Recurso gratuito · Manual de auditoría
Guía operativa de AI Security para LLMs.
El método que aplicamos en auditorías y testing de AI Security, abierto. Matriz de riesgos por arquitectura, scorecard de madurez y fichas técnicas con receta y mapeo regulatorio. Construido sobre el OWASP LLM Top 10 2025, pensado para CTOs, equipos de seguridad y compliance con LLMs en producción.
Qué encontrarás dentro
Manual operativo en 21 páginas
Pensado para auditar un sistema LLM en una tarde: priorizar según tu arquitectura, medir la madurez del programa, aplicar mitigaciones con código y verificar el encaje en AI Act, GDPR y el marco español.
LLM01 · Prompt Injection
Instrucciones adversarias que sobrescriben el comportamiento del modelo.
LLM02 · Sensitive Information Disclosure
Filtración de PII, secretos o contexto cruzado entre clientes.
LLM03 · Supply Chain
Modelos, datasets y plugins de origen no verificado.
LLM04 · Data and Model Poisoning
Datos de entrenamiento o fine-tuning manipulados.
LLM05 · Improper Output Handling
Output del LLM ejecutado sin sanitizar contra el sistema.
LLM06 · Excessive Agency
Agentes con permisos, herramientas y autonomía mal acotados.
LLM07 · System Prompt Leakage
Instrucciones de sistema o claves embebidas que se exponen.
LLM08 · Vector and Embedding Weaknesses
Acceso al vector store, fugas entre tenants, inyección por contenido recuperado.
LLM09 · Misinformation
Respuestas plausibles pero falsas que llegan al usuario sin verificación.
LLM10 · Unbounded Consumption
Coste y latencia sin límites: abuso, denegación económica, runaway agents.
Vista previa
Lo que vas a recibir
Manual operativo en PDF, listo para que un equipo lo aplique sobre su propio sistema sin consultoría.
Matriz de riesgos por arquitectura
6 tipos de sistema (chatbot B2C, RAG interno, agente con tool-calling…) cruzados con los 10 riesgos. Localizas el tuyo y sabes qué priorizar.
Scorecard de madurez 0-30
10 controles auditables, puntuación 0-3 cada uno. Tres lecturas (riesgo elevado / parcial / programa establecido) y plan de acción asociado.
Fichas técnicas por riesgo (LLM01-10)
Caso real anonimizado, herramientas concretas (Garak, Lakera, Presidio, Sigstore…), config mínima, snippets de código y verificación operativa.
Mapeo regulatorio
Cada riesgo cruzado con EU AI Act, GDPR, NIS2 e ISO/IEC 42001. Más una página dedicada al marco español (AEPD, AESIA, CCN-CERT, ENS).
FAQ
Preguntas frecuentes
¿Tengo que dar email para descargar el checklist?
Sí, en este caso sí. El checklist OWASP LLM se entrega por email. El formulario solo pide nombre, email y empresa (opcional). El consentimiento de privacidad es obligatorio.
¿En qué se basa el checklist?
En el OWASP Top 10 para aplicaciones con LLM. Cada uno de los diez riesgos (LLM01 Prompt Injection hasta LLM10 Unbounded Consumption) se traduce en verificaciones binarias que un equipo de ingeniería aplica sobre su sistema en menos de una hora. Por cada riesgo hay un anti-pattern observado en producción y la pregunta que haría un atacante.
¿Es solo para producto en producción?
No. Funciona también para sistemas a punto de salir, prototipos avanzados o auditorías internas. Lo único que pedimos es que ya haya una arquitectura concreta para evaluar.
¿Qué pasa después de descargarlo?
Recibes el PDF en tu email. Si después de revisarlo quieres que pasemos las verificaciones sobre vuestro sistema concreto, ofrecemos un diagnóstico gratuito — basta con responder al email.