AIUC-1
Resumen ejecutivo
AIUC-1 es el primer estándar de certificación de IA cuyo destinatario no es la organización que adopta IA. Es el propio agente de IA, considerado como un producto desplegable con propiedades de seguridad, safety y fiabilidad que pueden testarse y certificarse. Ese cambio de destinatario es lo que hace a AIUC-1 estructuralmente distinto de todo lo demás en este Hub.
La narrativa dominante sobre certificación de IA se ha construido en torno a sistemas de gestión. La ISO/IEC 42001 certifica que una organización tiene las políticas, procesos y controles para gobernar la IA responsablemente. La evaluación de conformidad del Reglamento de IA de la UE certifica que un sistema de IA de alto riesgo se ha desarrollado y documentado para satisfacer un régimen regulatorio. Las atestaciones NIST describen la alineación de la gestión del riesgo de IA de una organización con un marco federal. Todos estos instrumentos certifican algo sobre la organización: su gobernanza, sus procesos, su documentación. Ninguno de ellos certifica si un agente de IA específico desplegado se comportará como se espera cuando interactúe con usuarios, llame a herramientas, acceda a datos sensibles o ejecute acciones consecuentes.
Esa brecha es el problema estructural que AIUC-1 aborda. Los instrumentos diseñados para sistemas de gestión y gobernanza de alto nivel no fueron diseñados para IA agéntica — sistemas que reciben un objetivo en lugar de un prompt, lo descomponen en subtareas, eligen qué herramientas usar, evalúan resultados y ajustan su enfoque. Los riesgos que importan para la IA agéntica no son los riesgos que los estándares de sistemas de gestión fueron construidos para gobernar. Alucinaciones que producen errores de cara al cliente. Mal uso de herramientas donde los agentes exceden sus límites autorizados. Fugas de datos a través de interacciones. Inyección de prompts que subvierte el comportamiento esperado. Daño reputacional por salidas inapropiadas. Fallos de identidad y permisos en sistemas donde un agente llama a otro. Ninguno de estos se vuelve certificable a través de una auditoría ISO/IEC 42001, porque la auditoría del sistema de gestión examina los procesos en torno al sistema, no las propiedades de comportamiento del sistema bajo condiciones adversariales.
AIUC-1 replantea la pregunta. En lugar de preguntar si una organización gobierna la IA responsablemente a nivel institucional, pregunta si un agente de IA específico cumple con propiedades definidas de seguridad, safety y fiabilidad bajo auditoría independiente y pruebas técnicas. La respuesta queda registrada en un certificado válido por doce meses y condicionado a pruebas técnicas trimestrales que confirmen que el agente sigue cumpliendo los requisitos a medida que el panorama de amenazas evoluciona.
Esto es estructuralmente novedoso en tres aspectos. Primero, opera a nivel de producto en lugar de a nivel de sistema de gestión. La unidad de certificación es un agente o un conjunto de agentes, no una organización. Segundo, es dinámico en lugar de estático. Un certificado tradicional bloquea una foto en la fecha de auditoría; AIUC-1 exige pruebas técnicas trimestrales porque las técnicas adversariales contra IA evolucionan más rápido de lo que los ciclos anuales de auditoría pueden detectar. Tercero, incorpora explícitamente pruebas adversariales — intentos de jailbreak, inyección de prompts, elicitación de contenido dañino — no como complementos opcionales sino como parte de la metodología central de certificación.
El estándar no se construyó en aislamiento. Sus decisiones de diseño reflejan una frustración más amplia en el mercado empresarial de IA. Phil Venables, antes CISO de Google Cloud, articuló la necesidad subyacente: las empresas que compran agentes de IA necesitan una señal familiar y accionable de seguridad y confianza comparable a lo que SOC 2 proporciona para los controles generales de organización de servicios. El encuadre de AIUC-1 como «SOC 2 para agentes de IA» es deliberado y operativamente útil. Sitúa el certificado en un lenguaje que los equipos de procurement, los equipos legales y los CISO ya entienden, y establece la expectativa de que el certificado funcionará en la selección de proveedores de la misma forma en que los informes SOC 2 funcionan hoy.
Hay una característica estructural de AIUC-1 que los promotores del estándar describen abiertamente y que también nosotros describimos, porque condiciona cómo debe leerse el certificado. AIUC acredita directamente a los auditores de AIUC-1. No opera bajo un organismo de acreditación externo en el sistema IAF MLA / ISO/IEC 17011 que gobierna la certificación ISO/IEC 42001. La selección del auditor la realiza también el proveedor que busca la certificación, no es asignada por un organismo de acreditación. AIUC realiza además las pruebas técnicas que complementan la auditoría. El marco, en otras palabras, descansa sobre la autoridad y metodología de AIUC en lugar de sobre la infraestructura internacional de acreditación. Esto no es un defecto; es una decisión de diseño. Los nuevos regímenes de certificación en campos técnicos de evolución rápida suelen comenzar así y acumular reconocimiento externo con el tiempo a medida que la metodología demuestra su valor, la base de contribuyentes se amplía y emergen acuerdos de acreditación externa. La lectura honesta de AIUC-1 es que ofrece hoy un conjunto de controles riguroso y específico para agentes con auditoría independiente y pruebas técnicas, y que su credibilidad a largo plazo dependerá de cómo evolucione la cuestión de la acreditación del auditor a medida que el mercado madure.
Lo que AIUC-1 hace en realidad, entonces, es abrir una nueva capa en el aseguramiento de IA. No reemplaza a la ISO/IEC 42001 (que certifica el sistema de gestión) ni a la evaluación de conformidad del Reglamento de IA de la UE (que establece el cumplimiento legal para sistemas de alto riesgo). Aborda una pregunta que esos instrumentos no responden: para este agente específico, desplegado en este caso de uso específico, ¿cuál es la evidencia independiente de que opera dentro de límites definidos de seguridad, safety y fiabilidad? Los compradores empresariales necesitan cada vez más esa evidencia. AIUC-1 es el primer estándar que la produce en un formato utilizable por los equipos de procurement y riesgo.
A quién se dirige. AIUC-1 se dirige a los proveedores de agentes de IA — las organizaciones que construyen y ofrecen agentes de IA a clientes empresariales — e, indirectamente, a los compradores empresariales de esos agentes que quieren una señal estructurada de confianza antes del despliegue. El estándar está diseñado para IA agéntica específicamente: sistemas construidos sobre modelos generativos que toman objetivos y actúan autónomamente mediante uso de herramientas, razonamiento multi-paso e interacción con sistemas y datos externos. No está diseñado para modelos de ML tradicionales que producen predicciones o clasificaciones, ni para productos de software generales.
La audiencia principal entre proveedores incluye:
- Proveedores AI-native que ofrecen agentes en atención al cliente, operaciones de ventas, ingeniería de software, trabajo de conocimiento y otras funciones empresariales.
- Proveedores de IA de voz e IA conversacional cuyos agentes interactúan directamente con clientes.
- Plataformas de automatización agéntica (como híbridos RPA-IA) que combinan automatización tradicional con toma de decisiones de IA generativa.
- Proveedores de modelos fundacionales cuyas ofertas agénticas son desplegadas por empresas en contextos de cara al cliente.
- Proveedores agénticos sectoriales (legal, sanidad, servicios financieros) donde el riesgo de dominio es material.
La audiencia de compradores empresariales incluye CISO que evalúan proveedores de IA, equipos de procurement que gestionan compras de IA agéntica, equipos legales que evalúan riesgo contractual, equipos de gobernanza de IA que operacionalizan la gestión de proveedores, y funciones de riesgo y cumplimiento que necesitan aseguramiento por terceros sobre los agentes que se despliegan en operaciones. Los adoptadores tempranos en las primeras olas de certificación incluyen IA de voz (ElevenLabs, primera empresa de IA de voz certificada) y automatización agéntica (UiPath, certificada en IXP, Agents y Autopilot mediante auditoría de Schellman cubriendo más de 2.000 escenarios de riesgo empresarial).
Qué cubre. El estándar cubre seis dominios centrales. Cada dominio combina requisitos de control que el proveedor debe implementar y pruebas adversariales que comprueban si los controles aguantan bajo condiciones realistas de ataque y estrés:
- Datos y Privacidad. Cómo el agente maneja datos sensibles: minimización de datos, controles de acceso dentro de las operaciones del agente, prevención de fugas de datos de entrenamiento durante interacciones, prácticas de retención y eliminación, y alineación con la regulación aplicable de protección de datos (RGPD y leyes estatales de privacidad de EE. UU.).
- Seguridad. Resistencia a la manipulación adversarial: defensas frente a inyección de prompts, resistencia a jailbreak, gestión de identidad y permisos del agente, riesgo de terceros y cadena de suministro para componentes utilizados por el agente, seguridad del Model Context Protocol (MCP) cuando aplique.
- Safety. Prevención de generación de contenido dañino: acoso, contenido ilegal, instrucciones peligrosas, contenido dañino para menores. Incluye pruebas de comportamiento de rechazo bajo condiciones adversariales.
- Fiabilidad. Consistencia de comportamiento bajo carga y a lo largo del tiempo: gestión de alucinaciones, estabilidad de salidas, manejo de errores, detección de degradación del rendimiento y comportamiento de fallback cuando el agente no puede completar una tarea de forma segura.
- Rendición de cuentas. Logging, trazabilidad, respuesta a incidentes: capacidad de reconstruir qué hizo el agente, por qué y con qué autoridad. Procedimientos de manejo de incidentes y análisis post-incidente.
- Sociedad. Consideraciones de impacto más amplio: equidad en el comportamiento del agente entre poblaciones de usuarios, transparencia sobre el uso de IA con los usuarios finales, y gestión de riesgos previsibles de uso indebido.
El estándar se actualiza trimestralmente, lo que significa que el contenido específico de los controles dentro de cada dominio se desplaza a medida que emergen nuevos riesgos. Las actualizaciones trimestrales recientes se han centrado en seguridad MCP, riesgo de terceros en componentes de agentes, e identidad y permisos del agente — reflejando la rapidez con la que está evolucionando la superficie de amenazas de IA agéntica.
Obligaciones
Las obligaciones de AIUC-1 aplican a los proveedores que buscan la certificación. Se dividen en tres capas operativas que operan juntas: implementación de controles, auditoría independiente y pruebas técnicas.
Implementación de controles
Los proveedores implementan los controles especificados en los seis dominios. El conjunto de controles está basado en riesgo y se adapta al agente específico en alcance. Un agente interno con acceso limitado a datos está sujeto a menos controles que un agente de cara al cliente con acceso a datos sensibles y autorizado para tomar acciones consecuentes en nombre de los usuarios. El proceso de scoping produce un conjunto de controles a medida para cada agente o familia de agentes que se certifica.
La capa de control incluye controles operativos (gestión de accesos, gestión de cambios, logging, respuesta a incidentes), controles técnicos (validación de entradas, filtrado de salidas, sistemas de identidad del agente, límites de permisos, monitorización) y controles contractuales (compromisos con clientes respecto al comportamiento del agente, manejo de datos y notificación de incidentes).
Los proveedores deben remediar problemas materiales — vulnerabilidades P0 y P1, brechas de control operativo — antes de que se emita un certificado completo. Esto refleja la convención SOC 2 donde solo las atestaciones sin salvedades soportan reclamaciones de «SOC 2 compliant»; las evaluaciones parcialmente remediadas no producen un certificado AIUC-1 completo.
Auditoría independiente
El proveedor selecciona a un auditor autorizado de AIUC-1, que recoge evidencia y redacta el informe de auditoría. Schellman se convirtió en el primer auditor autorizado de AIUC-1 en 2025, y desde entonces AIUC ha autorizado auditores adicionales. La auditoría examina evidencia documental, implementación de controles y práctica operativa a través de los seis dominios. Produce un informe comparable en estructura a un informe SOC 2 Type II.
Pruebas técnicas
AIUC realiza directamente la capa de pruebas técnicas. Esto es lo que diferencia a AIUC-1 de las certificaciones puramente basadas en documentación. Las pruebas incluyen:
- Pruebas adversariales. Intentos activos de manipular el agente mediante inyección de prompts, técnicas de jailbreak y otros vectores de ataque documentados en MITRE ATLAS y la investigación más reciente sobre seguridad de IA.
- Pruebas de elicitación de contenido dañino. Prueba del comportamiento de rechazo del agente frente a intentos de generar categorías de contenido prohibido.
- Pruebas de fuga de datos. Prueba de si las interacciones con el agente pueden extraer datos sensibles sobre los que el agente fue entrenado o a los que tiene acceso.
- Pruebas de consistencia de comportamiento. Prueba de si las salidas del agente permanecen estables bajo variación adversarial de entradas.
- Pruebas de mal uso de herramientas. Para agentes con capacidad de uso de herramientas, prueba de si las herramientas pueden invocarse fuera de límites autorizados.
Las pruebas técnicas se realizan en el momento de la certificación y al menos cada tres meses después. Esta cadencia trimestral es estructuralmente importante: convierte el certificado de una foto en la fecha de auditoría en una señal continua de aseguramiento que se adapta al panorama de amenazas en evolución. Un certificado que no haya pasado sus pruebas trimestrales programadas no es válido.
Ciclo del certificado y remediación
El certificado tiene validez de doce meses. Las pruebas técnicas trimestrales mantienen la validez. El propio estándar es actualizado trimestralmente por AIUC en colaboración con contribuyentes técnicos, lo que significa que los proveedores certificados deben mantenerse al día con las revisiones e integrar cualquier nuevo requisito material en su conjunto de controles durante el ciclo de recertificación. El no remediar hallazgos materiales durante el ciclo resulta en suspensión o retirada del certificado.
Timeline / Implementación
AIUC-1 tiene un calendario de publicación más que un calendario estatutario de implementación. La cadencia refleja la rapidez con la que evoluciona el panorama de amenazas de IA agéntica:
- Julio de 2025 — Lanzamiento de AIUC-1 v1. Schellman se convierte en primer auditor autorizado. ElevenLabs se convierte en la primera empresa de IA de voz certificada.
- 2025–2026 — Primera ola de adopción empresarial. Cisco se une como contribuyente técnico; AIUC-1 operacionaliza el Integrated AI Security Framework de Cisco.
- Trimestralmente — AIUC publica actualizaciones formales del estándar, integrando contribuciones de socios técnicos y reflejando evoluciones del panorama de amenazas. Los focos trimestrales recientes incluyen seguridad MCP, gestión del riesgo de terceros e identidad y permisos del agente.
- 2026 — La adopción se acelera entre proveedores AI-native y despliegues empresariales de IA agéntica. UiPath certifica IXP, Agents y Autopilot mediante auditoría de Schellman cubriendo más de 2.000 escenarios de riesgo empresarial. Los crosswalks maduran con NIST AI RMF, ISO/IEC 42001 y Reglamento de IA de la UE, soportando la alineación multi-marco.
- Continuo — La base de auditores autorizados se amplía más allá de Schellman. Se desarrollan discusiones sobre la integración con la evaluación de conformidad del Reglamento de IA para sistemas agénticos de alto riesgo y posibles vías de reconocimiento con organismos formales de acreditación.
Para los proveedores, la implicación operativa es que AIUC-1 está operativo ahora y es la referencia reconocida para el aseguramiento específico de agentes. Para los compradores empresariales, la implicación operativa es que el estatus de certificación AIUC-1 es cada vez más parte de la due diligence de proveedores en el procurement de IA agéntica, particularmente en industrias reguladas y en despliegues de cara al cliente donde el riesgo de marca y cumplimiento es material.
Regulación que entiendes es regulación que puedes convertir en ventaja competitiva.
¿No estás seguro de si este marco aplica a tu organización? Hablemos.
