Cumplimiento del EU AI Act
The EU AI Act requires high-risk AI systems to be accurate, robust and secure. Learn how ImmuniWeb supports its Article 15 cybersecurity obligations by securing the systems and apps around your AI.
Cumplimiento de la Ley de Inteligencia Artificial (IA) de la UE
¿Qué es la Ley de IA de la UE?
La AI Act adopta un enfoque basado en el riesgo, clasificando los sistemas de IA como prohibidos, de alto riesgo, de riesgo limitado o de riesgo mínimo. Los proveedores de sistemas de IA de alto riesgo deben cumplir un conjunto de requisitos (artículos 8-15) que cubren la gestión de riesgos, la gobernanza de datos, la documentación técnica, el logging, la supervisión humana, y la precisión, robustez y cybersecurity, y deben completar una evaluación de conformidad.
La ciberseguridad es un requisito vinculante para la IA de alto riesgo. Es importante señalar que, cuando un sistema de IA de alto riesgo también esté sujeto a la Cyber Resilience Act y cumpla sus condiciones, podrá considerarse que cumple con el requisito de ciberseguridad del artículo 15 de la AI Act.
Vea cómo ImmuniWeb da soporte al Artículo 15 de la AI Act: asegurando las aplicaciones web, APIs e infraestructura a través de las cuales se exponen sus sistemas de IA. Solicite una demo · o ejecute una prueba gratuita de Community Edition.
¿Quién debe cumplir con la Ley de IA de la UE?
La Ley de IA se aplica a:
- Proveedores que desarrollan o ponen sistemas de IA en el mercado de la UE, incluidos los sistemas de alto riesgo.
- Implementadores que utilizan sistemas de IA en la UE.
- Organizaciones fuera de la UE cuyos sistemas de IA o salidas se utilicen en la UE (alcance extraterritorial).
Las aplicaciones web, las API y la infraestructura a través de las cuales se accede a los sistemas de IA forman parte de la superficie de ataque que debe protegerse.
Requisitos clave del AI Act para la Seguridad de Aplicaciones
La seguridad de las aplicaciones se rige por el artículo 15:
- Artículo 15 - Ciberseguridad: los sistemas de IA de alto riesgo deben ser resilientes frente a los intentos de terceros no autorizados de explotar vulnerabilidades y de alterar su uso, comportamiento o rendimiento.
- Artículo 15 — Robustez: los sistemas deben funcionar de forma coherente y ser resistentes a errores, fallos e incoherencias.
- Sistemas de apoyo: las aplicaciones, las APIs y la infraestructura que soportan los sistemas de IA deben ser, a su vez, seguras.
Requisitos de ciberseguridad del AI Act en profundidad
Artículo 15: Ciberseguridad de la IA de alto riesgo
El Artículo 15 exige que los sistemas de IA de alto riesgo sean resilientes frente a los intentos de explotar sus vulnerabilidades. En la práctica, gran parte de la superficie de ataque real se encuentra en las aplicaciones web, APIs e infraestructura a través de las cuales se despliegan y acceden a los sistemas de IA; estas deben ser probadas y aseguradas.
Segurización de las aplicaciones del entorno de IA
Los sistemas de IA rara vez funcionan de forma aislada; están expuestos a través de aplicaciones web y móviles, así como de API. Las pruebas de penetración y el análisis de vulnerabilidades de dichas aplicaciones y API reducen la superficie de ataque que Article 15 exige que los proveedores defiendan.
Riesgos comunes en aplicaciones web y móviles a abordar
Las vulnerabilidades en las aplicaciones y APIs asociadas a los sistemas de IA se alinean estrechamente con el OWASP Top 10:
- Control de acceso defectuoso: los usuarios acceden a datos o acciones a las que no deberían.
- Fallos criptográficos — cifrado débil o ausente que expone datos confidenciales.
- Inyección — SQL, inyección de comandos u otros tipos a través de entrada no validada.
- Insecure Design — falta de controles de seguridad por diseño, no solo por errores.
- Security Misconfiguration: configuración predeterminada, incompleta o insegura.
- Componentes vulnerables y obsoletos: bibliotecas y frameworks sin parches.
- Fallos de identificación y autenticación — gestión deficiente de inicios de sesión, sesiones o credenciales.
- Software & Data Integrity Failures — actualizaciones no fiables, pipelines de CI/CD inseguros.
- Security Logging & Monitoring Failures — ataques que pasan desapercibidos.
- Server-Side Request Forgery (SSRF): el servidor es engañado para realizar solicitudes maliciosas.
For mobile apps, the OWASP Mobile Top 10 is the equivalent reference (insecure data storage, insecure communication, weak cryptography, and so on). Reliably finding these issues requires testing the running application, not just a documentation review.
How to Support AI Act Article 15 with ImmuniWeb
- Map the AI attack surface. Haz un inventario de las aplicaciones, APIs e infraestructura que exponen los sistemas de IA con ImmuniWeb Discovery.
- Pruebe aplicaciones web y APIs con On-Demand y Neuron.
- Pruébalo con MobileSuite y Neuron Mobile.
- Remedie y vuelva a probar con informes accionables y sin falsos positivos.
- Desarrollo seguro con Continuous en CI/CD.
- Monitorea la exposición con Discovery.
Cómo ImmuniWeb le ayuda a lograr el cumplimiento del EU AI Act
ImmuniWeb ayuda a cumplir el Artículo 15 al proteger las aplicaciones, las APIs y la infraestructura mediante las cuales se exponen y se accede a los sistemas de IA de alto riesgo.
| Requisito | Lo que requiere | Productos ImmuniWeb |
|---|---|---|
| Artículo 15 - ciberseguridad | Resiliencia frente a la explotación de vulnerabilidades. | On-Demand, Neuron, Continuous |
| Soporte para aplicaciones y APIs | Proteja las aplicaciones y las API que soportan los sistemas de IA. | On-Demand, Neuron, MobileSuite, Neuron Mobile |
| Superficie de ataque | Mapea y monitorea la superficie de ataque de la IA. | Discovery (ASM / Dark Web) |
ImmuniWeb On-Demand y MobileSuite ofrecen pruebas de penetración web, móviles y de API; Neuron y Neuron Mobile proporcionan escaneo automatizado; Continuous integra las pruebas en CI/CD; y Discovery mapea la superficie de ataque alrededor de sus sistemas de IA, respaldando el requisito de ciberseguridad del Artículo 15.
Ley de IA de la UE frente a los marcos internacionales
Si ya trabaja con estándares internacionales, las mismas pruebas de ImmuniWeb apoyan todos ellos:
| Framework | Perspectiva de la seguridad de aplicaciones | Cómo mapea ImmuniWeb |
|---|---|---|
| Reglamento de la UE sobre inteligencia artificial | Article 15 cybersecurity of high-risk AI | Seguridad de aplicaciones, APIs e infraestructura en torno a la IA |
| EU CRA | Ciberseguridad del producto (puede cumplir con el Art. 15) | Pentest y escaneo web/móvil |
| EU GDPR | Seguridad del tratamiento (Artículo 32) | Las mismas pruebas cubren ambos |
| ISO/IEC 27001 | Controles técnicos del Anexo A | Pruebas como evidencia de controles |
Pruebas de penetración frente a escaneo de seguridad
Both are needed. El escaneo automatizado (DAST) proporciona una cobertura amplia y frecuente, siendo ideal para las pruebas continuas en CI/CD; las pruebas de penetración manuales detectan vulnerabilidades de lógica de negocio y complejas que los escáneres pasan por alto, y ofrecen la profundidad que esperan los auditores y reguladores. Combina el escaneo continuo con pruebas de penetración manuales periódicas, y vuelve a probar tras cambios significativos.
Lista de verificación de cumplimiento (Application Security)
- Inventario de aplicaciones, APIs e infraestructura orientadas a IA
- Aplicaciones web y APIs probadas contra el OWASP Top 10
- Frontends móviles probados según el OWASP Mobile Top 10
- Sistemas de apoyo endurecidos y resilientes a la explotación
- Los hallazgos se subsanan y se revalidan; se conservan los registros
- Pruebas integradas en el ciclo de vida de desarrollo
- Monitoreo de la superficie de ataque establecido
Por qué es importante el cumplimiento del EU AI Act
El AI Act conlleva sanciones significativas (hasta 35 millones de EUR o el 7 % del volumen de negocio global por prácticas prohibidas, y hasta 15 millones de EUR o el 3 % por otras infracciones), y las obligaciones de alto riesgo, incluida la ciberseguridad bajo el Artículo 15, se aplicarán a partir del 2 de agosto de 2026. La conformidad es un requisito previo para poner sistemas de IA de alto riesgo en el mercado de la UE.
Dado que la superficie de ataque práctica de los sistemas de IA la forman las aplicaciones, las APIs y la infraestructura que los rodea, asegurar y probar estos elementos es una de las formas más directas de apoyar el Artículo 15.