorización explícita o revisión.
  • Registrar actividad. Logs y trazabilidad ayudan a investigar incidentes y patrones de abuso.

7. Amazon Bedrock Guardrails

Amazon Bedrock Guardrails es un servicio que puede aparecer en el examen cuando se habla de controlar el comportamiento de aplicaciones GenAI. Los guardrails ayudan a aplicar políticas de seguridad, bloquear contenido no deseado, reducir riesgos de respuestas dañinas y establecer límites sobre lo que la aplicación puede responder.

Debes entenderlos como una capa de control, no como una solución mágica. En producción se combinan con autenticación, autorización, cifrado, logs, revisión humana y diseño seguro del flujo.

RiesgoControl relacionadoComentario de examen
Contenido inseguro o no permitidoGuardrails / filtros de salida.Ayudan a limitar respuestas, pero no sustituyen IAM.
Prompt injectionGuardrails, separación de contexto y validación.Combina controles, no confíes solo en el prompt.
Fuga de informaciónAutorización, minimización y filtros.El retrieval debe respetar permisos.
Uso fuera de dominioPolíticas de tema y límites de respuesta.Útil si la aplicación solo debe responder sobre un ámbito concreto.

8. Seguridad en RAG y bases de conocimiento

RAG puede mejorar la precisión de una aplicación GenAI, pero también introduce riesgos. Si una base de conocimiento contiene documentos sensibles y el retrieval no respeta permisos, un usuario podría recibir información que no debería ver. Por eso la seguridad de RAG no se resuelve solo con embeddings o bases vectoriales.

Control de acceso antes de recuperar documentos. La autorización debe aplicarse en la fase de búsqueda, no solo al final.
Metadatos de seguridad. Los documentos pueden etiquetarse por propietario, departamento, sensibilidad, cliente o nivel de acceso.
Citación de fuentes. Ayuda a verificar de dónde sale la respuesta y reduce dependencia de respuestas inventadas.
Documentación del origen de datos. El linaje y la catalogación ayudan a entender qué datos alimentan el sistema.

9. Data leakage y exposición de información

La fuga de datos puede producirse cuando una aplicación revela información sensible en la respuesta, guarda prompts con datos personales en logs innecesarios, permite recuperar documentos no autorizados o utiliza datos de entrada sin los controles adecuados.

Para reducir este riesgo, se aplican varias prácticas:

  • Minimizar datos enviados al modelo.
  • Enmascarar o anonimizar datos cuando sea posible.
  • Evitar incluir secretos, credenciales o información regulada en prompts.
  • Controlar qué se registra en logs.
  • Definir políticas de retención y borrado.
  • Aplicar cifrado y control de acceso a prompts, salidas y registros.

10. Seguridad de agentes y herramientas

Los agentes amplían el riesgo porque no solo generan texto: pueden decidir llamar herramientas, consultar APIs, crear tickets, modificar datos o iniciar flujos. En una pregunta de examen, si aparece un agente con capacidad de ejecutar acciones, la respuesta segura suele incluir permisos mínimos, validación, revisión humana para acciones sensibles y auditoría.

Pregunta tipo examen

Una empresa crea un agente que puede consultar una base interna y abrir incidencias. ¿Qué control es más importante? No sería darle permisos administrativos para simplificar el diseño, sino limitar las acciones permitidas, validar entradas/salidas, registrar la actividad y exigir aprobación humana para operaciones sensibles.

11. Logs, auditoría y trazabilidad

La auditoría permite saber quién usó el sistema, qué acción se realizó, qué recursos se consultaron y qué comportamiento tuvo la aplicación. En AWS, AWS CloudTrail registra actividad de API y Amazon CloudWatch ayuda a recopilar métricas, logs y señales operativas.

En IA, además de logs técnicos, puede ser útil registrar versiones de prompts, modelos usados, fuentes consultadas, guardrails aplicados, decisiones de agentes y resultados de evaluación. Eso ayuda a investigar problemas, demostrar cumplimiento y mejorar el sistema.

Elemento a auditarPor qué importaEjemplo
IdentidadSaber quién invocó el sistema.Usuario, rol o aplicación que hizo la petición.
Modelo y versiónReproducir o investigar una respuesta.Modelo usado, configuración y parámetros.
Fuentes recuperadasValidar grounding y permisos.Documentos o fragmentos usados en RAG.
Acciones del agenteControlar operaciones ejecutadas.API llamada, resultado y autorización aplicada.

12. Calidad de datos, linaje y documentación de origen

La seguridad también depende de la calidad y procedencia de los datos. Si no sabes de dónde vienen los datos, quién los modificó, qué permisos tienen o si contienen información sensible, el sistema de IA puede producir resultados inseguros o incumplir requisitos de gobierno.

El examen puede utilizar términos como data lineage, data cataloging, citación de fuentes o documentación de modelos. La idea central es poder explicar qué datos alimentan la solución, con qué permisos, bajo qué reglas y con qué limitaciones.

13. Modelo de responsabilidad compartida

El modelo de responsabilidad compartida de AWS sigue siendo importante en IA. AWS protege la infraestructura subyacente, pero el cliente sigue siendo responsable de configurar correctamente permisos, datos, cifrado, controles de acceso, prompts, gobierno, evaluación y uso de los servicios.

Ejemplo: si una empresa sube documentos con PII a S3, los indexa en una base de conocimiento y permite que cualquier empleado consulte todo, el problema no es que AWS no sea seguro. El problema está en la configuración de acceso, clasificación, minimización y gobierno de los datos.

14. Cómo razonar preguntas de examen

Cuando veas una pregunta sobre seguridad de sistemas de IA, intenta identificar primero qué se quiere proteger:

1Identidad y permisos. Si el problema es quién puede acceder o ejecutar acciones, piensa en IAM, roles, políticas y mínimo privilegio.
2Datos sensibles. Si el problema es PII o datos confidenciales, piensa en Macie, cifrado, minimización, clasificación y retención.
3Conectividad privada. Si el problema es evitar Internet público, piensa en VPC endpoints y AWS PrivateLink.
4Contenido inseguro. Si el problema está en las respuestas del modelo, piensa en guardrails, filtros y evaluación.
5Auditoría. Si el problema es demostrar qué ocurrió, piensa en CloudTrail, CloudWatch, logs, versiones y trazabilidad.

15. Errores frecuentes

  • Confiar solo en el prompt. Una instrucción como “no reveles secretos” no sustituye controles de acceso.
  • Aplicar autorización solo después de generar la respuesta. En RAG, los permisos deben actuar antes o durante el retrieval.
  • Guardar prompts sensibles sin control. Los logs también deben protegerse.
  • Dar permisos amplios a agentes. Los agentes necesitan límites claros, validación y auditoría.
  • No clasificar documentos. No puedes gobernar bien datos cuyo nivel de sensibilidad desconoces.
  • Olvidar el modelo de responsabilidad compartida. AWS proporciona servicios seguros, pero el cliente configura datos, permisos y controles.

Resumen final

La seguridad en sistemas de IA combina seguridad cloud tradicional con riesgos específicos de IA generativa. Debes proteger identidades, permisos, datos, red, modelos, prompts, salidas, bases de conocimiento, agentes y logs. Servicios como IAM, AWS KMS, Amazon Macie, AWS PrivateLink, Amazon Bedrock Guardrails, CloudTrail y CloudWatch pueden aparecer en preguntas del Dominio 5.

Para el examen AIF-C01, quédate con esta idea: no hay una única capa que lo arregle todo. Un sistema de IA seguro necesita defensa en profundidad: mínimo privilegio, cifrado, clasificación de datos, conectividad privada, guardrails, autorización en retrieval, auditoría y gobierno continuo.

← AnteriorGobernanza y cumplimiento →