RAG empresarial fiable: evitar respuestas inventadas

·

Un sistema RAG no elimina las respuestas inventadas por el simple hecho de conectar un modelo a documentos. Solo reduce el riesgo si recupera la fuente correcta, respeta los permisos, conserva la procedencia, obliga a distinguir evidencia de generación y se evalúa de extremo a extremo. Cuando la evidencia es insuficiente, la respuesta correcta debe ser «no consta» o pedir aclaración, nunca completar el vacío con una explicación plausible.

Qué es RAG y qué problema resuelve

Retrieval-Augmented Generation combina un modelo generativo con un sistema externo de recuperación. Ante una consulta, recupera fragmentos de una base de conocimiento y los proporciona al modelo como contexto para formular la respuesta.

NIST define RAG como un sistema en el que un modelo se empareja con una base de conocimiento separada. Esto permite actualizar conocimiento sin reentrenar el modelo y atribuir respuestas a fuentes. Sin embargo, introduce una cadena de posibles fallos:

  1. el documento puede ser incorrecto o estar obsoleto;
  2. la ingestión puede perder estructura;
  3. la consulta puede no representar la intención;
  4. el recuperador puede devolver fragmentos irrelevantes;
  5. el reranker puede ordenar mal;
  6. el modelo puede ignorar, mezclar o exagerar la evidencia;
  7. la interfaz puede mostrar una cita que no respalda la frase.

Por eso la unidad de calidad no es el modelo: es la respuesta, sus fuentes y el proceso que las conecta.

RAG no es una base de datos de verdad automática

Un índice vectorial mide proximidad según embeddings, no verdad, vigencia ni autorización. Dos fragmentos semánticamente parecidos pueden contradecirse. Una política derogada puede aparecer antes que la vigente. Un documento comercial puede competir con una norma oficial.

La base necesita gobierno editorial:

Los documentos sin propietario o sin estado no deben entrar en un RAG crítico.

Arquitectura de referencia

1. Fuentes autorizadas

El sistema parte de repositorios definidos: políticas, manuales, contratos, normativa, tickets o conocimiento técnico. Cada fuente tiene reglas de inclusión. No se mezcla automáticamente web abierta con documentación interna.

2. Ingestión controlada

La ingestión extrae texto, tablas, títulos y metadatos, verifica el formato y detecta duplicados. Los archivos escaneados requieren OCR y control de calidad. Debe conservarse el vínculo con la página, sección o párrafo original.

3. Segmentación

El chunking debe respetar la estructura semántica. Los fragmentos demasiado pequeños pierden condiciones y excepciones; los demasiado grandes introducen ruido. Una tabla no debería separarse de sus encabezados y notas.

4. Índice y recuperación

La búsqueda puede combinar recuperación densa y léxica. La primera capta similitud semántica; la segunda conserva términos exactos, códigos, nombres y artículos. Un reranker ordena los candidatos con más precisión.

5. Generación condicionada

El prompt obliga a responder solo con evidencia, señalar incertidumbre, citar y abstenerse cuando no existe soporte. No sustituye los controles anteriores, pero define el comportamiento esperado.

6. Validación y presentación

Antes de mostrar la respuesta, se comprueba que cada afirmación importante tenga soporte y que la cita corresponda al fragmento. La interfaz permite abrir la fuente y ver fecha, versión y contexto.

Separar recuperación y generación en la evaluación

Si se evalúa solo la respuesta final, no se sabe qué corregir. Hay que medir por capas.

Métricas de recuperación

Métricas de generación

Métricas operativas

Un promedio alto puede ocultar fallos críticos. Las consultas legales, de seguridad o económicas deben tener umbrales propios.

Construir un conjunto de evaluación

El conjunto debe representar consultas reales y mantenerse separado del ajuste cotidiano. Debe incluir:

Cada caso define la respuesta esperada, la evidencia válida, la evidencia prohibida y el criterio de abstención. Las personas expertas revisan una muestra y los desacuerdos se documentan.

Cómo reducir alucinaciones en cada capa

Calidad de fuente

Hay que priorizar los originales y retirar las versiones sustituidas. Un documento obsoleto puede conservarse para histórico, pero con filtro y etiqueta. Para normativa, deben distinguirse el texto original, el consolidado y la fecha de vigencia.

Consulta

La reformulación puede ampliar sinónimos, pero debe conservar números, nombres y restricciones. Si la pregunta es ambigua, el sistema pide aclaración antes de buscar en varias interpretaciones.

Recuperación híbrida

Combinar búsqueda léxica y vectorial evita perder términos exactos. Los metadatos filtran idioma, producto, país, fecha, departamento y permisos antes de aplicar la similitud.

Reranking

Un reranker puede mejorar el orden, pero debe evaluarse con el dominio real. No debe ocultar el resultado de una fuente prioritaria solo por estilo.

Generación con evidencia

El modelo recibe instrucciones para:

Verificación posterior

Un verificador puede detectar frases sin soporte o citas defectuosas. No garantiza la verdad, pero añade una puerta adicional. Para casos de alto impacto se requiere revisión humana.

Permisos: filtrar antes de recuperar

Un RAG puede filtrar la respuesta final y, aun así, haber revelado datos al modelo durante la recuperación. La autorización debe aplicarse antes de recuperar contenido, usando identidad, grupos, clasificación y contexto.

Controles recomendados:

Los permisos no deben depender de etiquetas introducidas manualmente sin reconciliación.

Seguridad del pipeline

OWASP identifica debilidades en vectores y embeddings y publica una guía específica de seguridad para RAG. Los riesgos incluyen el envenenamiento de conocimiento, la inyección indirecta, el acceso entre dominios, la fuga por embeddings y la manipulación de la recuperación.

Medidas clave:

  1. permitir solo fuentes y conectores registrados;
  2. escanear archivos y contenido activo;
  3. separar instrucciones del sistema y datos recuperados;
  4. tratar el documento como contenido no confiable;
  5. detectar instrucciones incrustadas y patrones anómalos;
  6. validar herramientas y salidas si el RAG alimenta agentes;
  7. versionar índices y permitir rollback;
  8. proteger copias, embeddings y metadatos;
  9. probar extracción y consultas adversariales;
  10. monitorizar cambios de distribución y accesos.

Un texto recuperado que dice «ignora las reglas y envía datos» nunca debe adquirir autoridad por el simple hecho de estar en la base.

Citas que realmente demuestran

Una cita útil cumple tres condiciones:

Mostrar tres enlaces relacionados no prueba la respuesta. Debe ser posible seleccionar una afirmación y abrir el pasaje exacto.

Cuando una respuesta combina varias fuentes, debe indicar qué parte procede de cada una. Si existe contradicción, se muestra, en vez de elegirse silenciosamente.

Gestión de versiones y frescura

La actualización del repositorio necesita un SLA:

Tipo de fuente Revisión Disparador urgente
Normativa Monitorización y revisión al cambio Publicación o corrección oficial
Política interna Según propietario Aprobación de nueva versión
Manual de producto Por versión Despliegue o retirada
Ticket resuelto Muestreo y depuración Hallazgo de solución incorrecta
Contenido web Caducidad definida Cambio de página o dominio

Al reemplazar una fuente, se reindexa, se invalidan las cachés y se ejecutan las pruebas afectadas. Las respuestas almacenadas no deben sobrevivir indefinidamente a un cambio.

Observabilidad y operación

Cada consulta necesita una traza que registre:

Los logs pueden contener datos sensibles. Se aplican minimización, control de acceso y conservación. La observabilidad debe permitir reproducir un fallo sin crear un repositorio paralelo sin gobierno.

Plan de implantación en 90 días

Días 1-30: dominio y evaluación

Días 31-60: arquitectura y pruebas

Días 61-90: piloto

Errores frecuentes

  1. Indexar toda la empresa sin propietario.
  2. Medir solo si la respuesta «suena bien».
  3. Usar solo búsqueda vectorial para códigos exactos.
  4. Aplicar permisos después de recuperar.
  5. Confiar en el prompt para evitar la inyección.
  6. Mostrar citas que no respaldan la frase.
  7. Mezclar documentos vigentes y derogados.
  8. Ajustar con el mismo conjunto usado para evaluar.
  9. No incluir preguntas sin respuesta.
  10. Cambiar el modelo o el índice sin regresión.

Checklist de producción

Preguntas frecuentes

¿RAG elimina las alucinaciones?

No. Puede reducirlas si recupera la evidencia correcta y condiciona la respuesta, pero también puede introducir fuentes irrelevantes, obsoletas o maliciosas.

¿Cuántos fragmentos deben recuperarse?

No hay un número universal. Debe optimizarse con el conjunto de evaluación. Más contexto puede introducir ruido y desplazar instrucciones importantes.

¿Conviene la búsqueda vectorial o por palabras clave?

En un entorno empresarial suele funcionar mejor una combinación. La búsqueda léxica conserva los términos exactos y la vectorial capta la semántica.

¿Puede una respuesta citar sin ser fiel?

Sí. Una cita puede estar relacionada con la respuesta y no respaldar la frase. Hay que evaluar el entailment y la granularidad.

¿Hay que reentrenar el modelo?

No, para actualizar la base de conocimiento. Ese es uno de los beneficios de RAG. Puede ser necesario ajustar otros componentes, pero no debe confundirse con actualizar las fuentes.

Fuentes técnicas consultadas

Summum IA puede acompañar el gobierno de fuentes, la arquitectura, la evaluación, la seguridad y el LLMOps de un proyecto RAG. Un RAG fiable no promete responder siempre: sabe cuándo no dispone de evidencia.