Gobernanza y ciberseguridad: el doble filo de la inteligencia artificial

Regular la IA sin frenar la innovación y protegerla sin cerrar fronteras: el dilema que define la próxima década tecnológica.

Gobernanza y ciberseguridad: el doble filo de la inteligencia artificial

Foto: Zulfugar Karimov

El dilema de gobernar lo que no se detiene

La inteligencia artificial avanza más rápido que la capacidad de las instituciones para entenderla, regularla y protegerla. Este desfase no es nuevo en la historia de la tecnología, pero la escala y la opacidad de los modelos actuales lo convierten en un problema estructural. Gobernar la IA no es solo cuestión de normas: implica redefinir la seguridad nacional, la privacidad, la competencia económica y, cada vez más, la ciberseguridad. La tesis que recorre este análisis es que regular y proteger la IA son dos caras de la misma moneda. Sin marcos de gobernanza sólidos, la ciberseguridad se debilita; sin ciberseguridad efectiva, cualquier regulación se vuelve papel mojado.

Marcos regulatorios: de la OCDE a la UE y EE.UU.

Patrocinado Advertisement

Los principios de la OCDE para una IA confiable —transparencia, rendición de cuentas, robustez— fueron el primer consenso internacional, pero no tenían fuerza vinculante. La Unión Europea, con su AI Act, dio el salto a una regulación horizontal basada en niveles de riesgo. El enfoque europeo clasifica las aplicaciones de IA desde riesgo mínimo hasta inaceptable, prohibiendo sistemas de puntuación social o vigilancia masiva en tiempo real. La ley obliga a evaluaciones de conformidad para modelos de alto riesgo, lo que incluye desde diagnósticos médicos hasta sistemas de contratación.

En contraste, Estados Unidos ha optado por un enfoque sectorial y voluntario. La orden ejecutiva de octubre de 2023 estableció estándares de seguridad para modelos de frontera, exigiendo que los desarrolladores compartan resultados de pruebas de seguridad con el gobierno federal. Pero sin una agencia dedicada ni sanciones claras, el cumplimiento depende de la buena voluntad corporativa. Esta divergencia transatlántica crea un mosaico regulatorio que las empresas globales deben navegar, y que los actores maliciosos pueden explotar.

Ciberseguridad de IA: el eslabón perdido

La mayoría de los marcos regulatorios se centran en la ética y los derechos fundamentales, pero prestan poca atención a la ciberseguridad de los propios sistemas de IA. Un modelo de lenguaje grande no solo puede generar información falsa: puede ser manipulado mediante ataques adversariales, envenenamiento de datos o inyección de instrucciones ocultas. Estos vectores de ataque son cualitativamente diferentes de los tradicionales porque el sistema es, en sí mismo, un blanco y un arma.

Un ejemplo emblemático es la proliferación de deepfakes utilizados en fraudes financieros. En 2024, una empresa multinacional perdió millones de dólares cuando un empleado transfirió fondos tras recibir una videollamada que parecía de su CFO, pero era una recreación generada por IA. Casos como este muestran que la seguridad de la IA no se limita a proteger el modelo: requiere repensar la autenticación, la verificación de identidad y los protocolos de autorización en toda la cadena digital.

Coordinación rota entre reguladores y agencias de ciberdefensa

Un problema recurrente es la falta de coordinación entre los organismos que regulan la IA y los que defienden el ciberespacio. Las agencias de seguridad cibernética —como la CISA en Estados Unidos o el ENISA en Europa— suelen llegar después de que un incidente ocurre, mientras que los reguladores de IA trabajan en escalas de tiempo legislativas, no en tiempo real. Esta desconexión permite que vulnerabilidades conocidas se exploten repetidamente.

En la práctica, los desarrolladores de modelos de frontera como GPT-4 o Gemini realizan pruebas de seguridad internas, pero no existe un protocolo estandarizado para reportar hallazgos a las autoridades. La propuesta de crear un “consejo de seguridad de IA” a nivel global, similar al IPCC para el clima, ha ganado tracción, pero choca con las reticencias geopolíticas: China, Estados Unidos y la UE tienen visiones distintas sobre qué debe ser público y qué debe reservarse para la seguridad nacional.

Incidentes que marcan precedente

Varios incidentes recientes ilustran la fragilidad del ecosistema. En 2023, un investigador demostró que era posible extraer datos de entrenamiento confidenciales de modelos open-source mediante consultas cuidadosamente diseñadas. Ese ataque, conocido como “extracción de memorización”, reveló información privada de usuarios reales. En otro caso, un chatbot de servicio al cliente fue manipulado para realizar compras fraudulentas porque aceptaba instrucciones en lenguaje natural sin validación contextual.

Estos no son errores marginales: son síntomas de que la arquitectura actual de los modelos carece de barreras de seguridad fundamentales. La dependencia de parches posteriores (red teaming, filtros de contenido) no es sostenible. Se necesita un diseño seguro desde la raíz, lo que implica repensar cómo se entrenan, despliegan y actualizan los modelos. Empresas como Anthropic han propuesto la “seguridad constitucional” —integrar principios de comportamiento en el entrenamiento mismo— pero aún es experimental.

Propuestas de solución: normas técnicas y modelos multilatininos

En el plano global, la ISO ha comenzado a desarrollar estándares técnicos para sistemas de IA (ISO/IEC 42001), que ofrecen un marco de gestión de riesgos aplicable a cualquier organización. Estos estándares son voluntarios, pero pueden convertirse en requisitos de facto si los reguladores los incorporan como referencia para demostrar cumplimiento.

Una idea que gana fuerza es la de “sandboxes regulatorios” multilaterales, donde empresas y gobiernos prueban conjuntamente medidas de seguridad antes de escalarlas. Singapur ha implementado un modelo de este tipo con su AI Verify, y la UE lo incluye en su AI Act para sistemas de alto riesgo. Sin embargo, estos entornos controlados no resuelven el problema de la velocidad: la IA evoluciona en semanas, los sandboxes en meses.

Escenarios futuros: ¿hacia una gobernanza fragmentada o un pacto digital?

Si las tendencias actuales continúan, el mundo se encamina hacia un archipiélago regulatorio: cada bloque económico impondrá sus propias reglas, y las empresas más grandes podrán cumplir con todas mientras las pequeñas quedarán excluidas. En materia de ciberseguridad, esto significa que los atacantes apuntarán a las jurisdicciones con controles más laxos, creando un efecto de “carrera hacia el fondo”.

El escenario alternativo requiere un pacto digital global que establezca principios mínimos de seguridad y transparencia, acompañado de mecanismos de intercambio de inteligencia sobre amenazas cibernéticas vinculadas a IA. Organismos como el Foro Económico Mundial y la UNESCO ya trabajan en borradores, pero la voluntad política sigue siendo el cuello de botella.

La paradoja es que la propia IA podría ser parte de la solución: sistemas de monitoreo automatizado, detección de anomalías y respuesta inmediata son áreas donde la inteligencia artificial supera a los humanos. Pero delegar la seguridad a la misma tecnología que se quiere regular introduce un bucle de confianza difícil de cerrar. Al final, gobernar la IA no es solo un desafío técnico, sino uno profundamente político: decidir quién vigila al vigilante.

Fuentes

  1. El desafío de regular la inteligencia artificial sin frenar la ...
  2. La ONU reclama a los gobiernos una acción coordinada ante el avance ...
  3. PDF Gobernanza global de la IA: ¿quién regula, con qué enfoque y para qui
  4. IA y ciberseguridad: gobernanza, riesgo y oportunidad en la nueva ...
  5. Gobernanza global de la IA: esfuerzos, vacíos y retos
  6. Gobernar la IA para la Humanidad: Un Imperativo Global - LinkedIn
  7. Gobernanza de la IA: Cómo la regulación, la colaboración y la demanda ...
  8. Cómo la protección de datos se ha vuelto el gran reto e la ... - Infobae
Melina Rodríguez

Escrito por

Melina Rodríguez

Especialista Inteligencia Artificial

Arquitecta de profesión, estratega de IA por convicción. Máster en Gestión Urbana por la Universidad Politécnica de Cataluña y certificada en ISO 42001 — la norma internacional de gestión de inteligencia artificial. Co-fundadora de 3Dual Studio y consultora en Bewos, ha diseñado programas de alfabetización en IA para organizaciones públicas y privadas en América Latina.