sistema: OPERATIVO
← volver a todos los hacks
DEFENSE MEDIUM NEW

OWASP AISVS 1.0: una checklist verificable para la seguridad de aplicaciones de IA

OWASP publicó a finales de junio de 2026 la primera versión estable de su AI Security Verification Standard — 14 capítulos de requisitos pass/fail que convierten la intención de gobernanza de IA en evidencia, con capítulos dedicados a agentes y a MCP.

2026-07-06 // 6 min affects: llm-applications, ai-agents, mcp-servers, rag-systems, vector-databases

¿Qué es esto?

El AI Security Verification Standard (AISVS) es un proyecto comunitario de OWASP que convierte la seguridad de la IA de un conjunto de principios en una checklist realmente verificable. OWASP publicó la primera versión estable, AISVS 1.0, el 24 de junio de 2026 (según la página oficial del proyecto; el análisis de LRQA está fechado el 29 de junio de 2026); tiene licencia CC BY-SA 4.0 y fue fundado por Jim Manico, con un equipo actual que incluye a Otto Sulin, Rico Komenda, Russ Memisyazici y Raza Sharif. El estándar se inspira explícitamente en el veterano OWASP Application Security Verification Standard (ASVS): cada entrada está redactada para ser verificable, comprobable e implementable, de modo que un auditor, un pentester o un pipeline CI/CD pueda marcarla como aprobada o no en lugar de debatirla. Es importante que OWASP aclare lo que AISVS no es: ni un marco de gobernanza, ni una metodología de gestión de riesgos, ni una lista de herramientas recomendadas. Proporciona la capa de controles técnicos a la que apuntan marcos como el NIST AI RMF, la ISO/IEC 42001, el OWASP Top 10 para aplicaciones LLM y el OWASP Top 10 para aplicaciones agénticas, sin que estos la especifiquen por sí mismos.

Cómo funciona

AISVS 1.0 está organizado en 14 capítulos de requisitos que abarcan todo el ciclo de vida de la IA: integridad y trazabilidad de los datos de entrenamiento, validación de entradas, gestión del ciclo de vida y del cambio del modelo, seguridad de infraestructura y despliegue, control de acceso e identidad, seguridad de la cadena de suministro de modelos y datos, comportamiento y control de salidas del modelo, seguridad de memoria/embeddings/bases vectoriales, orquestación autónoma y acción agéntica, seguridad del Model Context Protocol (MCP), robustez adversaria, protección de la privacidad y datos personales, monitorización y registro, y supervisión humana. Cada requisito lleva un nivel de verificación de 1 a 3 — el nivel 1 es una base que todo sistema debería cumplir, el nivel 2 apunta a sistemas en producción y que tratan datos personales, y el nivel 3 se dirige a entornos de alta garantía; OWASP recomienda que la mayoría de los sistemas en producción alcancen al menos el nivel 2. Los requisitos usan un identificador estable con el formato C<capítulo>.<sección>.<requisito>, prefijado con la versión para la citación — por ejemplo v1.0-C9.4.3, que exige que los registros de auditoría sean a prueba de manipulación mediante almacenamiento append-only/WORM, encadenamiento criptográfico por hash, o una garantía de integridad equivalente verificable de forma independiente. El wiki de investigación que alimenta el estándar cubre 191 requisitos en 60 páginas, y la carpeta congelada 1.0/en es la fuente autoritativa del texto publicado.

Por qué importa

Para quien despliega funcionalidades LLM, el valor es que la seguridad de la IA se vuelve medible. Una junta directiva puede aprobar políticas de IA y un comité de riesgos mantener un registro de modelos, pero nada de eso demuestra que los controles funcionan; AISVS ofrece a los equipos de seguridad una base reproducible que probar para producir evidencia. Los dos capítulos más relevantes para el panorama de amenazas actual son los dedicados a lo agéntico y a MCP. El capítulo de orquestación y acción agéntica (C9) cubre presupuestos de ejecución, control de bucles, disyuntores, aprobación humana para acciones de alto impacto, aislamiento de herramientas, identidad del agente, autorización en tiempo de ejecución y mecanismos de kill-switch — precisamente los controles que reducen la distancia entre la salida de un modelo y su impacto operativo real. El capítulo MCP (C10) cubre servidores MCP en lista blanca, validación de tokens de acceso por solicitud, validación de claims OAuth 2.1, autorización a nivel de herramienta, transporte seguro, validación de esquema y filtrado de las respuestas de las herramientas MCP para detectar inyección indirecta antes de que lleguen al contexto del modelo. Este último punto se corresponde directamente con las clases de inyección indirecta y envenenamiento de herramientas que han impulsado un flujo constante de divulgaciones en 2026.

Defensas

AISVS es en sí mismo un instrumento defensivo, así que la cuestión práctica es cómo adoptarlo. Empiece por inventariar sus sistemas de IA y asignar a cada uno un nivel objetivo según el escalón de riesgo: nivel 1 para herramientas internas o de bajo riesgo, nivel 2 por defecto para sistemas en producción y de cara al cliente, nivel 3 cuando la exposición regulatoria o la presión adversaria justifiquen una garantía más profunda. Trate los requisitos como una biblioteca de controles integrada en las revisiones de diseño, el modelado de amenazas, la revisión de código y las barreras de CI/CD — no como una checklist de auditoría anual. Priorice los capítulos que coincidan con su arquitectura: los equipos que operan agentes autónomos deberían trabajar primero C9 y C10, los despliegues RAG el capítulo de memoria y bases vectoriales, y cualquier sistema que trate datos personales el capítulo de privacidad. Referencie identificadores de requisitos concretos en el alcance de los pentests y en los cuestionarios de compra a proveedores, para que los terceros queden sujetos al mismo estándar verificable. Como AISVS complementa la ISO/IEC 42001 y el NIST AI RMF en lugar de reemplazarlos, vincule sus controles técnicos con el marco de gobernanza sobre el que su organización ya reporta, de modo que la evidencia pass/fail se integre en el reporting de garantía existente.

Estado

Se trata del lanzamiento de un estándar defensivo, no de una vulnerabilidad. Las cifras siguientes provienen del repositorio oficial de OWASP y de la página del proyecto.

ElementoDetalle
ProyectoOWASP AI Security Verification Standard (AISVS), fundado por Jim Manico
LanzamientoVersión 1.0, 24 de junio de 2026 (según la página del proyecto OWASP; análisis de LRQA fechado el 29 jun 2026); carpeta 1.0/en congelada
Estructura14 capítulos de requisitos que cubren el ciclo de vida de la IA; tres niveles de verificación (1/2/3)
Alcance agente/MCPC9 orquestación y acción agéntica; C10 seguridad del Model Context Protocol
Formato de requisitoC<capítulo>.<sección>.<requisito>, citado v1.0-Cx.y.z; wiki de investigación: 191 requisitos en 60 páginas
PosicionamientoCapa de controles técnicos que complementa NIST AI RMF, ISO/IEC 42001, OWASP Top 10 LLM y agéntico; no es un marco de gobernanza
LicenciaCC BY-SA 4.0

Sources