Ir al contenido
Gobernanza y Conformidad

¿Qué es el NIST AI RMF (marco de riesgo de IA)?

El NIST AI RMF (AI Risk Management Framework) es un marco voluntario creado por el NIST, el instituto de estándares de los Estados Unidos, para ayudar a cualquier organización a identificar, medir y gestionar los riesgos de la inteligencia artificial a lo largo de todo su ciclo de vida. Publicado en 2023, no es una lista de ítems para marcar, sino un lenguaje común y un proceso repetible para hacer la IA confiable. Voluntario y gratuito, se volvió una referencia adoptada en todo el mundo y citada por nuevas leyes de IA como base aceptada de gobernanza.

Zamak TechnologiesActualizado el 10 de julio de 2026

Cómo funciona el NIST AI RMF en la práctica

El marco organiza la gestión de riesgo de IA en cuatro funciones (en inglés, Govern, Map, Measure y Manage) que trabajan juntas. La primera, Gobernar, atraviesa a todas las demás; las tres siguientes forman un ciclo que se repite a lo largo de la vida de cada sistema de IA.

1

Gobernar, la base que sostiene todo

Crea la cultura y las reglas de riesgo de IA en la empresa: políticas, roles, responsabilidades y rendición de cuentas. Es la función que atraviesa y habilita a todas las demás.

2

Mapear, entender el contexto

Identifica para qué sirve cada sistema de IA, qué dato usa, a quién puede afectar y dónde están los riesgos. Es el mapa que informa a las dos funciones siguientes.

3

Medir, analizar y acompañar

Usa métodos cuantitativos y cualitativos para probar, evaluar y monitorear el riesgo y las características de confiabilidad, antes y durante el uso del sistema.

4

Gestionar, priorizar y actuar

Asigna recursos para tratar los riesgos mapeados y medidos: prioriza respuestas, da seguimiento al riesgo de terceros y documenta el plan de respuesta a incidentes.

Fuente: NIST AI Risk Management Framework (AI RMF 1.0, NIST AI 100-1), publicado por el NIST en 2023.

Las siete características de una IA confiable, según el NIST

  • Válida y confiable La IA hace lo que promete, con resultados consistentes y comprobados, no solo en una prueba, sino en el uso real.
  • Segura El sistema no pone a las personas ni al negocio en riesgo, incluso cuando falla o se usa de forma inesperada.
  • Protegida y resiliente Resiste ataques y manipulación, y se recupera cuando algo sale mal.
  • Responsable y transparente Hay un responsable claro por cada sistema, y es posible saber cuándo y cómo se usó la IA.
  • Explicable e interpretable Es posible entender por qué la IA llegó a un resultado, en vez de confiar en una caja negra.
  • Con privacidad preservada El sistema respeta y protege los datos personales que trata.
  • Justa, con sesgo perjudicial gestionado La IA no reproduce ni amplía la discriminación; el sesgo se identifica y se controla.

Por qué la gobernanza de IA dejó de ser opcional

90%
de las organizaciones dicen que sus empleados ya usan herramientas de IA (ISACA, AI Pulse Poll 2026)
38%
tienen una política formal e integral de IA (ISACA, 2026)
25%
no tienen ninguna política de IA en vigor (ISACA, 2026)

El uso de IA se disparó; la gobernanza quedó atrás. La mayoría de las empresas ya tiene empleados pegando datos sensibles en herramientas de IA sin ninguna regla escrita, y esa distancia entre adopción y control es justamente el riesgo. El NIST AI RMF ganó tracción porque resuelve el primer problema de toda empresa en este punto: dar un lenguaje común y un proceso para hablar de riesgo de IA, del pasante al consejo. Es la base que reguladores en varios mercados pasaron a reconocer, de las Américas a Europa y Asia, donde nuevas leyes de IA aceptan marcos reconocidos como el NIST AI RMF o la ISO/IEC 42001 como prueba de gestión de riesgo. Vale recordar: la confiabilidad de la IA es tan fuerte como su característica más débil; de nada sirve ser segura si es injusta u opaca.

Cómo una empresa empieza a usar el NIST AI RMF

La fuerza del marco es ser práctico y proporcional al riesgo. No hace falta implementar todo a la vez; el camino más directo:

  1. Empiece por GobernarAntes de las herramientas, defina la política de uso de IA, quién aprueba y quién responde. Es la función que sostiene a todas las demás.
  2. Mapee la IA que ya existeDescubra qué IA usa cada área, con qué datos, incluido el shadow AI que nadie aprobó. Lo que no se mapea no se gobierna.
  3. Mida lo que importaEvalúe el riesgo y las características de confiabilidad de los usos de mayor impacto, no de todos a la vez.
  4. Gestione y prioriceTrate primero los riesgos mayores, con plan de respuesta y revisión periódica, en vez de intentar resolver todo junto.
  5. Use los recursos de apoyoEl marco trae una guía práctica (el Playbook) y un perfil dedicado a la IA generativa, para adaptar las funciones a su contexto sin empezar de cero.

En la práctica

La pregunta que revela la brecha: si el consejo preguntara hoy qué herramientas de IA usa la empresa y qué riesgo trae cada una, ¿alguien tendría la respuesta por escrito, o sería un silencio incómodo?

Cómo trata la Zamak la gobernanza con el NIST AI RMF

Zamak Technologies apoya la gobernanza de IA usando el NIST AI RMF como uno de los caminos de la Gobernanza y Conformidad del Método Zamak: política de uso de IA, clasificación de datos, registro de riesgos, aprobación de herramientas y evidencia auditable sobre una plataforma de conformidad. Vale la distinción honesta: el marco documenta y comprueba el uso de IA, no bloquea técnicamente que los datos salgan, lo que es una capa de defensa técnica dimensionada aparte. Un buen punto de partida es el autodiagnóstico de exposición a la IA, que muestra en minutos dónde la empresa está más expuesta.

Preguntas frecuentes sobre el NIST AI RMF

¿El NIST AI RMF es obligatorio?
No. Es voluntario y gratuito. Pero varias leyes y exigencias de contrato ya lo citan como un marco reconocido de gestión de riesgo de IA, lo que lo vuelve, en la práctica, una referencia que los grandes clientes esperan ver.
¿Cuál es la diferencia entre el NIST AI RMF y la ISO/IEC 42001?
El NIST AI RMF es un marco voluntario y gratuito, creado en los Estados Unidos, que da un lenguaje común y un proceso para gestionar el riesgo de IA, sin certificación. La ISO/IEC 42001 es una norma internacional certificable: un tercero independiente la audita y emite un certificado. Muchas empresas usan el NIST AI RMF para estructurar la gestión de riesgo y buscan la ISO 42001 para tener la prueba externa y certificable. Los dos se complementan.
¿El NIST AI RMF cubre la IA generativa, como el ChatGPT?
Sí. Además del marco principal, el NIST publicó en 2024 un perfil dedicado a la IA generativa, que señala los riesgos específicos de esas herramientas y cómo se aplican a ellas las cuatro funciones.
¿Necesito ser una empresa de los EE. UU. para usar el marco?
No. Aunque fue creado por el instituto de estándares de los Estados Unidos, el NIST AI RMF lo usan organizaciones en todo el mundo como referencia común, sin importar el país.
¿El marco impide técnicamente la fuga de datos?
No. El NIST AI RMF es gobernanza: estructura cómo identificar, medir y gestionar el riesgo, y lo comprueba. Impedir de hecho que el dato sensible salga es una capa técnica separada, de defensa, que se suma a la gobernanza.
¿Cuáles son las cuatro funciones del NIST AI RMF?
Gobernar, Mapear, Medir y Gestionar. Gobernar es la base que atraviesa a las otras tres; Mapear entiende el contexto y los riesgos; Medir analiza y acompaña; Gestionar prioriza y trata los riesgos.

Términos relacionados

Endpoint e Identidad
MFAPAM (acceso privilegiado)SSO (inicio de sesión único)
Detección y Respuesta
EDRMDRXDRMITRE ATT&CKSIEMSOC (centro de operaciones)
Red y Acceso
ZTNAFirewallVPNSASE
Gobernanza y Conformidad
LGPDISO 27001SOC 2NIST CSFShadow ITEvaluación de madurez cibernéticaHIPAAPCI DSSGDPRCMMCCIS ControlsISO 42001 (gestión de IA)NIST AI RMFNIST 800-171FTC SafeguardsISO 27701 (privacidad)FedRAMPGRC (gobernanza, riesgo, cumplimiento)vCIOvCISO
Conceptos y Fundamentos
Deep webZero TrustDefensa en profundidadSuperficie de ataqueEndpointMenor privilegio
IA y Seguridad
Shadow AIGobernanza de IAInyección de promptsOWASP LLM Top 10Deepfake