Glossario

Glossario dell’IA aziendale

Definizioni precise dei concetti chiave che ogni azienda deve comprendere per adottare l’intelligenza artificiale in modo sicuro, efficiente e conforme alla normativa.

Vai a: AI GovernanceDLPBYOKAI GatewayShadow AIRouting inteligente de modelos IAAI ActPrompt Injection
EstrategiaCumplimiento

AI Governance — Gobierno de IA

El gobierno de inteligencia artificial (AI Governance) es el conjunto de políticas, marcos, procesos y controles que una organización establece para garantizar que el uso de IA sea seguro, ético, transparente y conforme con la normativa aplicable.

Un programa de AI Governance eficaz define quién puede usar IA, con qué herramientas, para qué tareas, con qué datos y bajo qué supervisión. También establece mecanismos de rendición de cuentas y procedimientos de respuesta ante incidentes relacionados con IA.

En el contexto europeo, el AI Act (Reglamento UE 2024/1689) obliga a las organizaciones a implementar sistemas de gestión de riesgos para los sistemas de IA de alto riesgo, lo que convierte el AI Governance en una necesidad regulatoria además de una buena práctica.

Domande frequenti
Con el AI Act europeo (Reglamento UE 2024/1689), las organizaciones que despliegan sistemas de IA de alto riesgo están obligadas a implementar un sistema de gestión de riesgos. Aunque el AI Governance completo no es siempre una obligación legal, sí lo es para sistemas usados en RRHH, crédito o infraestructuras críticas.
El primer paso es el inventario: identificar qué sistemas de IA usa tu organización, quién los usa y con qué datos. A partir de ahí, clasificar por nivel de riesgo y definir políticas de uso aceptable.
Correlato: Shadow AIAI ActAuditoría de IA
SeguridadDatos

DLP — Data Loss Prevention en IA

Data Loss Prevention (DLP) en el contexto de inteligencia artificial hace referencia a las tecnologías y políticas que analizan los prompts y respuestas de los modelos de lenguaje para detectar, alertar o prevenir la exposición no autorizada de datos sensibles.

A diferencia del DLP tradicional (que protege archivos, emails y endpoints), el DLP para IA actúa sobre el texto de los mensajes antes de que sean enviados a los modelos. Puede detectar Información de Identificación Personal (PII), datos financieros, credenciales, secretos comerciales o datos de salud, y aplicar acciones como bloquear el envío, advertir al usuario, anonimizar los datos sensibles en tiempo real o enviar el prompt a revisión manual.

coordinat.io implementa DLP mediante análisis de patrones (regex) y reglas configurables, aplicadas en el gateway antes de que cualquier dato llegue al proveedor de IA.

Domande frequenti
El DLP tradicional protege ficheros, emails y endpoints. El DLP para IA actúa sobre el contenido de los prompts antes de que lleguen a los modelos, en tiempo real. Es complementario, no sustitutivo.
Sí, especialmente con reglas muy amplias. Un sistema bien configurado usa patrones específicos (regex) y permite graduar la respuesta: advertir al usuario antes de bloquear directamente.
Correlato: AI GatewayAnonimizaciónCompliance
ConfiguraciónCostes

BYOK — Bring Your Own Key

BYOK (Bring Your Own Key) es la modalidad en la que una empresa utiliza sus propias claves API y contratos directos con los proveedores de inteligencia artificial (OpenAI, Anthropic, Google, etc.), en lugar de consumir IA a través de un intermediario que factura el uso.

Las ventajas principales del BYOK son: control total sobre los costes (se paga directamente al proveedor sin markups), mayor visibilidad sobre los términos de privacidad aplicables, y la posibilidad de negociar tarifas corporativas con los proveedores.

En coordinat.io, BYOK está disponible desde el plan Basic. La plataforma actúa como proxy transparente: recibe las peticiones, aplica las políticas de seguridad y las reenvía al proveedor usando las claves propias del cliente. El cliente paga directamente a OpenAI, Anthropic o Google.

Correlato: AI GatewayCostes de IAProveedores IA
InfraestructuraIntegración

AI Gateway

Un AI Gateway es un componente de infraestructura que actúa como punto de entrada centralizado para todas las peticiones a modelos de inteligencia artificial dentro de una organización. Similar a un API Gateway en arquitecturas de microservicios, el AI Gateway intercepta el tráfico de IA antes de que llegue a los proveedores.

Las funciones típicas de un AI Gateway incluyen: autenticación y autorización, aplicación de políticas de seguridad (DLP), registro de actividad, limitación de velocidad (rate limiting), balanceo de carga entre proveedores, fallback automático ante fallos y optimización de modelos.

coordinat.io expone un AI Gateway con API compatible con la especificación de OpenAI, lo que permite a las organizaciones adoptar governance de IA sin modificar sus aplicaciones existentes: basta con apuntar la URL base a coordinat.io.

Domande frequenti
Sí. El valor del AI Gateway no es solo la compatibilidad multi-proveedor, sino la centralización del control: DLP, presupuestos, auditoría y routing se aplican en un único punto independientemente del número de proveedores.
La latencia añadida es mínima — típicamente 10-30ms — ya que el gateway actúa como proxy ligero. El tiempo de procesamiento del modelo (100-3000ms) domina completamente el tiempo total.
Correlato: BYOKDLPRouting inteligente
RiesgosSeguridad

Shadow AI

Shadow AI (IA en la sombra) es el uso no autorizado o no supervisado de herramientas de inteligencia artificial por parte de empleados, fuera del conocimiento y control del departamento de IT, seguridad o la dirección de la organización.

El fenómeno es análogo al "Shadow IT" que surgió con la adopción masiva de servicios cloud. Estudios recientes indican que entre el 70% y el 80% de los empleados usa herramientas de IA en el trabajo, independientemente de si la empresa las ha autorizado o no.

Los riesgos del Shadow AI incluyen: filtración de datos confidenciales a través de prompts no controlados, uso de herramientas que no cumplen con los requisitos de GDPR u otras normativas, costes incontrolados si el empleado usa herramientas de pago con tarjeta corporativa, y ausencia total de trazabilidad para auditorías.

La solución más efectiva no es bloquear el acceso a IA (lo que reduce la productividad sin eliminar el riesgo), sino centralizar el acceso a través de una plataforma de governance que permita el uso controlado y auditado.

Domande frequenti
Revisa los registros DNS y de proxy buscando tráfico a api.openai.com, claude.ai o gemini.google.com. Audita gastos con tarjeta corporativa en herramientas de IA, y consulta directamente a los departamentos.
Bloquear el acceso raramente funciona: los empleados usan datos móviles o VPNs personales. La estrategia más efectiva es proporcionar una alternativa oficial centralizada con las políticas de seguridad aplicadas.
Correlato: AI GovernanceDLPAuditoría de IA
OptimizaciónCostes

Routing inteligente de modelos IA

El routing inteligente de modelos IA (Intelligent Model Routing) es la selección automática del modelo de lenguaje más adecuado para cada petición concreta, con el objetivo de minimizar el coste sin sacrificar la calidad de la respuesta.

La lógica de routing se basa en clasificar la complejidad de cada petición antes de enviarla al modelo. Una pregunta simple ("traduce esta frase") no necesita el mismo modelo que una tarea compleja ("analiza este contrato y detecta cláusulas abusivas"). Los modelos "nano" como GPT-4o mini o Gemini Flash cuestan hasta 10 veces menos que los modelos "top" como GPT-4o o Claude Sonnet, para tareas donde la diferencia en calidad es imperceptible.

coordinat.io implementa routing heurístico basado en el contenido del prompt: longitud, vocabulario, tipo de tarea solicitada y contexto. La clasificación es instantánea, sin llamadas adicionales a APIs, y puede ahorrar entre un 20% y un 40% en costes de IA para organizaciones con uso intensivo de modelos premium.

Correlato: AI GatewayBYOKCostes de IA
NormativaCompliance

AI Act — Reglamento Europeo de IA

El AI Act (Reglamento UE 2024/1689 del Parlamento Europeo y del Consejo) es el primer marco regulatorio integral sobre inteligencia artificial del mundo. Publicado en el Diario Oficial de la UE en julio de 2024, establece obligaciones para los proveedores, operadores y usuarios de sistemas de IA en función del nivel de riesgo.

El Reglamento clasifica los sistemas de IA en cuatro categorías de riesgo: inaceptable (prohibidos), alto riesgo (con obligaciones estrictas de transparencia, gestión de riesgos y documentación), riesgo limitado (con obligaciones de transparencia), y riesgo mínimo (sin obligaciones específicas).

Para las empresas que usan modelos de propósito general (como GPT-4o o Claude) en contextos internos, las obligaciones principales son: documentar el uso, implementar gestión de riesgos, garantizar la supervisión humana y mantener registros de actividad auditables.

coordinat.io ayuda a las organizaciones a cumplir con el AI Act al proporcionar registro completo de toda la actividad de IA, informes de compliance exportables y controles de políticas configurables.

Domande frequenti
Las prohibiciones de sistemas de riesgo inaceptable son vinculantes desde agosto de 2025. Las obligaciones para sistemas de alto riesgo entran en vigor en agosto de 2026. La base de documentación conviene empezarla ya.
Las infracciones más graves (sistemas prohibidos) pueden acarrear multas de hasta €35M o el 7% de la facturación global. El incumplimiento de obligaciones de transparencia: hasta €15M o el 3%.
Correlato: AI GovernanceGDPRAuditoría de IA
SeguridadAtaques

Prompt Injection

El prompt injection es una técnica de ataque en la que se incluyen instrucciones maliciosas dentro de un prompt para manipular el comportamiento de un modelo de lenguaje (LLM) y conseguir que realice acciones no autorizadas, revele información confidencial del sistema o eluda controles de seguridad.

Existen dos variantes principales: el direct prompt injection (el usuario incluye instrucciones adversariales directamente en su mensaje) y el indirect prompt injection (las instrucciones maliciosas se introducen a través de contenido externo que el modelo procesa, como una página web o un documento).

Para las organizaciones que despliegan asistentes de IA o usan LLMs en procesos automatizados, el prompt injection representa un vector de ataque real que puede comprometer la confidencialidad de los system prompts, los datos procesados o la integridad de los flujos de trabajo. La defensa incluye sanitización de inputs, separación clara de instrucciones y datos, y monitorización de patrones anómalos en los prompts.

Correlato: DLPAI GatewaySeguridad de IA

Pronto ad applicare questi concetti nella tua azienda?

coordinat.io mette in pratica AI Governance, DLP, BYOK e routing intelligente — senza complessità.

Inizia gratis — 30 giorni