La expansión de la inteligencia artificial en entornos corporativos ha dado lugar a un fenómeno que muchos especialistas denominan IA sombra, una evolución natural de la antigua TI sombra. Hoy cualquier equipo o empleado puede desplegar modelos de lenguaje, agentes autónomos o asistentes de código sin pasar por los controles de TI, creando un ecosistema invisible de activos de IA que escapa al radar de la seguridad. Frente a esta realidad, las tradicionales listas de materiales de software (SBOM) resultan insuficientes porque no capturan los componentes propios de la IA: modelos base, datasets, librerías de SDK, frameworks de machine learning, prompts de sistema, habilidades de agentes y las relaciones entre ellos. Surgen así las AI-BOMs, o listas de materiales de inteligencia artificial, que permiten a las organizaciones obtener visibilidad completa sobre todos estos elementos y su interconexión con los flujos de trabajo. Sin un inventario preciso, una empresa podría estar utilizando modelos de origen dudoso, con licencias incompatibles o incluso manipulados, exponiéndose a riesgos regulatorios y de seguridad. La ciberseguridad ya no se limita a proteger perímetros, sino que debe abarcar la trazabilidad de cada componente de IA, desde su origen hasta su ejecución. Herramientas como los kits de procedencia de modelos, que comparan pesos y metadatos para verificar la identidad de un modelo, se están volviendo esenciales para determinar si un modelo deriva de una fuente confiable o si ha sido alterado. En este contexto, desde Q2BSTUDIO entendemos que la adopción segura de ia para empresas requiere un enfoque integral que combine inventario dinámico, análisis de dependencias y monitorización continua. Nuestros servicios de ciberseguridad incluyen evaluaciones de riesgos específicas para entornos de IA, ayudando a identificar shadow AI y a implementar controles sobre agentes IA, modelos y sistemas de prompts. Además, al ofrecer desarrollo de software a medida y aplicaciones a medida, integramos buenas prácticas de seguridad en cada fase del ciclo de vida de la IA, desde el diseño hasta la puesta en producción. La gestión de identidades no humanas asociadas a estos workloads, la detección de cambios en configuraciones y la capacidad de auditar cada versión de un modelo son capacidades que cualquier organización que busque escalar su inteligencia artificial debe considerar. También es relevante la conexión con plataformas cloud: los servicios cloud aws y azure facilitan el despliegue de estos activos, pero exigen un control granular de permisos y una visibilidad centralizada de los componentes. Por otro lado, el uso de herramientas de inteligencia de negocio como power bi puede beneficiarse de metadatos de procedencia para asegurar que los datos utilizados en los informes provienen de modelos verificados. En definitiva, la transición de la TI sombra a la IA sombra no es un riesgo menor; adoptar AI-BOMs y políticas de procedencia es el primer paso para que las empresas puedan confiar en sus inversiones en inteligencia artificial y protegerse frente a ataques como el envenenamiento de modelos o la manipulación de instrucciones. En Q2BSTUDIO acompañamos a nuestros clientes en este camino, ofreciendo soluciones que integran seguridad, trazabilidad y rendimiento para que la IA sea un activo estratégico y no una puerta abierta a incidentes.