El primer Magic Quadrant de AI Governance: qué mide Gartner y dónde queda la evidencia verificable
Julio 2026
El primer Magic Quadrant de AI Governance:
qué mide Gartner y dónde queda
la evidencia verificable.
En junio de 2026, Gartner publicó su primer Magic Quadrant for AI Governance Platforms, evaluando 13 soluciones. El informe valida una categoría que lleva años consolidándose. También, sin proponérselo, delimita con claridad lo que esas plataformas no hacen: generar evidencia externamente verificable.
Gartner Magic Quadrant for AI Governance Platforms · Junio 2026 · 13 vendors evaluados
Líderes
IBM
ServiceNow
Truyo
Challengers
Ganzheitliche KI
Visionarios
OneTrust
ModelOp
Airia
Credo AI
Monitaur
Niche Players
SAP
Reliance AI
Cranium AI
Saidot
Fuente: Gartner, Magic Quadrant for AI Governance Platforms, junio 2026. Gartner no respalda a ningún proveedor, producto o servicio representado en sus publicaciones.
01 · La validación de una categoría
Un primer cuadrante que confirma lo que el mercado ya sabía.
La publicación del primer Magic Quadrant for AI Governance Platforms por parte de Gartner en junio de 2026 tiene un significado doble. Por un lado, confirma que la gobernanza de IA ha alcanzado suficiente madurez como para justificar una categoría analítica propia. Por otro, establece qué funcionalidades definen esa categoría — y, por exclusión, cuáles quedan fuera de su alcance.
Los 13 vendors evaluados comparten una característica estructural: son plataformas de gestión interna. Gestionan inventarios de modelos de IA, workflows de evaluación de riesgos, políticas, documentación técnica, aprobaciones y dashboards de cumplimiento. Todo ello ocurre dentro del entorno del proveedor o del cliente, bajo control del sistema que genera los registros.
Esta arquitectura responde correctamente a un problema real: las organizaciones que despliegan sistemas de IA necesitan estructuras de gobierno que hagan visibles los riesgos, tracen decisiones y documenten controles. El cuadrante identifica quién hace esto mejor.
Lo que no mide — porque no es su objeto — es si esos registros de gobernanza pueden ser verificados de forma independiente por un tercero externo al sistema que los generó.
02 · Qué evalúa el MQ
Ability to Execute y Completeness of Vision: dentro del perímetro.
Los dos ejes del Magic Quadrant — Capacidad de Ejecución y Completitud de Visión — se aplican, en este cuadrante, a capacidades de gestión: calidad del producto, viabilidad comercial, ejecución de ventas, experiencia del cliente, dirección estratégica y operaciones.
Aplicados a AI Governance Platforms, estos criterios evalúan si la plataforma permite documentar modelos, gestionar riesgos, definir políticas, registrar aprobaciones y monitorizar sistemas de IA a lo largo de su ciclo de vida. Es decir: si la gobernanza ocurre dentro del sistema, de forma organizada, trazable y gestionable.
El cuadrante no evalúa si los registros producidos por esas plataformas pueden ser verificados externamente sin acceder al sistema que los generó, ni si esa evidencia podría sostenerse ante una autoridad regulatoria, un auditor independiente o un tribunal sin depender de la disponibilidad del proveedor.
Esta limitación no es una crítica al cuadrante — es una consecuencia natural de su alcance. Gartner evalúa plataformas de gestión. La verificabilidad externa de los registros que esas plataformas generan es una capa diferente del problema.
03 · La brecha estructural
Gobierno interno y evidencia externa son cosas distintas.
Cuando una plataforma GRC registra que un modelo fue aprobado, que una evaluación de riesgo se completó, que una versión fue activada o que un humano intervino en una decisión, ese registro vive dentro del sistema. Es producido por la misma infraestructura que gestiona la gobernanza del activo auditado.
Esta arquitectura es adecuada para la gestión operativa. Pero presenta una limitación cuando la evidencia debe presentarse fuera del entorno corporativo: ante una autoridad de control, en un procedimiento judicial, en una auditoría de terceros o en un proceso de due diligence regulatorio.
En ese contexto, el log interno de una plataforma GRC comparte la misma fragilidad estructural que cualquier registro bajo control del emisor: puede haber sido modificado por un administrador, requiere que el sistema esté operativo para ser consultado, exige confiar en la integridad técnica del proveedor y no puede verificarse sin acceder al entorno que lo generó.
La pregunta relevante para un CISO o un equipo legal no es solo "¿está documentado?", sino "¿puede demostrarse, de forma técnicamente verificable y sin depender del sistema interno, que este control existió, en esta versión, en este momento, con esta intervención humana?"
Esta distinción tiene implicaciones regulatorias directas. El artículo 12 del EU AI Act exige capacidades de logging en sistemas de alto riesgo; el artículo 14 exige evidencia de supervisión humana adecuada; el artículo 5.2 del RGPD establece el principio de responsabilidad proactiva. Cuando estas exigencias se materializan ante una autoridad de control, la pregunta no es si existe un dashboard interno — sino si puede acreditarse, con evidencia técnica externa, que el control fue real.
04 · La capa que el cuadrante no contempla
Infraestructura probatoria: evidencia que puede comprobarse sin acceder al sistema.
V-PROOF opera en una categoría técnica y regulatoria que el Magic Quadrant for AI Governance Platforms no evalúa: infraestructura probatoria con evidencia externamente verificable.
Cuando una organización registra un evento mediante V-PROOF — una aprobación, una versión de modelo, una intervención humana, un cambio de política — el sistema calcula una huella criptográfica del activo, vincula metadatos de contexto e identidad, registra la secuencia de modificaciones y ancla una referencia en un registro externo. El resultado puede ser verificado técnicamente por cualquier auditor, autoridad o perito sin necesidad de acceder al sistema de la organización ni al propio V-PROOF.
Esta diferencia no es de grado — es de naturaleza. Una plataforma GRC gestiona gobernanza. Una capa probatoria genera evidencia de que esa gobernanza ocurrió, en condiciones verificables desde el exterior.
Plataforma GRC · Lo que gestiona
Inventario de modelos de IA
Evaluaciones de riesgo y políticas
Workflows de aprobación internos
Documentación técnica y versiones
Monitorización y alertas
Dashboards de cumplimiento
V-PROOF Trust Layer · Lo que acredita
Huella criptográfica de cada versión del activo
Secuencia verificable de modificaciones
Intervenciones humanas declaradas con identidad y rol
Referencia temporal en registro externo
Verificación independiente sin acceso al sistema
Evidencia sostenible ante auditoría externa
Para una organización que ya utiliza una plataforma del MQ — OneTrust, IBM OpenScale, Credo AI u otra — V-PROOF no reemplaza su sistema de gobernanza. Lo hace externamente verificable. La plataforma GRC sigue gestionando los procesos; V-PROOF registra la evidencia de que esos procesos ocurrieron en condiciones que pueden comprobarse desde fuera.
05 · Posicionamiento en el mercado
Dos capas distintas. Un problema común.
Si Gartner evaluara una categoría de infraestructura probatoria para AI governance — es decir, la capacidad de generar evidencia de gobernanza externamente verificable — los criterios de evaluación serían diferentes: integridad criptográfica de los registros, arquitectura de minimización de datos, verificabilidad sin dependencia del proveedor, soberanía jurisdiccional, compatibilidad con eIDAS, EU AI Act y RGPD, y cadena de custodia sostenible ante autoridades.
V-PROOF se concibe específicamente para esa capa. No compite en el cuadrante de gestión interna — ocupa una posición técnica y regulatoria que el MQ no mide porque no es su objeto.
La aparición del primer MQ de AI Governance Platforms es, para el mercado, una señal de madurez. Las organizaciones que aún no tienen una plataforma de gobernanza estructurada deberían considerarlo. Pero independientemente de qué plataforma elijan, deberían hacerse una pregunta que el cuadrante no responde:
Lo que el MQ responde
¿Qué plataforma gestiona mejor los procesos de gobernanza de IA internamente?
Lo que el MQ no responde
¿Son esos registros de gobernanza externamente verificables sin acceder al sistema que los generó?
Lo que el MQ responde
¿Cuál es la capacidad del proveedor para ejecutar y evolucionar su visión de producto?
Lo que el MQ no responde
¿Puede acreditarse ante una autoridad regulatoria que la supervisión humana fue real, documentada y verificable?
06 · El mapa que Gartner no dibuja
Dónde actúa cada categoría. Dos cuadrantes que no se solapan.
Si se representan las categorías de soluciones de AI governance en dos ejes — gobernanza interna versus verificabilidad externa independiente, y gestión de procesos versus evidencia criptográfica — los 13 vendors del Magic Quadrant y V-PROOF aparecen en cuadrantes distintos. No compiten por el mismo espacio. Responden a problemas complementarios dentro del mismo ecosistema regulatorio.
Representación analítica elaborada por V-PROOF con fines ilustrativos de posicionamiento funcional. La posición de los vendors del MQ refleja su orientación funcional general según documentación pública disponible, y no constituye una valoración de sus capacidades específicas ni una comparativa de producto. La posición de V-PROOF en el cuadrante superior derecho refleja su categoría como infraestructura probatoria con evidencia externamente verificable. Gartner® y Magic Quadrant™ son marcas registradas de Gartner, Inc.; Gartner no ha revisado ni respalda este diagrama. Las marcas de los vendors pertenecen a sus respectivos propietarios.
La ausencia de V-PROOF en el Magic Quadrant no refleja una debilidad competitiva: refleja que opera en una categoría diferente. Las plataformas del cuadrante gestionan procesos de gobernanza internamente. V-PROOF genera la evidencia de que esos procesos ocurrieron — en condiciones verificables desde el exterior, sin depender del sistema que los produjo.
07 · Implicaciones para CISOs y equipos legales
La gobernanza es necesaria. La evidencia verificable es lo que la acredita.
El EU AI Act, en sus artículos 9, 12 y 14, establece obligaciones de gestión de riesgos, logging y supervisión humana para sistemas de alto riesgo. Estas obligaciones no se satisfacen únicamente con la existencia de un proceso interno — requieren que ese proceso pueda demostrarse ante la autoridad de control competente.
Para un CISO, la pregunta operativa es: si mañana la AEPD, la autoridad de supervisión de IA o un auditor externo solicita evidencia de que determinado sistema fue supervisado, de que la versión en producción en una fecha concreta fue la aprobada, o de que la intervención humana documentada fue real — ¿qué podemos presentar?
Para un equipo legal, la pregunta es análoga: si esa evidencia debe aportarse en un procedimiento, ¿puede verificarse técnicamente sin acceder al sistema interno del cliente, y sin depender de que el proveedor de la plataforma GRC continúe operativo y colabore?
Una plataforma GRC del Magic Quadrant gestiona la gobernanza. V-PROOF genera la evidencia de que esa gobernanza ocurrió — en condiciones criptográficamente verificables, externamente comprobables y estructuralmente independientes del sistema que la produjo.
Ambas capas son necesarias. El cuadrante mide una. La otra permanece, de momento, fuera del alcance de cualquier evaluación analítica publicada.
Evalúe la arquitectura de evidencia de su gobernanza de IA.
El Diagnóstico Estratégico identifica qué controles deben poder acreditarse externamente y define una arquitectura probatoria proporcional al riesgo regulatorio de su organización.
Este artículo analiza el Gartner Magic Quadrant for AI Governance Platforms (junio 2026) desde una perspectiva de posicionamiento técnico y regulatorio. No constituye asesoramiento jurídico ni de inversión. La mención de vendors incluidos en el cuadrante es descriptiva y no implica valoración negativa de sus productos ni de su idoneidad para ningún caso de uso concreto. V-PROOF no ha sido evaluado por Gartner en este informe. Gartner® y Magic Quadrant™ son marcas registradas de Gartner, Inc. y/o sus filiales. Gartner no respalda a ningún proveedor, producto o servicio representado en sus publicaciones.
