Cuando la IA escribe el 60% de tu código, la pregunta ya no es si el sistema funciona — la pregunta es quién firma debajo. La adopción masiva de Copilot, Claude y Cursor ha acelerado la producción de software, pero ha abierto un vacío legal y operativo que la mayoría de los equipos prefiere ignorar hasta que llega una auditoría.
¿Quién es responsable cuando la IA introduce una vulnerabilidad?
La respuesta corta: la organización que desplegó el código. Los modelos de lenguaje no tienen personalidad jurídica. El equipo que integró, revisó y desplegó ese código es el responsable ante los marcos normativos. El problema se agrava porque los equipos con AI-TDA generan código a alta velocidad sin establecer quién revisó qué, cuándo y con qué criterio — trazabilidad cero.
Cómo establecer trazabilidad real en código generado por IA
El primer paso: tratar cada fragmento generado por IA como si viniera de un proveedor externo — revisión explícita, aprobación registrada y asociación a un requerimiento. En FAST Delivery, el Delivery Master firma la revisión de cada bloque de código, independientemente de si lo escribió un humano o un modelo. Las herramientas ayudan: commits con metadatos de origen, etiquetas en PRs que distingan código humano de asistido.
Qué dicen SOC 2, ISO 27001 y GDPR sobre código generado por IA
Ninguno prohíbe el uso de IA para escribir código. Pero todos exigen que los controles de acceso, integridad y trazabilidad se mantengan independientemente de cómo se produjo el software. SOC 2: el criterio CC8.1 exige revisión formal de cada cambio al sistema. ISO 27001: el control A.14.2 exige revisión de código y gestión de vulnerabilidades. GDPR: si el código procesa datos personales, debes demostrar medidas técnicas adecuadas. «Lo generó la IA» no es justificación válida.
«El código generado por IA hereda todas tus obligaciones de compliance — pero no hereda ninguno de tus controles. Eso tienes que construirlo tú.»
Un proceso de auditoría práctico para equipos ágiles
Cuatro pasos: (1) etiquetar cada PR con porcentaje estimado de código asistido por IA, (2) asignar un revisor humano con criterios de aceptación documentados, (3) ejecutar SAST antes del merge, (4) registrar evidencia de revisión en el sistema de tickets. En FAST Delivery, este proceso ocurre dentro de la semana de construcción — no como fase separada. El compliance no frena la velocidad cuando está diseñado desde el inicio — solo la frena cuando se añade después como parche.