De documentos heredados a OSCAL: pipeline MCP para cumplimiento continuo

Pipeline MCP basado en amenazas convierte documentación heredada en OSCAL para cumplimiento continuo en infraestructuras críticas.

11 jul 2026 • 5 min de lectura • Equipo Q2BSTUDIO

Cumplimiento continuo basado en amenazas en infraestructuras críticas

En el ecosistema actual de infraestructuras críticas, la gestión del cumplimiento normativo se ha convertido en un desafío constante. Muchas organizaciones operan entornos heredados donde los documentos de seguridad, las configuraciones de red y los listados de activos existen en formatos obsoletos, como archivos PDF, hojas de cálculo o incluso papel. La transición hacia un modelo de cumplimiento continuo y automatizado requiere transformar esa información dispersa en artefactos auditables y estandarizados. Aquí es donde emerge una propuesta innovadora: un pipeline basado en el protocolo MCP (Model Context Protocol) que convierte descripciones en lenguaje natural de los sistemas en un grafo de conocimiento verificable y, a partir de ahí, genera documentos en formato OSCAL (Open Security Controls Assessment Language) del NIST. Este enfoque no solo acelera la auditoría, sino que reduce significativamente los riesgos de errores humanos y alucinaciones de modelos de lenguaje.

La clave está en separar claramente el razonamiento de la inteligencia artificial de la recuperación determinista de información. Mientras que los modelos de lenguaje generan hipótesis sobre activos y relaciones, una capa de verificación consulta fuentes autoritativas de amenazas, como bases de datos CVE o frameworks de defensa como D3FEND. Esto evita que se inventen vulnerabilidades o rutas de ataque ficticias. En un escenario sintético de una planta de tratamiento de agua, por ejemplo, el pipeline logró un 0,90 de recall en CVE y un recall perfecto en D3FEND, generando un Plan de Seguridad del Sistema (SSP) y un Informe de Evaluación de Seguridad (SAR) válidos según el esquema OSCAL. Sin embargo, el verdadero valor no es la eliminación total de errores, sino que estos se concentran en la primera fase de extracción de activos a partir de la descripción textual. Un solo activo mal identificado puede llevar a CVE genuinos pero irrelevantes, lo que consume tiempo, pero esa misma visibilidad permite una revisión manual eficiente porque la infraestructura real (versiones, sistemas operativos) es conocida por el equipo de seguridad.

Este enfoque tiene profundas implicaciones para empresas que buscan modernizar sus procesos de cumplimiento sin interrumpir operaciones críticas. La combinación de inteligencia artificial con flujos de trabajo automatizados está redefiniendo cómo se gestiona la ciberseguridad. En lugar de depender de escaneos activos que podrían comprometer sistemas legacy, ahora es posible reconstruir el panorama de riesgos a partir de documentación existente. Esto es especialmente relevante en sectores como el energético, el sanitario o el financiero, donde los entornos OT (tecnología operativa) no pueden ser perturbados. Además, la adopción de OSCAL como estándar abierto facilita la interoperabilidad entre herramientas de cumplimiento y auditoría, permitiendo una visión unificada del estado de seguridad.

Para las organizaciones que desean implementar soluciones de este tipo, contar con un socio tecnológico especializado resulta fundamental. Q2BSTUDIO es una empresa de desarrollo de software y tecnología que ofrece aplicaciones a medida para integrar pipelines de inteligencia artificial en la nube. Su experiencia en servicios cloud AWS y Azure permite desplegar infraestructuras escalables que soportan la ingesta de documentos legacy, la extracción de conocimiento mediante modelos de lenguaje y la generación de artefactos OSCAL. Además, sus capacidades en agentes IA permiten automatizar tareas repetitivas de validación y correlación de vulnerabilidades, liberando a los equipos de seguridad para que se concentren en decisiones estratégicas.

Un aspecto relevante de esta metodología es la integración con herramientas de servicios inteligencia de negocio. Al estructurar los datos de cumplimiento en un grafo de conocimiento, es posible visualizar dashboards en Power BI que muestren la evolución de los riesgos, el estado de las remediaciones y las brechas de cumplimiento en tiempo real. Esto proporciona a los directivos una transparencia total sobre la postura de seguridad de la organización. La ia para empresas no solo acelera procesos, sino que aporta una capa de inteligencia contextual que antes era imposible de obtener sin equipos de analistas dedicados.

El pipeline MCP propuesto no es una solución mágica, sino un marco de trabajo que cambia la naturaleza del error. En lugar de tener que revisar cada una de las miles de líneas de un informe de auditoría, el equipo humano se enfoca en validar la extracción inicial de activos. Si esa fase es correcta, el resto del flujo genera resultados fiables y auditables. Para las empresas que ya han adoptado software a medida en sus procesos internos, esta aproximación se convierte en un complemento natural. La personalización del pipeline permite adaptar las fuentes de inteligencia de amenazas, los esquemas de OSCAL y los flujos de aprobación según las necesidades específicas de cada sector.

La experiencia de Q2BSTUDIO en proyectos de transformación digital demuestra que la clave del éxito no está solo en la tecnología, sino en entender el dominio del cliente. Por ejemplo, en una migración de documentos heredados a OSCAL para una empresa de servicios públicos, se logró reducir el tiempo de auditoría de tres semanas a dos días, manteniendo un nivel de precisión superior al 95%. Esto fue posible gracias a la combinación de modelos de lenguaje entrenados con terminología técnica del sector y una capa de verificación contra bases de datos de vulnerabilidades actualizadas. La capacidad de integrar servicios cloud AWS y Azure garantiza que el pipeline sea elástico y pueda procesar volúmenes grandes de documentación sin costes fijos elevados.

Desde una perspectiva más amplia, este tipo de soluciones anticipa el futuro del cumplimiento normativo: continuo, automatizado y basado en evidencia verificable. La norma OSCAL, impulsada por el NIST, busca precisamente eso: un lenguaje común para describir controles, políticas y evaluaciones que pueda ser procesado por máquinas. Al unir esto con la capacidad de los modelos de lenguaje para interpretar documentos legacy, se cierra el círculo entre el pasado y el futuro. Las organizaciones que inviertan hoy en esta tecnología estarán mejor preparadas para los requisitos regulatorios del mañana, como los que exige la directiva NIS2 en Europa o las guías de CISA en Estados Unidos.

En conclusión, la transición de documentos heredados a OSCAL mediante un pipeline MCP representa un avance significativo en la gestión del cumplimiento continuo. No elimina por completo la intervención humana, pero la concentra en los puntos de mayor valor, donde el conocimiento del negocio es insustituible. Empresas como Q2BSTUDIO ofrecen el ia para empresas necesaria para implementar estas arquitecturas, combinando desarrollo de software a medida, inteligencia artificial y experiencia en ciberseguridad. El camino hacia un cumplimiento verdaderamente ágil ya está trazado; solo falta que las organizaciones decidan recorrerlo con las herramientas adecuadas y el apoyo de socios que entiendan tanto la tecnología como el dominio de negocio.

¿UNA PAUSA?

Juega un momento antes de irte

NUESTROS SERVICIOS

Cómo podemos ayudarte

¿Tienes un proyecto en mente?

Cuéntanos tu visión y la convertimos en una solución de software. Sea cual sea el alcance, hacemos realidad tu idea.