La figura del auditor de IA se parece bastante a la de un auditor financiero, con un giro importante: no revisa movimientos de dinero, sino “movimientos” de un sistema inteligente. Su trabajo consiste en observar cómo se comporta un modelo o un agente cuando recibe solicitudes, accede a herramientas, consulta datos, toma decisiones y genera respuestas. Dicho de forma cotidiana, es como quien supervisa una cocina industrial: no solo prueba el plato final, también revisa si se respetaron las recetas, si la cadena de frío se mantuvo y si nadie entró en la despensa sin permiso.Según expone ZDNET en un artículo firmado por Joe McKendrick, este rol emerge porque la inteligencia artificial se ha vuelto ubicua en procesos de negocio, pero también trae riesgos recurrentes: alucinaciones, sesgos, caída de calidad por deriva del modelo, uso de datos deficientes y respuestas de baja calidad. Cuando un sistema se integra en atención al cliente, finanzas, recursos humanos o salud, un error no es solo “una mala respuesta”: puede convertirse en una decisión errónea con impacto legal, reputacional o humano.De la verificación de calidad a la auditoría de comportamientoHoy, en muchas organizaciones, la supervisión de la IA se parece a un control de calidad: se revisan muestras de salidas, se detectan outliers, se testean casos límite y se valida si el modelo “acierta” con suficiente frecuencia. Zohar Bronfman, cofundador y CEO de Pecan.ai, describe que lo que existe actualmente es una forma rudimentaria de auditoría, sin un rol estructurado dedicado a verificar conducta ética o socialmente aceptable. En la práctica, se comprueba si el sistema funciona, pero no siempre si se comporta como debe cuando está bajo presión, con prompts ambiguos, con datos incompletos o frente a incentivos contradictorios.Ahí entra la diferencia clave entre “¿esto responde bien?” y “¿esto responde bien, de forma rastreable, predecible y dentro de límites claros?”. La auditoría de IA pone el foco en el comportamiento del sistema como un todo: entradas, transformaciones, decisiones intermedias, herramientas llamadas, datos consultados, trazabilidad, registros, políticas de acceso y cumplimiento de guardarraíles. Es mirar el recorrido completo, no solo la foto final.Qué vigila exactamente un auditor de IA dentro de un sistema modernoLa IA empresarial ya no es solo un modelo que genera texto. Muchos sistemas incorporan RAG (recuperación de información para responder con fuentes internas), llamadas a APIs, integraciones con herramientas, e incluso patrones más complejos como agentes que encadenan pasos. Bronfman menciona que el auditor debe comprobar que el comportamiento sea observable y trazable, que se registre lo que el sistema hace y que actúe dentro de guardarraíles preaprobados.Un modo sencillo de visualizarlo es pensar en un coche con asistentes de conducción. No basta con que “llegue” al destino; importa si respetó límites de velocidad, si no intentó girar donde estaba prohibido, si el sistema registró incidentes y si la conducción fue consistente. En modelos de lenguaje y agentes de IA, esa consistencia se traduce en límites de acceso, prohibición de acciones no autorizadas, control del uso de herramientas y mecanismos para investigar incidentes.Supervisión de ingeniería: estándares, mantenimiento y señales de derivaUna parte del rol se parece al control de ingeniería clásico: verificar que el modelo se desarrolla, entrena y mantiene con estándares aceptables. En entornos reales, los modelos se degradan cuando cambian los datos o el contexto; es la conocida deriva del modelo. El auditor debe revisar si existen pruebas periódicas, métricas claras, procesos de actualización, documentación y validación antes de poner cambios en producción.Aquí conviene un ejemplo muy “de oficina”: una hoja de cálculo crítica funciona perfecto hasta que alguien cambia una columna y rompe fórmulas. Con IA pasa algo similar, solo que la “columna” puede ser un patrón de datos, una política de filtrado, una actualización del modelo o un cambio en las fuentes del RAG. El auditor necesita comprobar que los cambios se detectan, se registran y se gobiernan, evitando que el sistema “se vaya desviando” sin que nadie lo note.Monitorización conductual: rastreo, registros y predictibilidadLa monitorización conductual se centra en si el sistema actúa de forma predecible y auditable. En la práctica, esto implica exigir logs completos, trazabilidad de llamadas, identificación de qué herramientas se usaron y por qué, y la capacidad de reconstruir un incidente. Si un agente consultó un repositorio interno, ejecutó una acción o respondió con una recomendación, el auditor debe poder seguir el rastro.Esto es especialmente crítico cuando hay integraciones: un agente con permisos puede intentar usar herramientas de forma no prevista. Bronfman advierte sobre el riesgo de que un sistema trate de conectarse a fuentes para las que no tiene autorización, credenciales o necesidad. No es solo una cuestión técnica; es una cuestión de gobierno y seguridad: “quién puede hacer qué”, “cuándo” y “bajo qué condiciones”.Guardarraíles y pruebas adversarias: cuando el sistema intenta salirse del carrilEl auditor también verifica la robustez de los guardarraíles: límites que impiden que el modelo manipule su propio código, eluda políticas o actúe “por cuenta propia” ante ciertos prompts. En el lenguaje cotidiano, es como un ascensor con sensores: no debería cerrar la puerta si detecta un obstáculo. En IA, el sensor son políticas, filtros, validaciones de permisos y pruebas que simulan condiciones peligrosas.Bronfman plantea tareas como testear si el modelo “se vuelve rogue” bajo ciertas condiciones y realizar investigaciones de incidentes, con responsabilidad asignada al propietario del sistema. Esto se conecta con prácticas de red teaming, donde se intenta forzar al sistema a comportamientos no deseados para entender fallos antes de que ocurran en producción. La vigilancia no busca demonizar la IA, sino introducir disciplina: si un sistema puede fallar, se diseña para fallar de forma segura y detectable.Riesgos concretos: accesos no autorizados, sesgos y decisiones opacasEntre los escenarios que un auditor de IA debe prevenir, destacan los intentos de uso no autorizado de herramientas o acceso a sistemas sensibles. En un entorno con agentes, el problema no es que el modelo “sepa” mucho, sino que “pueda” hacer demasiado. Si puede cambiar credenciales, consultar datos confidenciales o tocar infraestructura crítica, el nivel de exigencia tiene que subir.Otro frente central es el sesgo. En ámbitos como crédito, contratación o seguros, un sesgo oculto puede traducirse en discriminación sistemática. La auditoría se ocupa de detectar señales de parcialidad, revisar datos y evaluar decisiones de forma repetible. En paralelo, está la opacidad en contextos como salud: Bronfman sugiere que un agente optimizando costes podría priorizar mal recursos para un paciente crítico. En decisiones con carga moral, la autoridad debe seguir siendo humana, con la IA como apoyo y con mecanismos claros de explicación, revisión y escalado.Este punto encaja con preocupaciones más amplias sobre agentes “rápidos y sueltos” que operan con autonomía, un tema que también aparece en estudios y debates académicos, incluyendo investigaciones del MIT citadas en el ecosistema mediático reciente sobre agentes y control.Auditoría externa: el paralelismo con firmas independientesIgual que muchas compañías contratan auditorías financieras externas para evitar conflictos de interés, la auditoría de IA podría cristalizar en firmas de auditoría de IA. Bronfman anticipa un mercado de terceros que proporcionen supervisión estructurada e independiente, con estándares y códigos de conducta. Incluso plantea que, a largo plazo, podría haber marcos respaldados por coaliciones internacionales, exigiendo transparencia y auditorías continuas para ciertos despliegues.Para las empresas, esto no es solo “cumplimiento”; es una forma de protegerse. Un dictamen externo puede ayudar a demostrar diligencia razonable ante reguladores, socios o clientes, del mismo modo que un informe financiero auditado reduce incertidumbre en el mercado.Perfil profesional y salarios: una mezcla de IA y negocioEl auditor de IA no es únicamente un perfil técnico. Necesita entender cómo funciona la IA para localizar puntos de fallo, pero también comprender el negocio para evaluar impacto, riesgo y prioridades. Según datos citados por ZDNET, ZipRecruiter estima rangos salariales en Estados Unidos para AI auditor en torno a 50.000–81.000 dólares anuales, con cifras superiores para perfiles top. Ese rango sugiere que el rol está naciendo, con espacio para crecer a medida que se consoliden estándares, certificaciones y responsabilidades.En la práctica, el equipo ideal tiende a ser multidisciplinar: ingeniería, seguridad, legal, ética, ciencia del comportamiento y conocimiento del dominio. Es una mesa con varias sillas porque los fallos de IA rara vez son “solo un bug”; suelen ser una combinación de datos, incentivos, contexto y gobernanza.Qué cambia para las empresas que ya usan IA en producciónAdoptar auditoría de IA implica pasar de “medir rendimiento” a “gobernar comportamiento”. Significa que los sistemas deben diseñarse con auditabilidad en mente: registros sólidos, trazabilidad, límites claros, revisión humana donde corresponda y un enfoque de mejora continua. También obliga a profesionalizar la conversación interna: cuándo un modelo puede decidir, cuándo solo puede sugerir, qué datos puede tocar, qué herramientas puede usar y cómo se investiga un incidente.La promesa es pragmática: reducir riesgos sin frenar el uso de la IA generativa. Como en cualquier control serio, la idea no es desconfiar por deporte, sino asegurar que la tecnología haga lo que se espera cuando se la pone a trabajar con tareas reales, clientes reales y consecuencias reales.La noticia Auditor de IA: el nuevo perfil que vigila el comportamiento de los modelos en la empresa fue publicada originalmente en Wwwhatsnew.com por Natalia Polo.