Esencia de Marketing

El verdadero riesgo de la IA en la empresa es no gobernarla

 

La Inteligencia Artificial ya forma parte de la operativa diaria de la mayoría de las empresas. Está presente en herramientas de productividad, CRM, ERP, recursos humanos, marketing, atención al cliente, analítica y ciberseguridad. En algunos casos responde a una estrategia clara. En la mayoría, no.

El mes pasado, en un assessment que le hicimos a una empresa industrial de tamaño medio, encontramos que tres departamentos distintos usaban herramientas de IA generativa con datos de clientes sin que el CISO lo supiera. Nadie lo había autorizado, aunque también es verdad que nadie lo había prohibido explícitamente. Simplemente había ocurrido, como ocurre en casi todas partes. Esta es la realidad que obliga a las empresas a ganar visibilidad: no la amenaza abstracta, sino ese mapa en blanco donde debería haber control.

La IA se ha extendido más rápido que su gobierno

El Reglamento Europeo de IA, ya en vigor y de aplicación directa, ha venido a ordenar este escenario, mientras que España ultima ahora su propia ley para aterrizarlo en el marco nacional, con AESIA como supervisor de referencia. Su alcance es más amplio de lo que muchas compañías imaginan, porque no afecta únicamente a empresas tecnológicas ni a quienes desarrollan Inteligencia Artificial propia, sino que también impacta en organizaciones que utilizan, integran, despliegan o contratan sistemas de IA de terceros dentro de sus procesos, productos o servicios.

Una empresa puede verse afectada por usar IA en selección de personal, scoring crediticio, seguros, atención al cliente, educación, sanidad, biometría, infraestructuras críticas o agentes conectados a información corporativa. El nivel de exposición no depende del tamaño de la empresa, sino del uso concreto que se le da a la IA, del tipo de datos que utiliza y del impacto sobre las personas.

Las empresas más expuestas serán aquellas que operen sistemas de alto riesgo o incurran en prácticas prohibidas. Entre estas últimas figuran usos especialmente sensibles, como la manipulación del comportamiento de las personas, la explotación de vulnerabilidades, sistemas de puntuación social, determinados sistemas biométricos o el reconocimiento de emociones en entornos laborales o educativos. También conviene revisar con especial cuidado cualquier sistema que intervenga en decisiones sobre personas, como contratación, promoción, despido, concesión de crédito, seguros, educación o acceso a servicios esenciales.

El principal cambio que introduce la nueva Ley es la obligación de acreditar el control: saber qué sistemas se utilizan, con qué finalidad, bajo qué criterios y con qué evidencias.

 El regulador no va a preguntar si tenías buenas intenciones, sino si tienes evidencias

Sí, suena a otro checklist más. La diferencia es que esta vez hay sanciones reales detrás, y que el regulador no va a preguntar si tenías buenas intenciones, sino si tienes evidencias.

El reto ya no es adoptar la IA, sino demostrar que está bajo control

Mirando desde el prisma de la ciberseguridad, el problema es doble. Por un lado, una IA mal gobernada amplía la superficie de ataque sin darnos cuenta: el empleado que introduce datos confidenciales en una herramienta pública o el agente con permisos excesivos que amplifica el impacto de una brecha.

La misma IA que ayuda a detectar amenazas también permite a los ciberdelincuentes hacer ataques más sofisticados

Y no olvidemos algo que se subestima más: los ciberdelincuentes también usan la IA. Phishing más personalizado, deepfakes más convincentes, ingeniería social más precisa. La misma tecnología que nos ayuda a detectar anomalías les ayuda a ellos a no parecerlo.

Todo esto implica algo que puede parecer de Perogrullo, pero que no me canso de repetir cada vez que visito a un CEO, CISO, CIO o cualquier otro directivo que empieza a preocuparse por todo esto: la IA debe ser una parte fundamental de la agenda de la dirección. No como tema técnico ni como asunto jurídico, sino como lo que es: una decisión de negocio con consecuencias sobre seguridad, datos, reputación y personas.

La dirección debe tratar la IA como una decisión de negocio, no solo como un asunto técnico o jurídico

Bien gobernada, puede ayudar a detectar anomalías antes de que se conviertan en incidentes, priorizar alertas en entornos donde el ruido operativo ahoga a los equipos, acelerar la respuesta ante brechas y reforzar la monitorización de identidades, dispositivos y entornos Cloud. Pero eso solo ocurre cuando alguien ha decidido, conscientemente, cómo se usa, quién la supervisa y qué pasa cuando algo falla. Sin esas decisiones, la IA no es más que una variable más.

El organismo regulador no va a preguntar qué departamento era el responsable, va a preguntar si la organización tenía el control.

Una IA sin gobierno no es asunto de un único departamento: es un riesgo corporativo que afecta a seguridad, cumplimiento, datos, reputación y negocio. Esa fragmentación es exactamente lo que provoca los riesgos, tanto regulatorios como operativos. Esto es algo que, hoy por hoy, la mayoría de las empresas no puede responder.

Salir de la versión móvil