Rastro de auditoría

Un rastro de auditoría en el contexto de sistemas de IA es un registro completo y cronológico de eventos, decisiones e interacciones significativas durante la operación. A diferencia de los logs básicos orientados a depuración o rendimiento, los rastros de auditoría están diseñados para responder preguntas de rendición de cuentas: quién tomó qué decisión, cuándo ocurrió, qué información estaba disponible y qué supervisión o intervención humana tuvo lugar. Transforman operaciones de IA opacas en secuencias transparentes y revisables.

El artículo 12 del EU AI Act exige capacidades de registro automático para sistemas de IA de alto riesgo. Estos registros deben permitir monitorizar la operación, facilitar la vigilancia posterior a la comercialización y respaldar la trazabilidad del funcionamiento a lo largo del ciclo de vida. Pero la norma va más allá de exigir que existan logs: exige logs adecuados para el propósito. Los auditores preguntarán: ¿puede mostrar qué ocurrió cuando se tomó esta decisión? ¿puede probar quién aprobó esta acción y cuándo? ¿puede demostrar que los controles de supervisión realmente se aplicaron? Sin rastros de nivel auditoría, estas preguntas no pueden responderse de manera sólida.

No todo registro es un rastro de auditoría apto para fines regulatorios. Los rastros deben tener varias características. Integridad: los registros deben ser a prueba de manipulación o, al menos, que la manipulación sea detectable. Almacenamiento de solo anexado, hash criptográfico y mecanismos de verificación de integridad aportan garantías. Exhaustividad: debe capturar todos los eventos relevantes, no solo errores o excepciones, incluyendo decisiones rutinarias, aprobaciones humanas, excepciones, escalados y comportamiento normal. Accesibilidad: los registros deben poder consultarse y exportarse en formatos útiles para auditoría. Logs dispersos sin mecanismos claros de recuperación fallan este requisito. Retención: sectores regulados suelen exigir conservar evidencias siete años o más. Contexto: cada entrada debe incluir contexto suficiente: marcas de tiempo, identidad del actor, entradas de decisión, estado del sistema y relación con flujos más amplios.

Las organizaciones deben diferenciar entre logs de auditoría a nivel de plataforma (accesos, cambios de configuración, acciones administrativas) y registros de decisiones a nivel de flujo (qué recomendó la IA, qué aprobó una persona y qué acción se ejecutó). Ambos son necesarios. La arquitectura debe soportar escrituras append-only para evitar modificaciones retroactivas. Piense en cómo se exportarán y presentarán los rastros en una revisión regulatoria, no solo en cómo se almacenan. Planifique también la retención según su sector y jurisdicciones.