Log in
Sign up
Brass precision caliper symbolizing ISO certification companies and audit accreditation rigor

Sections

Empresas de certificación ISO: la guía 2026 en la era de la IA

Calibre de latón como símbolo de las empresas de certificación ISO y el rigor de las auditorías acreditadas

Lo esencial

  • La ISO no certifica a nadie. Son entidades de certificación independientes las que auditan su sistema de gestión y emiten el certificado; los organismos de acreditación nacionales (ENAC en España, UKAS en el Reino Unido, ANAB en Estados Unidos, DAkkS en Alemania, RvA en los Países Bajos) supervisan a las entidades de certificación.
  • El mercado mundial de la certificación ISO gira en torno a una docena de grupos: BSI, SGS, Bureau Veritas, TUV, DNV, Intertek, LRQA, NQA, Schellman, Kiwa. Los cinco primeros concentran entre el 28 y el 32 por ciento de los ingresos; SGS y Bureau Veritas se llevan por sí solos cerca del 36 por ciento del volumen de certificados emitidos.
  • La norma ISO/IEC 42001 (sistemas de gestión de la inteligencia artificial) reordena la corta lista pertinente. Solo unos pocos organismos están hoy plenamente acreditados: BSI (UKAS, RvA, ANAB), Schellman (ANAB), DNV y NQA (UKAS, ANAB) encabezan el grupo.
  • El 1 de enero de 2026, IAF e ILAC se fusionaron en Global Accreditation Cooperation Incorporated (GAC). El régimen de reconocimiento multilateral (MLA) no cambia para el cliente final, pero la entidad jurídica que lo respalda sí.
  • El auditor principal importa más que la marca impresa en el certificado. Verifique su trayectoria sectorial (SaaS cloud-native, proveedores de IA, dispositivos médicos, finanzas reguladas) antes de firmar.

Qué significan realmente las « empresas de certificación ISO »

Detrás de la búsqueda empresas de certificación ISO se esconden tres públicos distintos. Unos quieren verificar el certificado de un proveedor. Otros buscan un organismo que les realice la auditoría. Un tercer grupo, más reducido, intenta cartografiar el ecosistema antes de decidir hacia qué norma orientarse. Esta guía se dirige a los dos últimos, porque ahí es donde se toman las decisiones estratégicas.

La ISO, con sede en Ginebra, es la Organización Internacional de Normalización. Publica las normas (ISO 9001 para calidad, ISO 14001 para medio ambiente, ISO 27001 para seguridad de la información, ISO/IEC 42001 para sistemas de gestión de IA), pero no certifica a nadie. La página oficial iso.org es inequívoca: la ISO no realiza certificaciones, no emite certificados y no autoriza a nadie a usar su logotipo en relación con certificaciones.

El acto de certificación lo realizan entidades externas, regidas por la norma de conformity assessment ISO/IEC 17021-1. Esas entidades, a su vez, están supervisadas por los organismos nacionales de acreditación, regulados por ISO/IEC 17011. Esta doble independencia es la que da peso al certificado ISO en licitaciones, auditorías de clientes y expedientes regulatorios.

El vocabulario figura ahora también en el derecho europeo de la IA. El Reglamento europeo de IA define un organismo de evaluación de la conformidad como « un organismo que desempeña actividades de evaluación de la conformidad por terceros, incluidos los ensayos, la certificación y la inspección » (artículo 3, punto 21) y la evaluación de la conformidad como « el proceso por el que se demuestra el cumplimiento de los requisitos establecidos en el capítulo III, sección 2 » (artículo 3, punto 20). Para los proveedores de sistemas de IA de alto riesgo, el vocabulario ISO se convierte en obligación legal.

La jerarquía de cuatro niveles: ISO, acreditadores, certificadores, certificados

La mayoría de las páginas que se posicionan en esta búsqueda saltan la estructura. Sin embargo, es ella la que dicta a quién hay que llamar.

Nivel 1: la ISO. Publica las normas. Posee las marcas. No certifica, no acredita.

Nivel 2: los organismos de acreditación. Uno por país, en términos generales. ENAC en España, UKAS en el Reino Unido, ANAB en Estados Unidos, DAkkS en Alemania, COFRAC en Francia, Accredia en Italia, RvA en los Países Bajos, IPAC en Portugal, JAS-ANZ en Australia y Nueva Zelanda, INMETRO en Brasil. Su misión: confirmar que una entidad de certificación opera conforme a ISO/IEC 17021-1 y es competente en un alcance concreto (por ejemplo, auditorías ISO 27001 en sector financiero o auditorías ISO/IEC 42001 en proveedores de IA generativa).

Nivel 3: las entidades de certificación. Son, en sentido estricto, las « empresas de certificación ISO ». BSI, SGS, Bureau Veritas, TUV SUD, TUV Rheinland, DNV, Intertek, LRQA, NQA, Schellman, Kiwa, más varios cientos de actores menores, especialistas sectoriales o geográficos. Envían al auditor, revisan su sistema de gestión y emiten el certificado.

Nivel 4: las organizaciones certificadas. Los clientes del nivel 3. La base iafcertsearch.org permite verificar que una empresa posea efectivamente un certificado concreto, emitido por una entidad concreta bajo una acreditación concreta. La herramienta indicada antes de creer en la página « Trust » de un proveedor.

IAF e ILAC, que históricamente gestionaban los acuerdos de reconocimiento mutuo que hacen que un certificado UKAS sea válido en Brasil y viceversa, se fusionaron el 1 de enero de 2026 en Global Accreditation Cooperation Incorporated (GAC). En la práctica, los certificados existentes no cambian, pero los contratos y pliegos posteriores a esa fecha deben mencionar la GAC.

Las principales empresas de certificación ISO en 2026

La siguiente lista aplica tres filtros: huella global de acreditación, amplitud de normas cubiertas y preparación para ISO/IEC 42001. Por entidad, indicamos el nombre, las normas de referencia, las acreditaciones y la razón práctica por la que una empresa la elige o descarta.

BSI Group

El organismo nacional británico de normalización y uno de los cinco mayores certificadores del mundo. Acreditaciones UKAS, RvA y ANAB: un certificado de BSI goza de reconocimiento inmediato en el Reino Unido, la Unión Europea y América del Norte. BSI fue la primera entidad de certificación del mundo acreditada por UKAS para ISO/IEC 42001, según su página dedicada. Para las organizaciones cuya hoja de ruta apila ISO 27001, ISO 27701 e ISO/IEC 42001, BSI es la opción de ventanilla única más limpia.

Grupo SGS

El ginebrino SGS es el mayor grupo mundial de testing, inspección y certificación por facturación, con cerca del 19 por ciento del volumen mundial de certificados ISO según los estudios sectoriales. Acreditaciones UKAS, ANAB, DAkkS, COFRAC, Accredia y decenas más. La elección segura para despliegues multinacionales en los que cada filial regional necesita un certificado local mutuamente reconocido.

Bureau Veritas

El referente francés frente a SGS, alrededor del 17 por ciento del volumen mundial. Fuerte arraigo en sectores industriales (energía, automoción, construcción, marítimo) y actividad creciente en la certificación de sistemas de gestión de las empresas digitales. Bureau Veritas dispone de una práctica dedicada al aseguramiento de IA y amplía su capacidad ISO/IEC 42001, aunque la acreditación regional sigue madurando.

TUV (TUV SUD, TUV Rheinland, TUV Nord)

Las tres entidades TUV son organizaciones hermanas que compiten entre sí. Dominan el espacio DACH (Alemania, Austria, Suiza) y están acreditadas por DAkkS, ANAB y otros. TUV SUD y TUV Rheinland son las más activas en aseguramiento de IA. La primera llamada para un cliente industrial o para una organización con fuerte necesidad de auditoría en alemán.

DNV

Fundación noruega de sólida reputación técnica, especialmente en marítimo, energía, sanidad y ciencias de la vida. DNV es un certificador de tercera parte acreditado para ISO/IEC 42001, según su página de servicio. Tiende a desplegar auditores con perfil de ingeniería más acentuado que la media del Top-1.

Intertek

Sede en Londres, amplia cobertura sectorial, fortaleza en bienes de consumo, electrónica y aseguramiento de la cadena de suministro. Acreditaciones UKAS, ANAB y numerosas acreditaciones regionales. Menos visible que BSI en la narrativa de IA, pero alternativa creíble para quienes ya utilizan Intertek para ensayos de producto.

LRQA

Antes Lloyd’s Register Quality Assurance. Acreditación UKAS, fuerte posicionamiento en marítimo, energía, seguridad alimentaria y cadena de suministro. Estilo de auditoría inclinado al rigor operativo más que a la gimnasia documental.

NQA

Entidad británica que pesa por encima de su tamaño en auditorías ISO 27001 del sector tech, y acreditada por UKAS y ANAB para ISO/IEC 42001 según su página dedicada. Aspirante creíble a BSI en una auditoría combinada ISO 27001 más 42001, a menudo a un precio sensiblemente inferior.

Schellman

Certificador estadounidense convertido en la primera entidad acreditada por ANAB para ISO/IEC 42001 en Estados Unidos, según la página de gobernanza de IA de Schellman. Para un proveedor de IA norteamericano es el punto de partida natural, gracias a esa posición pionera y porque la firma ya cubre SOC 2, HIPAA e ISO 27001 para el mismo perfil de cliente.

Kiwa NV

Entidad neerlandesa con sólida acreditación RvA y especialista en construcción, agricultura, energía y alimentación. Se incluye como alternativa continental creíble frente a las « Big Five » para las organizaciones que operan principalmente en Europa.

ISO/IEC 42001: la norma de IA que reordena el panorama

Publicada en diciembre de 2023, ISO/IEC 42001:2023 es la primera norma internacional de sistema de gestión dedicada a la inteligencia artificial. Al igual que ISO 27001 para la seguridad de la información, especifica las políticas, procesos, controles y ciclos de mejora continua que una organización debe implantar para gobernar sus sistemas de IA a lo largo de todo su ciclo de vida.

De 2024 a 2026 los organismos nacionales de acreditación han desplegado sus programas a distintos ritmos. UKAS, RvA y ANAB tomaron la delantera; DAkkS, COFRAC, Accredia y los demás recortan distancia. La página del programa ANAB ISO/IEC 42001 mantiene actualizada la lista estadounidense; el registro UKAS hace lo propio en el Reino Unido.

La dimensión europea también cuenta. CEN-CENELEC prepara las normas europeas armonizadas que abrirán la presunción de conformidad con el Reglamento de IA, incluidos los trabajos referenciados prEN 18228 y prEN 18282. Esos borradores son confidenciales mientras se elaboran, pero su existencia implica que toda entidad de certificación que invierta hoy en capacidad ISO/IEC 42001 está construyendo a la vez el equipo que mañana llevará a cabo las evaluaciones de conformidad del Reglamento.

La lectura práctica: en 2026 la corta lista para las organizaciones intensivas en IA es más breve de lo que sugiere la SERP genérica. Asegúrese de que el alcance de la acreditación menciona explícitamente ISO/IEC 42001, no solo « servicios de IA », antes de firmar. El registro de IAF CertSearch debe identificar la norma por su código.

Cómo elegir su entidad de certificación

Cinco criterios, en el orden en que los aplican los responsables de cumplimiento experimentados:

  1. Acreditación para la norma exacta, por un firmante MLA de la GAC. Pida el certificado de acreditación, no la página de marketing. Compruebe que la declaración de alcance incluye la norma requerida (por ejemplo ISO/IEC 42001:2023) y los códigos sectoriales que se corresponden con su actividad. Único criterio innegociable.
  2. El auditor, no la marca. Pregunte quién será el auditor principal asignado. Lea su perfil de LinkedIn. Busque experiencia sectorial, no solo años de auditoría. Una excelente auditoría puede salir de un certificador económico con un auditor estelar, y una decepcionante de un certificador premium con un auditor demasiado junior.
  3. Cobertura geográfica. Si opera en varias jurisdicciones, verifique que la entidad pueda auditar a sus filiales con el mismo alcance o disponga de acuerdos recíprocos bajo la MLA de la GAC. Un mosaico de certificados nacionales es un quebradero de cabeza para compras.
  4. Solapamiento con auditorías existentes. Si sus equipos ya realizan SOC 2, HIPAA, PCI DSS o ISO 27001 con un certificador, añadir ISO/IEC 42001 al mismo encargo suele suponer menos esfuerzo acumulado y una cadena de evidencias más limpia. Los certificadores multinorma (BSI, SGS, Bureau Veritas, NQA, Schellman) están diseñados para ello.
  5. Coste y plazos, al final. Una primera auditoría ISO 27001 para un SaaS de tamaño medio cuesta normalmente entre 15.000 y 40.000 dólares; una primera auditoría ISO/IEC 42001, entre 20.000 y 50.000 dólares, porque la norma es reciente y la oferta de auditores es escasa. Recertificación cada tres años, auditorías de seguimiento anuales entre medias.

Qué dice el Reglamento de IA sobre la evaluación de la conformidad

El Reglamento europeo de IA incorpora el vocabulario ISO de la evaluación de la conformidad al derecho europeo vinculante. Tres definiciones encuadran cualquier decisión sobre entidad de certificación en 2026.

El artículo 3, punto 20 define la evaluación de la conformidad como « el proceso por el que se demuestra el cumplimiento de los requisitos establecidos en el capítulo III, sección 2 » (artificialintelligenceact.eu/article/3/).

El artículo 3, punto 21 define el organismo de evaluación de la conformidad como « un organismo que desempeña actividades de evaluación de la conformidad por terceros, incluidos los ensayos, la certificación y la inspección ». Cuando estén notificados al amparo del Reglamento de IA, esos organismos evaluarán los sistemas de IA de alto riesgo antes de su introducción en el mercado de la Unión.

El artículo 3, punto 24 define el marcado CE como « un marcado por el que un proveedor indica que un sistema de IA es conforme con los requisitos establecidos en el capítulo III, sección 2, y con otras disposiciones del derecho de la Unión aplicables ».

Los organismos notificados al amparo del Reglamento de IA no son la misma persona jurídica que las entidades de certificación ISO, pero las competencias de auditoría, la metodología y, a menudo, el grupo propietario se solapan en gran medida. BSI, TUV SUD, Bureau Veritas, DNV y SGS ya disponen de ramas de organismo notificado en otros ámbitos de marcado CE y se posicionan para la notificación bajo el Reglamento de IA. Elegir un certificador que combine acreditación ISO/IEC 42001 y candidatura a organismo notificado del Reglamento de IA equivale a comprar opcionalidad: una sola relación de auditoría, dos regímenes regulatorios.

Dónde encaja AI Sigil en su camino de certificación

AI Sigil no es una entidad de certificación. Es la plataforma de gobernanza que se utiliza antes de la llegada del auditor. Nuestros clientes inventarían en ella cada sistema de IA de la organización, lo mapean con los controles que exigen ISO/IEC 42001, NIST AI RMF y el Reglamento de IA, adjuntan evidencias a cada control y generan el informe listo para auditoría que la entidad de certificación examinará.

Efecto práctico: una auditoría que de otro modo requeriría 8 a 12 semanas de recopilación de evidencias se reduce a la auditoría propiamente dicha, porque cada artefacto ya está estructurado del modo en que esperan los auditores ISO/IEC 17021-1. Nuestros clientes eligen su certificador de la lista anterior en función de acreditación y encaje sectorial, y llegan al encargo con inventario de IA, registro de riesgos, mapeo de controles y biblioteca de evidencias ya exportables.

La plataforma se detiene deliberadamente antes del papel del auditor. Precisamente la independencia entre la organización auditada, la herramienta de gobernanza y la entidad de certificación es lo que da valor al certificado aguas abajo.

Preguntas frecuentes

¿Certifica la propia ISO a las empresas? No. La ISO publica las normas pero no realiza certificaciones ni emite certificados. Las entidades de certificación independientes, supervisadas por los organismos nacionales de acreditación, llevan a cabo las auditorías y otorgan los certificados. La ISO lo declara de forma explícita en su propia página de certificación.

¿Qué diferencia hay entre acreditación y certificación? La certificación es el aseguramiento por terceros de que el sistema de gestión de una organización cumple una norma ISO concreta. La acreditación es el reconocimiento formal de que la entidad emisora del certificado es a su vez competente e imparcial. Un certificado ISO emitido por una entidad no acreditada es técnicamente válido, pero pesa poco en licitaciones y expedientes regulatorios.

¿Cuál es la mayor entidad de certificación ISO? Por volumen de certificados emitidos, SGS encabeza con cerca del 19 por ciento del mercado mundial, seguida de Bureau Veritas con un 17 por ciento aproximadamente. Por facturación, los cinco primeros (SGS, Bureau Veritas, Intertek, TUV SUD, BSI) suman entre el 28 y el 32 por ciento del mercado mundial de servicios de certificación ISO.

¿Cuánto cuesta una certificación ISO? Primera auditoría ISO 27001 para un SaaS de tamaño medio: entre 15.000 y 40.000 dólares estadounidenses, con auditorías de seguimiento anuales y recertificación cada tres años. Primera auditoría ISO/IEC 42001: entre 20.000 y 50.000 dólares en función del alcance, la geografía y la antigüedad del auditor. Una auditoría combinada multinorma (por ejemplo ISO 27001 más ISO 27701 más ISO/IEC 42001) en el mismo certificador reduce el coste por norma entre un 15 y un 30 por ciento.

¿Puede la misma entidad certificarme en ISO 27001 e ISO/IEC 42001? Sí, siempre que disponga de acreditación para ambas. BSI, NQA, Schellman, DNV y varios de los grandes certificadores cuentan con acreditación para las dos. Un encargo combinado suele ser más rápido y más económico que dos encargos separados, porque la base de evidencias se solapa de forma sustancial.

¿Quién sustituye a la IAF en 2026? El International Accreditation Forum (IAF) y la International Laboratory Accreditation Cooperation (ILAC) se fusionaron en Global Accreditation Cooperation Incorporated (GAC) el 1 de enero de 2026. Los acuerdos de reconocimiento multilateral (antes IAF MLA e ILAC MRA) operan ahora bajo la GAC. Los certificados existentes siguen siendo válidos y el reconocimiento mutuo continúa sin cambios para el cliente final.

Conclusión

La búsqueda empresas de certificación ISO esconde tres recorridos de compra distintos, pero la respuesta converge en la misma corta lista. Elija una entidad acreditada por un firmante MLA de la GAC para la norma exacta que necesita, ajuste la experiencia sectorial del auditor principal asignado a su realidad técnica y verifique que la entidad disponga hoy de acreditación ISO/IEC 42001 o de una hoja de ruta creíble para conseguirla. El mercado es amplio, pero la corta lista pertinente para los compradores de la era de la IA es estrecha: BSI, SGS, Bureau Veritas, TUV SUD, DNV, Intertek, LRQA, NQA, Schellman y Kiwa cubren cerca del 95 por ciento de la demanda que merece ser analizada. AI Sigil interviene un paso antes en el recorrido, convirtiendo su inventario de IA en el dossier de evidencias que cualquiera de esos auditores querrá ver el primer día.

Elena Vargas

El principal riesgo de los modelos de IA generativa, explicado

La alucinación es el riesgo más material de los modelos de IA generativa. Mapee los 12 riesgos NIST a los artículos del Reglamento UE y goviérnelos con controles eficaces.

Empresas de certificación ISO: la guía 2026 en la era de la IA

Comparativa de las principales empresas de certificación ISO en 2026, quién está acreditado en ISO/IEC 42001 para sistemas de gestión de IA y cómo elegir auditor.

ISO 42001 explicada: la primera norma certificable para un sistema de gestión de la IA

ISO/IEC 42001 es la primera norma certificable para un sistema de gestión de la IA. Capítulos, controles del Anexo A, certificación y brecha con el Reglamento de IA.

Cumplimiento y gobernanza: el sistema operativo de la era IA

Cumplimiento y gobernanza son un modelo operativo, no dos ámbitos. NIST CSF 2.0, OCEG y el Reglamento de IA los reconectan.

NIST AI Risk Management Framework: guía operativa para equipos de gobernanza de IA

Cómo integrar el NIST AI Risk Management Framework en un programa de cumplimiento del Reglamento de IA e ISO 42001, función por función, con un bucle operativo verificable.

El riesgo principal de la IA generativa: por qué las alucinaciones dominan a cualquier otra falla

El riesgo dominante de la IA generativa no es el sesgo ni la propiedad intelectual. Es la alucinación. Aquí está la prueba y el plan para los desplegantes.